Guida indipendente al Regolamento (UE) 2024/2847 · Stato: in vigore
Questa pagina è una traduzione automatica (IA) e non è stata revisionata da una persona.
Strumenti · Lista di controllo del fabbricante

Matrice di conformità

Ogni obbligo per i fabbricanti di prodotti con elementi digitali, presentato lungo il ciclo di vita del prodotto con il relativo riferimento all'articolo. Esaminalo e monitora i tuoi progressi; l'intera lista di controllo è consultabile gratuitamente. I progressi vengono conservati in questo browser.

0% completato0 / 40 elementi
Stampa
Predefinito · route

I prodotti predefiniti possono effettuare l'autovalutazione secondo il Modulo A. Non è richiesto alcun organismo notificato, ma devono comunque essere predisposti la documentazione tecnica completa e la dichiarazione di conformità.

1 · Fondamenti

Fondamenta a livello aziendale

0 / 4

Requisiti organizzativi che devono essere soddisfatti prima di iniziare qualsiasi attività specifica per il prodotto.

Ciclo di vita di sviluppo sicuro documentatoMantenere un SDL documentato che definisca fasi, ruoli e responsabilità. La certificazione esterna (IEC 62443-4-1, ISO/IEC 27001) è facoltativa, ma crea una presunzione di conformità.
Art. 13(1) · Allegato IIn sospeso
Evidenze di conformità all'SDLIn assenza di una certificazione esterna, conservare prove documentate della conformità interna all'SDL.
Allegato I · Parte IIn sospeso
L'SDL copre i principi secure-by-design e secure-by-defaultNOVITÀL'SDL deve affrontare esplicitamente il modo in cui il prodotto riduce al minimo la propria superficie di attacco senza che l'utente finale debba effettuare configurazioni.
Allegato I · I(2)(3)In sospeso
Rappresentante autorizzato UE (fabbricanti extra-UE)NOVITÀI fabbricanti stabiliti al di fuori dell'UE devono designare, mediante mandato scritto, un rappresentante stabilito nell'UE, indicato nella documentazione tecnica e nella DoC.
Art. 19In sospeso
2 · Prima dello sviluppo

Prima dell'inizio dello sviluppo

0 / 9

La classificazione, la valutazione del rischio e i prerequisiti tecnici definiscono l'ambito di tutto ciò che segue.

Determinare la classificazione del prodottoNOVITÀSTRUMENTO DISPONIBILEStabilire se il prodotto è predefinito, importante di Classe I/II o critico (Allegati III e IV). La classificazione determina il percorso di valutazione della conformità.
Allegato III/IVIn sospeso
Individuare il percorso di valutazione della conformitàNOVITÀPredefinito: autovalutazione con Modulo A. Importante Classe I: Modulo A con una norma armonizzata, altrimenti B+C o H. Importante Classe II e Critico: sempre tramite un organismo notificato. Sono comuni tempi di attesa di 4–10 mesi.
Art. 32 · Allegato VIIIIn sospeso
Valutazione del rischio per la cibersicurezza specifica del prodottoEffettuare una valutazione del rischio prima dello sviluppo. Conservare tutte le versioni; la versione iniziale, antecedente allo sviluppo, è parte della documentazione tecnica.
Allegato I · I(1)In sospeso
Modellazione delle minacceNOVITÀIndividuare la superficie di attacco, gli autori delle minacce, i vettori di attacco e i conseguenti requisiti di sicurezza. Documentare la metodologia utilizzata.
Allegato I · I(1)In sospeso
Politica sui componenti di terze parti e open sourceNOVITÀSTRUMENTO DISPONIBILEDefinire le modalità di selezione, valutazione e approvazione dei componenti di terze parti e open source, compresi i requisiti minimi di EOL e gli obblighi di risposta alle vulnerabilità.
Allegato I · Parte IIIn sospeso
Verifica EOL per strumenti e dipendenzeSTRUMENTO DISPONIBILEVerificare la data di fine vita (End-of-Life) di tutti gli strumenti, kernel, database e librerie principali. Evitare i componenti il cui EOL ricade entro il periodo di supporto del prodotto.
Allegato I · Parte IIIn sospeso
Fattibilità della cifratura dell'archiviazioneVerificare che l'hardware di destinazione supporti la cifratura dei dati inattivi; un requisito obbligatorio che può imporre una modifica dell'hardware.
Allegato I · I(4)(e)In sospeso
Progettazione con superficie di attacco ridotta al minimoNOVITÀPrevedere la rimozione o la disattivazione per impostazione predefinita di ogni interfaccia, servizio, porta e protocollo non necessario alla funzione prevista.
Allegato I · I(2)(b)In sospeso
Politica sulle credenziali predefiniteNOVITÀDistribuisci il prodotto senza password predefinite, oppure obbliga l'utente a impostare una credenziale univoca al primo utilizzo.
Allegato I · I(2)(c)In sospeso
3 · Sviluppo

