Se fabbricate prodotti con elementi digitali, il Cyber Resilience Act vi impone obblighi precisi. Ecco tutto ciò che dovete sapere prima delle scadenze 2026-2027.

1. Chi è il fabbricante?

Il CRA definisce fabbricante chiunque progetti o fabbrichi un prodotto con elementi digitali e lo commercializzi sotto il proprio nome o marchio. Include sviluppatori software, produttori IoT, integratori e fornitori di componenti.

2. Obblighi pre-commercializzazione

Analisi dei rischi: Valutazione completa della cybersicurezza con classificazione del prodotto (Classe I, II o Fuori classe).

Documentazione tecnica: Allegato VII completo con descrizione, piani, norme, analisi rischi e misure di sicurezza.

Sicurezza by design: Configurazione sicura, gestione vulnerabilità, aggiornamenti automatici e autenticazione sicura (Allegato I).

3. Obblighi post-commercializzazione

Gestione vulnerabilità: Monitoraggio CVE, analisi impatto, VEX, distribuzione patch.

Reporting Articolo 14: Dall'11 settembre 2026: 24 ore per allarme rapido, 72 ore per notifica, 14 giorni per rapporto finale tramite la Single Reporting Platform.

4. Sanzioni

Ammende fino a 15 milioni di EUR o 2,5% del fatturato annuo globale, ritiro obbligatorio dal mercato UE e potenziale responsabilità penale degli amministratori.

La conformità completa richiede 6-18 mesi. Iniziate ora con una diagnosi gratuita.