Il CRA si applica al mio prodotto? / Plugin WordPress
Conformità CRA per plugin e temi WordPress
I plugin e i temi WordPress commerciali (premium, freemium con livelli a pagamento, o gratuiti come canale verso un servizio a pagamento) sono prodotti con elementi digitali. WordPress fa girare circa il 40% del web e le vulnerabilità dei plugin sono un vettore d'attacco di prim'ordine — le autorità lo sanno.
Cosa significa concretamente per te
- ▸La via wordpress.org puramente gratuita, senza alcuna monetizzazione, può restare fuori dall'«attività commerciale» — ma un plugin gratuito che promuove il tuo SaaS a pagamento è commerciale.
- ▸La tua SBOM copre le librerie PHP incluse (Composer), il JavaScript incluso (il punto debole classico: vecchi plugin jQuery, librerie di grafici) e il codice copiato a mano.
- ▸Devi poter pubblicare patch in fretta: il canale di wordpress.org o un meccanismo di aggiornamento su licenza soddisfa il requisito — i plugin premium abbandonati sui marketplace no.
- ▸Una politica pubblica di divulgazione coordinata (CVD) conta doppio in questo ecosistema: la maggior parte delle CVE WordPress le trovano ricercatori esterni che hanno bisogno di un canale per contattarti.
La trappola in cui cade la maggior parte dei team
Librerie JS copiate e congelate anni fa. Scanner e auditor le trovano in pochi minuti — esattamente lo schema che l'allegato I parte II prende di mira.
Le scadenze
2026-09-11
Inizio degli obblighi di segnalazione: le vulnerabilità attivamente sfruttate e gli incidenti gravi vanno segnalati entro 24 h / 72 h tramite la piattaforma unica dell'ENISA.
2027-12-11
Applicazione piena: requisiti essenziali, documentazione tecnica, dichiarazione di conformità UE e marcatura CE diventano obbligatori per vendere nell'UE.
A che punto è il tuo prodotto, concretamente?
Il Risk Check gratuito (in inglese) ti dà in 3 minuti il verdetto sull'ambito, la classe di rischio, un punteggio di preparazione e una lista di azioni prioritizzata. Senza registrazione.
Oppure lascia fare a CRAdar in modo continuativo — ti avvisiamo al lancio:
Altri tipi di prodotto
Guida editoriale sul regolamento (UE) 2024/2847 — non è consulenza legale.