La conformità al CRA può sembrare complessa, ma si suddivide in passi chiari. Questa checklist vi guida dalla valutazione iniziale fino alla marcatura CE.

Passo 1: Determinare l'ambito

Tutti i prodotti con elementi digitali sono coperti, con eccezioni per software open source non commerciale e alcuni settori regolamentati.

Passo 2: Classificare il prodotto

Il CRA classifica i prodotti in Classe I (rischio moderato), Classe II (rischio elevato) e Fuori classe (prodotti critici). La classe determina la procedura di valutazione.

Passo 3: Documentazione tecnica (Allegato VII)

Il dossier deve includere descrizione del prodotto, piani di progettazione, norme applicate, analisi dei rischi e misure di cybersicurezza.

Passo 4: Sicurezza by design (Allegato I)

Implementate configurazione sicura predefinita, gestione delle vulnerabilità del ciclo di vita, aggiornamenti automatici e autenticazione sicura.

Passo 5: SBOM

La distinta base software elenca tutti i componenti, le versioni e le licenze. Formati accettati: CycloneDX (raccomandato) e SPDX.

Passo 6: Gestione vulnerabilità

Monitorate le CVE, analizzate l'impatto sui prodotti, distribuite patch e documentate le decisioni (VEX).

Passo 7: Reporting Articolo 14

Da settembre 2026: allarme rapido entro 24 ore, notifica entro 72 ore, rapporto finale entro 14 giorni.

Passo 8: Dichiarazione UE di conformità

Documento ufficiale firmato dal fabbricante che attesta la conformità al CRA.

Passo 9: Marcatura CE

Senza marcatura CE, il prodotto non può essere immesso sul mercato UE dopo dicembre 2027.

Passo 10: Conformità continua

Aggiornate lo SBOM a ogni release, monitorate nuove vulnerabilità e effettuate revisioni periodiche.

La piattaforma Expert CRA automatizza i passi 1-10: classificazione, documentazione, SBOM, monitoraggio CVE, reporting Articolo 14 e audit trail completi.