Guida indipendente al Regolamento (UE) 2024/2847 · Stato: in vigore
Questa pagina è una traduzione automatica (IA) e non è stata revisionata da una persona.
Percorso verso la conformità · Orientamenti

Guida al CRA per gli sviluppatori di software

Come il regolamento sulla ciberresilienza si applica ai prodotti software; dallo sviluppo sicuro alla gestione delle vulnerabilità, agli SBOM e alla marcatura CE.

Si applica a
Software con elementi digitali
Conformità
Norme o valutazione da parte di terzi
Periodo di supporto
Definito, ≥ uso previsto

Fasi della conformità

1

Confermare l'ambito di applicazione e la classe

Art. 2 · 6

La maggior parte del software immesso sul mercato dell'UE con una connessione dati rientra nell'ambito di applicazione, e molti strumenti per sviluppatori rientrano nella categoria dei prodotti «importanti» dell'Allegato III.

  • Esegui il CRA Fast Check per confermare l'ambito di applicazione
  • Stabilire se il prodotto è predefinito, importante o critico
  • Documentare le motivazioni nella documentazione
Strumento per questa fase
2

Integrare la sicurezza fin dalla progettazione

Annex I · I

Progettare e sviluppare il prodotto in modo da soddisfare le proprietà essenziali di sicurezza per tutto il suo ciclo di vita.

  • Fornisci una configurazione sicura per impostazione predefinita
  • Applicare controlli di autenticazione e di accesso
  • Proteggere i dati con la cifratura in transito e a riposo
  • Ridurre al minimo la superficie di attacco e le interfacce esposte
Errore comune

Lasciare attivi interfacce di debug, credenziali predefinite o output di errore dettagliati nelle build di produzione.

Strumento per questa fase
3

Istituire la gestione delle vulnerabilità

Annex I · II

Gestire un processo documentato per individuare, correggere e divulgare le vulnerabilità per l'intero periodo di supporto.

  • Pubblicare una politica di divulgazione coordinata delle vulnerabilità
  • Fornire un punto di contatto per la segnalazione dei problemi
  • Correggere le vulnerabilità senza indebito ritardo
  • Divulgare le vulnerabilità risolte una volta disponibile un aggiornamento
4

Mantenere una distinta base del software (SBOM)

Allegato I · II(1)

Mantenere un SBOM aggiornato che copra almeno le dipendenze di primo livello del prodotto.

  • Genera un SBOM in un formato leggibile dalla macchina
  • Tenere traccia dei componenti e delle loro vulnerabilità note
  • Mantenerlo aggiornato a ogni rilascio
Strumento per questa fase
5

Fornisci aggiornamenti di sicurezza gratuiti e tempestivi

Annex I · I(2)

Fornire gli aggiornamenti di sicurezza separatamente dagli aggiornamenti delle funzionalità, a titolo gratuito, per il periodo di supporto dichiarato.

  • Definire e pubblicare il periodo di supporto
  • Distribuire tempestivamente gli aggiornamenti di sicurezza
  • Distribuire le patch tramite un meccanismo sicuro
6

Predisporre la documentazione tecnica

Allegato VII

Predisporre la documentazione che dimostra la conformità e tenerla a disposizione per la vigilanza del mercato.

  • Descrizione del prodotto e uso previsto
  • Valutazione dei rischi per la cibersicurezza
  • Registri delle norme applicate
7

Valutare la conformità e apporre la marcatura CE

Art. 32 · 36

Eseguire il percorso di valutazione della conformità per la propria classe e completare la dichiarazione di conformità UE.

  • Autovalutazione (predefiniti) o ricorso a un organismo notificato (importanti/critici)
  • Redigere e firmare la dichiarazione di conformità UE
  • Apporre la marcatura CE
Strumento per questa fase
8

Adempiere agli obblighi di notifica e mantenere il prodotto

Art. 13(8) · 14

A partire da settembre 2026, notifica le vulnerabilità sfruttate attivamente e gli incidenti gravi, e continua a manutenere il prodotto per tutto il suo periodo di supporto.

  • Trasmettere un preallarme all'ENISA e al CSIRT entro 24 ore
  • Dai seguito con una notifica e una relazione finale
  • Informare gli utenti interessati ove opportuno
L'obbligo continuativo

Il periodo di supporto deve essere di almeno cinque anni (o pari alla vita utile prevista del prodotto, se superiore), calcolato a partire dall'immissione sul mercato dell'UE. Durante tale periodo è necessario gestire le vulnerabilità e fornire aggiornamenti di sicurezza gratuiti; ciascun aggiornamento deve poi rimanere disponibile per 10 anni, e il fascicolo tecnico e la dichiarazione di conformità UE devono essere conservati per 10 anni.

Strumenti gratuiti per questo ruolo

Ogni strumento qui sotto è gratis e si apre qui in un pannello laterale, così non perdi il segno.

GratisCRA Fast Check

Verificare se il regolamento si applica e quale sia la classe probabile.

Apri qui →GratisMatrice di conformità

Associa ogni obbligo degli Allegati I e VII e monitora i progressi fino al completamento.

Apri qui →GratisCalcolatore dei costi

Stima il costo una tantum e annuale della conformità.

Apri qui →GratisVulnerability Analyzer

Confronta il tuo SBOM con l'NVD e l'EUVD e tieni traccia dei componenti che raggiungono il fine vita.

Apri qui →GratisGeneratore di DoC

Genera una dichiarazione di conformità UE (Allegato V) per il tuo prodotto.

Apri qui →GratisStrumento di classificazione

Stabilire con precisione se il prodotto è predefinito, importante o critico, in base alla denominazione.

Apri qui →GratisPianificatore del periodo di supporto

Stabilisci il periodo minimo di supporto e segnala i componenti che raggiungono il fine vita troppo presto.

Apri qui →
Altri orientamenti

Altre guide per le parti interessate

M

Fabbricanti

Gli obblighi che il regolamento sulla ciberresilienza impone ai produttori di prodotti con elementi digitali; dalla valutazione del rischio alla marcatura CE e ai doveri successivi all'immissione sul mercato.

Leggi questa guida →
I

Importatori e distributori

Ciò che gli operatori economici devono verificare prima; e dopo; aver messo a disposizione sul mercato dell'UE un prodotto con elementi digitali.

Leggi questa guida →
CE

Come ottenere la marcatura CE

Le fasi per dichiarare la conformità e apporre la marcatura CE su un prodotto con elementi digitali.

Leggi la guida →