Durante lo sviluppo

0 / 5

Codifica sicura, test e meccanismo di aggiornamento, documentati lungo tutto lo sviluppo.

Piano di test incentrato sulla cibersicurezzaCasi di prova relativi ad autenticazione, controllo degli accessi, validazione degli input, cifratura e gestione degli errori. Documentati e conservati nel fascicolo tecnico.
Allegato I · I(1)In sospeso
Evidenze di conformità all'SDLDimostrare, con prove documentate, che l'SDL è stato seguito in ogni fase.
Allegato I · Parte IIn sospeso
Test di penetrazione / valutazione delle vulnerabilitàNOVITÀEffettuare test di sicurezza sul prodotto o su una build rappresentativa prima dell'immissione sul mercato.
Allegato I · I(1)In sospeso
Meccanismo sicuro di aggiornamento del softwareNOVITÀUn meccanismo di aggiornamento autenticato e con integrità verificata, controllabile dal dispositivo prima dell'installazione e automatico ove fattibile.
Allegato I · I(2)(f)In sospeso
Minimizzazione dei datiNOVITÀRaccogliere, trattare e conservare soltanto i dati strettamente necessari alla funzione prevista.
Allegato I · I(4)(f)In sospeso
4 · Prima del rilascio

Prima del rilascio del prodotto

0 / 12

SBOM, audit di rete, EOL, valutazione della conformità, marcatura CE e fascicolo tecnico.

SBOM predisposto e sottoposto a screening delle vulnerabilitàSTRUMENTO DISPONIBILEPredisporre un SBOM che copra almeno tutte le dipendenze di primo livello e verificare che nessun componente presenti una vulnerabilità nota e già corretta. Includere un CVE già risolto costituisce una violazione diretta.
Allegato I · II(1)In sospeso
SBOM in formato leggibile meccanicamenteNOVITÀSTRUMENTO DISPONIBILEMemorizza l'SBOM in formato SPDX o CycloneDX (JSON/XML). Il PDF potrebbe essere rifiutato in quanto non leggibile dalle macchine.
Allegato I · Parte IIIn sospeso
Elenco delle connessioni in entrataElencare e giustificare singolarmente ogni connessione in entrata e ogni porta aperta; rimuovere o disattivare per impostazione predefinita tutto ciò che non è necessario.
Allegato I · I(2)(b)In sospeso
Elenco delle connessioni in uscitaVerificare e giustificare tutte le connessioni in uscita, comprese quelle del sistema operativo, delle librerie di terze parti e della telemetria.
Allegato I · Parte IIn sospeso
Dichiarare il fine vita del prodottoSTRUMENTO DISPONIBILECalcolare e dichiarare l'EOL; non può superare l'EOL delle dipendenze principali. Periodo di supporto minimo di 5 anni, salvo che la durata d'uso prevista sia inferiore.
Art. 13(8)In sospeso
Completare la valutazione della conformitàNOVITÀEseguire la procedura applicabile (Module A, oppure B+C / H / organismo notificato) e documentarla prima di apporre la marcatura CE.
Art. 32In sospeso
Predisporre la dichiarazione di conformità UENOVITÀSTRUMENTO DISPONIBILERedigi e firma la DoC secondo l'Allegato V, con riferimento al regolamento, al prodotto e alla procedura di valutazione. Conservala per 10 anni.
Art. 28 · Allegato VIn sospeso
Apporre la marcatura CENOVITÀApporre una marcatura CE visibile, leggibile e indelebile. Senza marcatura CE, niente accesso al mercato UE a partire dall'11 dic 2027.
Art. 30In sospeso
Predisporre il fascicolo tecnicoNOVITÀPredisporre il pacchetto dell'Allegato VII: descrizione, valutazione del rischio, evidenze SDL, risultati delle prove, SBOM, audit delle connessioni, DoC e dichiarazione EOL.
Art. 31 · Allegato VIIIn sospeso
Piano di conservazione decennaleNOVITÀArchiviare tutta la documentazione tecnica, comprese tutte le versioni dell'SBOM, per almeno 10 anni a decorrere dalla prima immissione sul mercato.
Art. 31(3)In sospeso
Documentazione destinata all'utenteNOVITÀComunicare l'uso previsto, le proprietà di cibersicurezza, le modalità di configurazione della sicurezza, l'EOL dichiarato e le modalità di segnalazione delle vulnerabilità.
Allegato II · Art. 13(18)In sospeso
Contatto per la divulgazione delle vulnerabilità pubblicatoNOVITÀPubblicare un unico punto di contatto, monitorato attivamente, per la segnalazione delle vulnerabilità.
Art. 13(5)In sospeso
5 · Dopo il rilascio

