Il CRA si applica ai prodotti con elementi digitali messi a disposizione sul mercato dell'UE il cui uso previsto o ragionevolmente prevedibile include una connessione dati diretta o indiretta. Se il suo prodotto contiene software o firmware e raggiunge il mercato dell'UE, è molto probabile che rientri nell'ambito di applicazione. Art. 2 Il modo più rapido per verificarlo è l'autovalutazione.
Aiuto · FAQ
Domande frequenti
Risposte concise alle domande che le parti interessate pongono più spesso sul regolamento sulla ciberresilienza, con riferimenti al testo.
Domande e risposte
La classificazione segue la funzionalità principale del prodotto, non ogni funzione che esso include. Se la funzione principale corrisponde a una categoria indicata nell'Allegato III, il prodotto è «importante» (Classe I o II); se corrisponde all'Allegato IV è «critico»; in caso contrario è «predefinito». Una funzionalità come la gestione delle identità o una VPN, inclusa solo come funzione accessoria, non rende il prodotto «importante» a meno che ciò non costituisca la sua finalità principale. Qualora più categorie possano applicarsi, prevale la classe più rigorosa. Art. 7
Il software open source non commerciale sviluppato al di fuori di un'attività commerciale è in gran parte escluso dall'ambito di applicazione. Gli amministratori di software open source hanno un insieme di obblighi più leggero e adeguato. I componenti open source forniti nell'ambito di un'attività commerciale possono rientrare nell'ambito di applicazione.
I servizi autonomi sono generalmente esclusi dal CRA. Tuttavia, le soluzioni di elaborazione dati a distanza necessarie affinché un prodotto svolga le proprie funzioni sono considerate parte di tale prodotto e rientrano nell'ambito di applicazione. Art. 3(2)
Sì. Il CRA si applica ai prodotti immessi sul mercato dell'UE indipendentemente dal luogo in cui è stabilito il fabbricante. I fabbricanti stabiliti al di fuori dell'UE devono garantire che un operatore economico stabilito nell'Unione sia responsabile dei relativi obblighi.
Si suddividono in due parti dell’Allegato I: le proprietà di sicurezza che il prodotto deve possedere (sicuro per impostazione predefinita, riservatezza, integrità, disponibilità, superficie di attacco ridotta al minimo, aggiornamenti di sicurezza) e i processi di gestione delle vulnerabilità che il fabbricante deve attuare (SBOM, correzione, divulgazione coordinata). Allegato I
Sì. I fabbricanti devono individuare e documentare i componenti contenuti nel prodotto, anche redigendo una distinta base del software (SBOM) in un formato di uso comune e leggibile da una macchina. Allegato I · II(1)
Il periodo di supporto è l'arco di tempo durante il quale il fabbricante deve fornire aggiornamenti di sicurezza. Deve riflettere il periodo durante il quale si prevede ragionevolmente che il prodotto sia in uso; gli orientamenti della Commissione indicano che dovrebbe generalmente essere di almeno cinque anni, a meno che l'uso previsto non sia più breve. Art. 13(8)
Le vulnerabilità sfruttate attivamente e gli incidenti gravi che incidono sulla sicurezza del prodotto devono essere notificati all'ENISA e al CSIRT competente. Un preallarme è dovuto entro 24 ore dalla presa di conoscenza, seguito da una notifica più completa e da una relazione finale. Art. 14
Il regolamento è entrato in vigore il 10 dicembre 2024. Gli obblighi di notifica si applicano a partire da settembre 2026 (21 mesi dopo) e la maggior parte degli obblighi si applica a partire da dicembre 2027 (36 mesi dopo). Art. 71
Le violazioni dei requisiti essenziali o degli obblighi del fabbricante possono comportare sanzioni fino a €15 milioni o al 2,5% del fatturato mondiale annuo totale, se superiore. Massimali inferiori si applicano ad altre violazioni e alla comunicazione di informazioni inesatte.
Gli obblighi di notifica di cui all'articolo 14 diventano applicabili l'11 settembre 2026. L'ENISA sta istituendo la piattaforma unica di notifica prevista dall'articolo 16, attraverso la quale i fabbricanti notificheranno all'ENISA e al CSIRT nazionale le vulnerabilità sfruttate attivamente e gli incidenti gravi; si prevede che sia operativa entro tale data. Art. 14
La richiesta di normazione M/606 della Commissione è stata accettata da CEN, CENELEC ed ETSI nel 2025 e riguarda circa 41 norme (orizzontali e specifiche per prodotto). Le due norme orizzontali fondamentali (sviluppo sicuro e gestione delle vulnerabilità) sono attese entro il 30 agosto 2026, le norme verticali di prodotto entro il 30 ottobre 2026 e le restanti norme orizzontali entro il 30 ottobre 2027, in vista della piena applicazione nel dicembre 2027. Il rispetto di una norma armonizzata citata conferisce una presunzione di conformità. Allegato I
Eseguire il percorso di valutazione della conformità per la classe del proprio prodotto, predisporre la documentazione tecnica, redigere e firmare la dichiarazione di conformità UE e quindi apporre la marcatura CE. I prodotti predefiniti possono effettuare un'autovalutazione; i prodotti importanti e critici richiedono percorsi più rigorosi. Art. 28 · 32
Iniziare con il CRA Fast Check per confermare l'ambito di applicazione e la classe, seguire la guida redatta per il proprio ruolo e utilizzare la matrice di conformità per portare a termine i requisiti essenziali.
Non hai trovato la risposta?
Verifica la posizione del tuo prodotto con l'autovalutazione gratuita, oppure leggi la spiegazione in linguaggio semplice.