Autovalutazione della maturità CRA
Valutate 25 prassi in cinque domini per scoprire quanto è matura la vostra impostazione di sicurezza dei prodotti ai sensi del Cyber Resilience Act, e ottenete una checklist personalizzata su cosa migliorare successivamente. Tutto avviene nel vostro browser e viene salvato localmente.
Basato su ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, luglio 2026), riprodotto con riconoscimento della fonte. Questo sito è indipendente e non è affiliato a ENISA o all'UE.
Governance e documentazione
1.1Disponete di politiche di sicurezza dei prodotti scritte e approvate?
1.2Ruoli e responsabilità per le attività di sicurezza dei prodotti (ad es. sviluppo, gestione delle vulnerabilità, aggiornamenti) sono chiaramente definiti?
1.3Mantenete una documentazione tecnica a livello di prodotto che descriva le funzionalità di sicurezza implementate, le valutazioni del rischio, le decisioni di progettazione e le procedure di aggiornamento?
1.4Esiste un processo per riesaminare regolarmente la sicurezza del prodotto e la qualità della relativa documentazione?
1.5Siete a conoscenza dell'autorità di vigilanza del mercato responsabile dell'applicazione del CRA, della procedura di valutazione della conformità applicabile ai vostri prodotti e delle modalità di interazione con le autorità competenti quando necessario?
Gestione del rischio e sicurezza fin dalla progettazione
2.1Effettuate valutazioni del rischio di cybersicurezza e utilizzate i risultati per orientare le decisioni relative alla progettazione, allo sviluppo, alla configurazione e alla gestione dei componenti del prodotto?
2.2I prodotti sono progettati applicando i principi di sicurezza fin dalla progettazione fin dall'inizio?
2.3I prodotti vengono forniti con configurazioni e impostazioni sicure per impostazione predefinita?
2.4Effettuate controlli e test di sicurezza prima di rilasciare o aggiornare un prodotto, e in che misura vengono utilizzati strumenti automatizzati?
2.5Quando i rischi cambiano o emergono nuove minacce, le valutazioni del rischio, le configurazioni e i componenti di terze parti vengono riesaminati e aggiornati?
Gestione delle vulnerabilità e delle patch
3.1Disponete di un processo per ricevere, confermare, registrare e monitorare le vulnerabilità segnalate da clienti, ricercatori o personale interno?
3.2Disponete di un processo definito per creare, testare, distribuire e comunicare ai clienti gli aggiornamenti di sicurezza per i prodotti supportati?
3.3Mantenete e utilizzate un SBOM a supporto della gestione delle vulnerabilità e delle dipendenze?
3.4Le vulnerabilità e gli aggiornamenti vengono classificati in ordine di priorità in base al rischio e all'impatto potenziale?
3.5Verificate che gli aggiornamenti di sicurezza risolvano effettivamente le vulnerabilità segnalate e conservate le evidenze di tale verifica?
Gestione del ciclo di vita del prodotto
4.1Esiste un approccio definito per la gestione della sicurezza del prodotto durante la fase operativa?
4.2La gestione del ciclo di vita del prodotto è gestita attivamente, inclusi periodi di supporto definiti, responsabilità per gli aggiornamenti, modalità di fine vita e comunicazione con i clienti?
4.3L'esperienza derivante dal funzionamento del prodotto, dalle revisioni post-incidente e dal feedback dei clienti viene utilizzata per migliorare i prodotti nel tempo?
4.4Esiste un metodo strutturato e testato per affrontare i problemi di sicurezza del prodotto individuati?
4.5I prodotti vengono monitorati durante il funzionamento per individuare rischi di sicurezza, vulnerabilità e minacce emergenti?
Consapevolezza, competenza e capacità
5.1Sono disponibili competenze sufficienti per progettare, sviluppare e mantenere i prodotti in modo sicuro, anche ricorrendo a competenze esterne quando la capacità interna è limitata?
5.2Il personale interessato riceve una formazione adeguata sulle prassi di cybersicurezza pertinenti al proprio ruolo, inclusa la gestione del rischio di prodotto, la gestione delle vulnerabilità e la sicurezza fin dalla progettazione?
5.3L'organizzazione promuove una cultura di sviluppo responsabile dei prodotti, segnalazione aperta e consapevolezza dei rischi di prodotto?
5.4Seguite le informazioni esterne pertinenti sulla sicurezza dei prodotti (ad es. avvisi, allerte)?
5.5Valutate e verificate che il vostro team disponga delle competenze e capacità necessarie per mantenere prodotti sicuri?
Adattato da ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, luglio 2026), riprodotto con riconoscimento della fonte in conformità alla nota legale di ENISA. Questa versione interattiva è fornita solo a scopo informativo e non costituisce consulenza professionale o legale; non sostituisce una valutazione di conformità formale. cyberresilienceact.eu è indipendente e non è affiliato a, né approvato da, ENISA o dall'Unione europea.
