Guida indipendente al Regolamento (UE) 2024/2847 · Stato: in vigore
Questa pagina è una traduzione automatica (IA) e non è stata revisionata da una persona.
Strumenti · Autovalutazione della maturità

Autovalutazione della maturità CRA

Valutate 25 prassi in cinque domini per scoprire quanto è matura la vostra impostazione di sicurezza dei prodotti ai sensi del Cyber Resilience Act, e ottenete una checklist personalizzata su cosa migliorare successivamente. Tutto avviene nel vostro browser e viene salvato localmente.

Basato su ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, luglio 2026), riprodotto con riconoscimento della fonte. Questo sito è indipendente e non è affiliato a ENISA o all'UE.

/ 5 complessivo
0 / 25 risposte0%
01

Governance e documentazione

media / 5

1.1Disponete di politiche di sicurezza dei prodotti scritte e approvate?

1.2Ruoli e responsabilità per le attività di sicurezza dei prodotti (ad es. sviluppo, gestione delle vulnerabilità, aggiornamenti) sono chiaramente definiti?

1.3Mantenete una documentazione tecnica a livello di prodotto che descriva le funzionalità di sicurezza implementate, le valutazioni del rischio, le decisioni di progettazione e le procedure di aggiornamento?

1.4Esiste un processo per riesaminare regolarmente la sicurezza del prodotto e la qualità della relativa documentazione?

1.5Siete a conoscenza dell'autorità di vigilanza del mercato responsabile dell'applicazione del CRA, della procedura di valutazione della conformità applicabile ai vostri prodotti e delle modalità di interazione con le autorità competenti quando necessario?

02

Gestione del rischio e sicurezza fin dalla progettazione

media / 5

2.1Effettuate valutazioni del rischio di cybersicurezza e utilizzate i risultati per orientare le decisioni relative alla progettazione, allo sviluppo, alla configurazione e alla gestione dei componenti del prodotto?

2.2I prodotti sono progettati applicando i principi di sicurezza fin dalla progettazione fin dall'inizio?

2.3I prodotti vengono forniti con configurazioni e impostazioni sicure per impostazione predefinita?

2.4Effettuate controlli e test di sicurezza prima di rilasciare o aggiornare un prodotto, e in che misura vengono utilizzati strumenti automatizzati?

2.5Quando i rischi cambiano o emergono nuove minacce, le valutazioni del rischio, le configurazioni e i componenti di terze parti vengono riesaminati e aggiornati?

03

Gestione delle vulnerabilità e delle patch

media / 5

3.1Disponete di un processo per ricevere, confermare, registrare e monitorare le vulnerabilità segnalate da clienti, ricercatori o personale interno?

3.2Disponete di un processo definito per creare, testare, distribuire e comunicare ai clienti gli aggiornamenti di sicurezza per i prodotti supportati?

3.3Mantenete e utilizzate un SBOM a supporto della gestione delle vulnerabilità e delle dipendenze?

3.4Le vulnerabilità e gli aggiornamenti vengono classificati in ordine di priorità in base al rischio e all'impatto potenziale?

3.5Verificate che gli aggiornamenti di sicurezza risolvano effettivamente le vulnerabilità segnalate e conservate le evidenze di tale verifica?

04

Gestione del ciclo di vita del prodotto

media / 5

4.1Esiste un approccio definito per la gestione della sicurezza del prodotto durante la fase operativa?

4.2La gestione del ciclo di vita del prodotto è gestita attivamente, inclusi periodi di supporto definiti, responsabilità per gli aggiornamenti, modalità di fine vita e comunicazione con i clienti?

4.3L'esperienza derivante dal funzionamento del prodotto, dalle revisioni post-incidente e dal feedback dei clienti viene utilizzata per migliorare i prodotti nel tempo?

4.4Esiste un metodo strutturato e testato per affrontare i problemi di sicurezza del prodotto individuati?

4.5I prodotti vengono monitorati durante il funzionamento per individuare rischi di sicurezza, vulnerabilità e minacce emergenti?

05

Consapevolezza, competenza e capacità

media / 5

5.1Sono disponibili competenze sufficienti per progettare, sviluppare e mantenere i prodotti in modo sicuro, anche ricorrendo a competenze esterne quando la capacità interna è limitata?

5.2Il personale interessato riceve una formazione adeguata sulle prassi di cybersicurezza pertinenti al proprio ruolo, inclusa la gestione del rischio di prodotto, la gestione delle vulnerabilità e la sicurezza fin dalla progettazione?

5.3L'organizzazione promuove una cultura di sviluppo responsabile dei prodotti, segnalazione aperta e consapevolezza dei rischi di prodotto?

5.4Seguite le informazioni esterne pertinenti sulla sicurezza dei prodotti (ad es. avvisi, allerte)?

5.5Valutate e verificate che il vostro team disponga delle competenze e capacità necessarie per mantenere prodotti sicuri?

Rispondere alle domande sopra per visualizzare il proprio livello di maturità e una checklist di miglioramento personalizzata.

Adattato da ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, luglio 2026), riprodotto con riconoscimento della fonte in conformità alla nota legale di ENISA. Questa versione interattiva è fornita solo a scopo informativo e non costituisce consulenza professionale o legale; non sostituisce una valutazione di conformità formale. cyberresilienceact.eu è indipendente e non è affiliato a, né approvato da, ENISA o dall'Unione europea.