Il CRA si applica al mio prodotto? / Software desktop
Conformità CRA per il software desktop (Windows, macOS, Linux)
Il software desktop scaricabile distribuito commercialmente a utenti UE è pienamente nell'ambito — è l'esempio da manuale di «prodotto software con elementi digitali». Vale per gli installer classici, Microsoft Store / Mac App Store e il software con chiave di licenza.
Cosa significa concretamente per te
- ▸Serve un meccanismo di aggiornamento sicuro: l'allegato I richiede aggiornamenti di sicurezza senza ritardo e gratuiti, dove fattibile separati da quelli funzionali.
- ▸La firma del codice di installer e aggiornamenti diventa di fatto obbligatoria — un canale di aggiornamento non firmato fallisce il requisito di integrità.
- ▸Anche le licenze perpetue portano un periodo di supporto: le vulnerabilità vanno gestite per il periodo dichiarato (riferimento: 5 anni), anche se il cliente non paga più.
- ▸I runtime inclusi (Electron, JRE, .NET) sono componenti: le loro CVE sono le tue CVE — nella SBOM, monitoraggio continuo.
La trappola in cui cade la maggior parte dei team
«Venduto una volta, mai più toccato.» Il CRA lega gli obblighi all'immissione sul mercato, non al tuo modello di ricavi.
Le scadenze
2026-09-11
Inizio degli obblighi di segnalazione: le vulnerabilità attivamente sfruttate e gli incidenti gravi vanno segnalati entro 24 h / 72 h tramite la piattaforma unica dell'ENISA.
2027-12-11
Applicazione piena: requisiti essenziali, documentazione tecnica, dichiarazione di conformità UE e marcatura CE diventano obbligatori per vendere nell'UE.
A che punto è il tuo prodotto, concretamente?
Il Risk Check gratuito (in inglese) ti dà in 3 minuti il verdetto sull'ambito, la classe di rischio, un punteggio di preparazione e una lista di azioni prioritizzata. Senza registrazione.
Oppure lascia fare a CRAdar in modo continuativo — ti avvisiamo al lancio:
Altri tipi di prodotto
Guida editoriale sul regolamento (UE) 2024/2847 — non è consulenza legale.