Soddisfa i requisiti essenziali dell'allegato I, classifica i prodotti, esegui la valutazione della conformità per la marcatura CE e segnala vulnerabilità e incidenti gravi ai sensi dell'articolo 14 — in un unico spazio di lavoro.
Date chiave
Segnalazioni dall'11 set 2026; obblighi principali dall'11 dic 2027
Chi deve conformarsi
Fabbricanti (e importatori e distributori) di prodotti con elementi digitali sul mercato dell'UE
Sanzioni massime
Fino a 15 M€ o al 2,5% del fatturato annuo globale (art. 64)
Il CRA riguarda i prodotti con elementi digitali immessi sul mercato dell'UE. Sono esclusi i prodotti già disciplinati da normative settoriali — dispositivi medici, veicoli a motore, aviazione civile — e gli amministratori di software libero e open source hanno un regime più leggero. È un orientamento, non una consulenza legale.
Il CRA stabilisce regole orizzontali di cybersicurezza per i prodotti con elementi digitali lungo tutto il loro ciclo di vita:
Progettare e realizzare prodotti sicuri per impostazione predefinita, privi di vulnerabilità sfruttabili note al momento del rilascio, e gestire le vulnerabilità per tutto il periodo di supporto (allegato I, parti I e II).
Effettuare una valutazione del rischio di cybersicurezza, fissare un periodo di supporto di almeno cinque anni, distribuire aggiornamenti di sicurezza, fornire una distinta base del software (SBOM) e gestire una politica di divulgazione coordinata delle vulnerabilità.
Classificare il prodotto (predefinito, importante di classe I o II, oppure critico), eseguire la procedura di valutazione della conformità corrispondente, redigere la dichiarazione di conformità UE e apporre la marcatura CE.
Notificare le vulnerabilità sfruttate attivamente e gli incidenti gravi al CSIRT di coordinamento e all'ENISA — un preallarme entro 24 ore e una notifica più completa entro 72 ore.
Trasforma il regolamento in un programma di conformità tracciato — dai requisiti dell'allegato I al fascicolo per la marcatura CE.
Monitora ogni requisito essenziale dell'allegato I — proprietà di sicurezza e gestione delle vulnerabilità — rispetto alle tue evidenze, con una chiara visibilità delle lacune.
Classifica ogni prodotto secondo i livelli di rischio del CRA (predefinito, importante, critico) per determinare la via di conformità necessaria.
Registra la procedura di valutazione della conformità scelta, assembla la documentazione tecnica e monitora la dichiarazione di conformità UE e la marcatura CE.
Prepara le notifiche di vulnerabilità sfruttate attivamente e di incidenti gravi al CSIRT e all'ENISA secondo le scadenze di 24 e 72 ore.
Il CRA (Regolamento (UE) 2024/2847) è la legge orizzontale dell'UE sulla cybersicurezza dei prodotti con elementi digitali — hardware e software con una connessione dati. Stabilisce requisiti essenziali di cybersicurezza, obblighi di gestione delle vulnerabilità e di segnalazione, e una valutazione della conformità che porta alla marcatura CE.
Il CRA è entrato in vigore nel dicembre 2024. I suoi obblighi di segnalazione (articolo 14) decorrono dall'11 settembre 2026 e gli obblighi principali — requisiti essenziali, valutazione della conformità e marcatura CE — si applicano dall'11 dicembre 2027.
Qualsiasi prodotto hardware o software il cui uso previsto o ragionevolmente prevedibile comprende una connessione dati diretta o indiretta a un dispositivo o a una rete. Sono esclusi i prodotti già disciplinati da normative settoriali, come dispositivi medici, veicoli a motore e aviazione civile.
I fabbricanti devono notificare le vulnerabilità sfruttate attivamente e gli incidenti gravi al CSIRT di coordinamento designato e all'ENISA: un preallarme entro 24 ore e una notifica più completa entro 72 ore, seguita da una relazione finale (articolo 14).
La non conformità ai requisiti essenziali dell'allegato I o agli obblighi degli articoli 13 e 14 può comportare sanzioni fino a 15 milioni di euro o al 2,5% del fatturato annuo mondiale totale, se superiore; altre violazioni fino a 10 milioni di euro o al 2%, e le informazioni fuorvianti fino a 5 milioni di euro o all'1% (articolo 64).
Fai l'autovalutazione gratuita per valutare in pochi minuti la tua preparazione al CRA — senza bisogno di un account.