Il CRA copre sia software che hardware con elementi digitali, ma gli obblighi non sono identici. Comprendere le differenze è essenziale.

1. Prodotti coperti

Software: App web e mobile, piattaforme SaaS, sistemi operativi, firmware. Focus: sicurezza by design, SBOM, gestione vulnerabilità.

Hardware: Dispositivi IoT, apparecchiature mediche, industriali. Requisiti aggiuntivi: sicurezza fisica, configurazione sicura predefinita, aggiornamenti OTA.

2. Differenze principali

  • SBOM: Obbligatorio per entrambi, l'hardware include software embedded
  • Aggiornamenti: Software automatici, hardware OTA o manuali
  • Configurazione: Account sicuri (software), nessuna password generica (hardware)

3. Raccomandazioni

Gli sviluppatori software devono concentrarsi su SBOM e sicurezza CI/CD. I produttori hardware devono pianificare aggiornamenti OTA e documentazione del ciclo di vita.

Che si tratti di software o hardware, il CRA vi riguarda. Adattate il vostro approccio al tipo di prodotto.