Il CRA si applica al mio prodotto? / Dispositivo IoT / connesso
Conformità CRA per IoT e hardware connesso
L'hardware connesso è il bersaglio originario del CRA. Ogni dispositivo con elementi digitali venduto nell'UE è nell'ambito — e l'hardware porta il carico più pesante: SBOM del firmware, avvio sicuro, infrastruttura di aggiornamento e, per alcune categorie, la valutazione di un organismo notificato.
Cosa significa concretamente per te
- ▸Controlla con attenzione gli allegati III/IV: prodotti smart home con funzione di sicurezza (serrature, telecamere, baby monitor, allarmi), router/modem, chip di sicurezza e gateway dei contatori intelligenti ricadono in classi superiori — con organismo notificato.
- ▸Le SBOM del firmware (strati di Linux embedded, componenti RTOS, librerie C copiate) sono molto più onerose di quelle delle app — metti in conto vera ingegneria, non una casella da spuntare.
- ▸Servono aggiornamenti OTA con protezione dell'integrità per la vita utile realistica del dispositivo; un dispositivo non aggiornabile è quasi invendibile sotto il CRA.
- ▸Le password predefinite sono di fatto vietate (sicurezza per impostazione predefinita) — credenziali per dispositivo o configurazione forzata al primo avvio.
La trappola in cui cade la maggior parte dei team
L'economia del periodo di supporto: i margini hardware raramente includono 5+ anni di ingegneria della sicurezza. Mettilo nel prezzo adesso — o l'obbligo si mangerà il margine dopo.
Le scadenze
2026-09-11
Inizio degli obblighi di segnalazione: le vulnerabilità attivamente sfruttate e gli incidenti gravi vanno segnalati entro 24 h / 72 h tramite la piattaforma unica dell'ENISA.
2027-12-11
Applicazione piena: requisiti essenziali, documentazione tecnica, dichiarazione di conformità UE e marcatura CE diventano obbligatori per vendere nell'UE.
A che punto è il tuo prodotto, concretamente?
Il Risk Check gratuito (in inglese) ti dà in 3 minuti il verdetto sull'ambito, la classe di rischio, un punteggio di preparazione e una lista di azioni prioritizzata. Senza registrazione.
Oppure lascia fare a CRAdar in modo continuativo — ti avvisiamo al lancio:
Altri tipi di prodotto
Guida editoriale sul regolamento (UE) 2024/2847 — non è consulenza legale.