Il CRA si applica al mio prodotto? / Firmware / embedded
Conformità CRA per firmware e software embedded
Il firmware fornito commercialmente — nel tuo dispositivo o in licenza a OEM — è software con elementi digitali. Come fornitore sei fabbricante di componenti: la conformità CRA dei tuoi clienti dipende dalla tua, e i loro uffici acquisti ormai lo sanno.
Cosa significa concretamente per te
- ▸I clienti OEM esigeranno per contratto: SBOM CycloneDX/SPDX per release, monitoraggio CVE, dichiarazioni VEX e SLA di correzione garantiti — il CRA scende lungo la supply chain attraverso i contratti.
- ▸Immagini Yocto/Buildroot: usa la generazione SBOM nativa dei sistemi di build; le liste di componenti tenute a mano non sopravvivono a un audit.
- ▸Microcontrollori/microprocessori resistenti alla manomissione e chip di sicurezza sono allegato III classe II o allegato IV — non dare per scontata la classe standard.
- ▸Coordina le divulgazioni con i tuoi OEM: la tua politica CVD deve reggere lo scenario «una scoperta, quaranta prodotti coinvolti».
La trappola in cui cade la maggior parte dei team
I blob binari dei produttori di silicio che ridistribuisci senza poterli patchare. Mappali, ottieni impegni di supporto a monte, documenta il rischio residuo.
Le scadenze
2026-09-11
Inizio degli obblighi di segnalazione: le vulnerabilità attivamente sfruttate e gli incidenti gravi vanno segnalati entro 24 h / 72 h tramite la piattaforma unica dell'ENISA.
2027-12-11
Applicazione piena: requisiti essenziali, documentazione tecnica, dichiarazione di conformità UE e marcatura CE diventano obbligatori per vendere nell'UE.
A che punto è il tuo prodotto, concretamente?
Il Risk Check gratuito (in inglese) ti dà in 3 minuti il verdetto sull'ambito, la classe di rischio, un punteggio di preparazione e una lista di azioni prioritizzata. Senza registrazione.
Oppure lascia fare a CRAdar in modo continuativo — ti avvisiamo al lancio:
Altri tipi di prodotto
Guida editoriale sul regolamento (UE) 2024/2847 — non è consulenza legale.