Il Cyber Resilience Act, sotto controllo.
Se immette sul mercato UE un prodotto con elementi digitali, il CRA riguarda lei. Reglyze autovaluta la sua conformità in linguaggio chiaro e genera la documentazione tecnica (Allegato VII) e la dichiarazione di conformità UE — la maggior parte dei prodotti si autocertifica con il modulo A.
Il prodotto in azione — dal prodotto alla dichiarazione firmata
Una dimostrazione di due minuti: definisca il perimetro di un prodotto, conduca l'autovalutazione in linguaggio chiaro e generi la documentazione tecnica (Allegato VII) e la dichiarazione di conformità UE.
Da « mi riguarda? » a una dichiarazione firmata
1 · Perimetro e classificazione
Quattro domande le dicono se il CRA si applica, la sua classe (Allegato III/IV) e il suo percorso di conformità. Gratis, senza account.
2 · Autovalutazione
Risponda a una ventina di domande semplici sul suo prodotto. L'assistente propone una maturità da 0 a 3 per ciascun requisito essenziale (Allegato I), ancorata all'IEC 62443.
3 · Genera il fascicolo
Documentazione tecnica (Allegato VII) e dichiarazione di conformità UE — assemblate a partire dalle sue risposte, compatibili con l'SBOM, nella sua lingua.
Cosa ottiene
- Documentazione tecnica (Allegato VII)
- Dichiarazione di conformità UE (rilasciata una volta soddisfatti tutti i requisiti)
- Rapporto sugli scostamenti (Allegato I) con i punti aperti da chiudere
- Importazione SBOM (CycloneDX / SPDX) inclusa nel fascicolo tecnico
Base di riferimento: IEC 62443-4-1 (sviluppo sicuro) e 62443-4-2 (requisiti dei componenti). Il testo del CRA è legge UE pubblica; i riferimenti IEC sono parafrasati, mai riprodotti integralmente.
Cyber Resilience Act — domande frequenti
Il Cyber Resilience Act (CRA) europeo si applica al mio prodotto?
Il CRA si applica a qualsiasi prodotto con elementi digitali — hardware dotato di software o firmware, e software autonomo — messo a disposizione sul mercato dell'Unione. Se immette sul mercato europeo un oggetto connesso, un prodotto IoT o un software installabile, lei rientra nell'ambito di applicazione. La verifica gratuita del perimetro di Reglyze lo conferma in quattro domande.
Quando entra in applicazione il Cyber Resilience Act?
Contano due date: gli obblighi di segnalazione delle vulnerabilità e degli incidenti si applicano dall'11 set. 2026, mentre la piena conformità, compresa la marcatura CE, è richiesta dall'11 dic. 2027. Il CRA è il Regolamento (UE) 2024/2847.
Che cos'è l'autovalutazione secondo il modulo A nel quadro del CRA?
Il modulo A è la via di conformità con cui il fabbricante autovaluta il proprio prodotto rispetto ai requisiti essenziali ed emette autonomamente la propria dichiarazione di conformità UE, senza l'intervento di un organismo notificato. Circa il 90% dei prodotti — la categoria «predefinita» — rientra nel modulo A.
Ho bisogno di un organismo notificato per il CRA?
Soltanto per i prodotti «importanti» della classe II e per i prodotti «critici» (Allegato III classe II e Allegato IV del CRA). I prodotti predefiniti e la maggior parte dei prodotti «importanti» della classe I possono autocertificarsi con il modulo A, in particolare quando vengono applicate norme armonizzate.
Che cos'è la documentazione tecnica dell'Allegato VII?
L'Allegato VII elenca la documentazione tecnica che il fabbricante deve costituire e tenere a disposizione delle autorità di vigilanza del mercato: descrizione del prodotto, valutazione dei rischi, prove di conformità ai requisiti essenziali e la distinta dei materiali del software (SBOM). Reglyze la assembla a partire dalla sua autovalutazione.
Che cos'è una dichiarazione di conformità UE nel quadro del CRA?
È la dichiarazione firmata che attesta che il suo prodotto soddisfa i requisiti essenziali di cibersicurezza del CRA. È obbligatoria prima dell'apposizione della marcatura CE e dell'immissione del prodotto sul mercato. Reglyze la emette una volta soddisfatto ogni requisito essenziale.
Quali prodotti sono «importanti» o «critici» ai sensi del CRA?
L'Allegato III del CRA elenca i prodotti «importanti» (classi I e II), come i gestori di password, le VPN, i firewall e i sistemi operativi; l'Allegato IV elenca i prodotti «critici», come i gateway dei contatori intelligenti e gli elementi sicuri. Tutto ciò che non è elencato rientra nella categoria «predefinita» e si autocertifica con il modulo A.
Quali sono le sanzioni in caso di non conformità al CRA?
Le violazioni dei requisiti essenziali di cibersicurezza e degli obblighi fondamentali del fabbricante possono essere sanzionate con un'ammenda fino a 15 milioni di € o al 2,5% del fatturato annuo mondiale totale, se superiore, oltre a possibili ordini di ritiro dal mercato. Per le altre infrazioni si applicano soglie inferiori.
In che cosa il CRA è diverso da NIS2?
NIS2 disciplina la cibersicurezza delle organizzazioni (soggetti essenziali e importanti); il CRA disciplina la cibersicurezza dei prodotti con elementi digitali immessi sul mercato dell'Unione. Un fabbricante può essere soggetto a entrambi — NIS2 per il modo in cui opera, il CRA per ciò che immette sul mercato.
Il CRA riguarda il software e l'open source?
Sì. Un software autonomo è un prodotto con elementi digitali. Il software open source fornito nell'ambito di un'attività commerciale rientra nell'ambito di applicazione, con obblighi alleggeriti per gli amministratori di open source senza scopo di lucro. Un SaaS ospitato autonomo è in genere fuori dall'ambito del CRA, salvo che si tratti di una soluzione di trattamento dati a distanza parte integrante di un prodotto.