Dopo il rilascio del prodotto

0 / 10

Monitoraggio continuo, le tempistiche di segnalazione dell'articolo 14 e gli obblighi di aggiornamento per l'intero periodo di supporto.

Aggiornare la valutazione dei rischi in caso di modifica significativaRiesaminare la valutazione quando si individua una modifica sostanziale del prodotto, una nuova minaccia rilevante o una vulnerabilità sfruttata; documentare l'evento scatenante e l'esito.
Allegato I · I(1)In sospeso
Monitoraggio automatizzato delle vulnerabilità dell'SBOMSTRUMENTO DISPONIBILEImplementare strumenti che monitorino i componenti dell'SBOM rispetto ai feed in tempo reale (NVD, EUVD, OSV) con una frequenza sufficiente a rispettare la finestra di segnalazione di 24 ore. Il monitoraggio manuale è insufficiente.
Art. 14In sospeso
Relazione iniziale sulla vulnerabilità entro 24 oreNOVITÀUna volta venuti a conoscenza di una vulnerabilità sfruttata attivamente, presentare una segnalazione iniziale entro 24 ore tramite la piattaforma unica di segnalazione dell'ENISA. Si applica a partire dall'11 set 2026.
Art. 14(2)In sospeso
Relazione tecnica entro 72 oreNOVITÀTrasmettere una relazione tecnica dettagliata all'ENISA e al CSIRT nazionale entro 72 ore, comprensiva della gravità e delle eventuali misure di mitigazione.
Art. 14(3)In sospeso
Relazione finale entro 14 giorni dalla correzioneNOVITÀTrasmettere una relazione finale entro 14 giorni dalla messa a disposizione di un aggiornamento di sicurezza o di una soluzione alternativa.
Art. 14(4)In sospeso
Notifica degli incidenti graviNOVITÀSegnalare gli incidenti gravi che incidono sulla sicurezza del prodotto secondo le stesse scadenze di 24/72 ore.
Art. 14(2)In sospeso
Aggiornamento automatico per le vulnerabilità di terze partiMantenere un sistema di aggiornamento automatico in grado di correggere le vulnerabilità dei componenti di terzi. Una correzione entro 24 ore esonera dalla notifica, non dalla correzione.
Art. 14(2)(a)In sospeso
Aggiornamenti di sicurezza a titolo gratuitoNOVITÀFornire tutti gli aggiornamenti di sicurezza gratuitamente per l'intera durata del periodo di supporto.
Art. 13(9)In sospeso
Preavviso del fine vita (End-of-Life)NOVITÀAvvisare gli utenti almeno 12 mesi prima dell'ultimo aggiornamento di sicurezza, ove possibile.
Art. 13(8)In sospeso
Misure correttive per i prodotti non conformiNOVITÀCorreggere, ritirare o richiamare i prodotti non conformi e informare la vigilanza del mercato. L'inerzia costituisce di per sé una violazione.
Art. 13(14)In sospeso
Fine della lista di controllo · tutti 40 elementi mostrati sopra
Esportazione (facoltativa)

Esporta la tua matrice con lo stato di avanzamento attuale

Tutto quanto sopra è gratuito da leggere e stampare. Per scaricare la lista di controllo e il tuo stato in tempo reale come foglio di calcolo o PDF, lascia un'email e ti aggiungeremo alla newsletter sul CRA.

Sarete aggiunti alla newsletter sul CRA. È possibile annullare l'iscrizione in qualsiasi momento. Niente spam. Consultare la nostra informativa sulla privacy.