SCADENZA · 11 SETTEMBRE 2026
CRA Reporting Ready
Dall'assenza di processo a un sistema di segnalazione testato e operativo, in tre settimane.
PERIMETRO CHIUSO · OUTPUT DICHIARATO · DISPONIBILITÀ LUGLIO–AGOSTO 2026
IL PROBLEMA
L'obbligo scatta anche per i prodotti già sul mercato
Dall'11 settembre 2026 ogni produttore di prodotti con elementi digitali venduti nel mercato europeo ha l'obbligo di segnalare le vulnerabilità attivamente sfruttate e gli incidenti gravi che impattano la sicurezza dei propri prodotti. La segnalazione passa per la Single Reporting Platform di ENISA, indirizzata al CSIRT nazionale, con tempi stretti.
L'obbligo riguarda i prodotti già sul mercato, non solo quelli nuovi. I tempi non sono compatibili con l'improvvisazione: chi scopre l'11 settembre di non avere un processo lo scopre nel momento peggiore — durante un incidente reale.
Il punto non è la sanzione. È che un'azienda in grado di gestire una segnalazione in 24 ore ha già costruito metà del sistema di vulnerability management che il CRA richiederà per intero da dicembre 2027. Arrivare pronti a settembre è il primo passo — quello a costo più basso — verso la conformità completa.
PER CHI
Produttori con prodotti connessi venduti in Europa
Questo pacchetto è per produttori di macchinari, sistemi embedded o componenti connessi venduti nel mercato europeo. Interlocutori: CTO, responsabile R&D, CEO. Non richiede un team di sicurezza interno — il processo viene dimensionato sulle risorse reali dell'azienda.
I miei prodotti rientrano in scope?
Se il prodotto ha software ed è connesso — o connettibile — quasi certamente sì. La verifica puntuale è parte della Fase 1. Meglio scoprirlo durante il briefing che durante un'ispezione.
Non abbiamo mai avuto incidenti. Conta comunque?
L'obbligo non scatta quando l'incidente accade: il processo deve esistere prima. La conoscenza di una vulnerabilità sfruttata può arrivare da un cliente o da un ricercatore in qualsiasi momento — spesso senza preavviso.
Ci pensa il nostro system integrator o fornitore software?
Il soggetto obbligato è il produttore, non il fornitore. La responsabilità di notificare nelle 24 ore non si delega con un contratto.
COME FUNZIONA
Tre fasi in tre settimane
Un intervento a perimetro chiuso: scope definito, output dichiarato, timeline fissa. Non "a giornate, poi vediamo".
FASE 1 — FOTOGRAFIA · mezza giornata on-site o da remoto · Settimana 1
Censimento dei prodotti in scope CRA e verifica di cosa esiste già in azienda.
- Inventario dei prodotti con elementi digitali connessi o connettibili
- Mappatura dei canali con cui oggi l'azienda viene a conoscenza di vulnerabilità e incidenti (segnalazioni clienti, fornitori, ricercatori)
- Identificazione delle persone coinvolte nella catena di gestione
- Verifica di processi esistenti riutilizzabili: gestione ticket, processi qualità, contratti con fornitori software
Output intermedio: mappa dei prodotti in scope e gap rispetto agli obblighi CRA.
FASE 2 — COSTRUZIONE DEL PROCESSO · lavoro a distanza · Settimane 1–2
Progettazione e documentazione del processo calibrato sulle risorse reali dell'azienda.
- Processo di vulnerability handling e incident reporting: chi riceve la segnalazione, chi valuta, chi decide, chi notifica — nei tempi CRA
- Matrice ruoli e responsabilità
- Template operativi pronti all'uso (early warning, notifica completa, report finale, comunicazione agli utenti)
- Policy di coordinated vulnerability disclosure pubblicabile (canale di contatto per ricercatori e clienti)
- Registro vulnerabilità e incidenti — struttura pronta all'uso
FASE 3 — TEST E CONSEGNA · 1 giornata on-site · Settimana 3
Simulazione tabletop e consegna finale.
- Simulazione tabletop: una vulnerabilità sfruttata segnalata da un cliente, gestita dal team con il nuovo processo, contro il cronometro delle 24/72 ore
- Identificazione e correzione dei punti che non funzionano sotto pressione
- Sessione finale di consegna con CEO/CTO: revisione completa del materiale prodotto e dei passi successivi
OUTPUT CONSEGNATO
Cosa rimane in azienda a fine intervento
Procedura di vulnerability handling e incident reporting conforme ai requisiti CRA
Matrice ruoli e responsabilità: chi fa cosa nelle prime 24 ore, nelle 72, fino al report finale
Template operativi pronti: early warning, notifica completa, report finale, comunicazione agli utenti
Policy di coordinated vulnerability disclosure pubblicabile sul sito aziendale
Registro vulnerabilità e incidenti — struttura pronta all'uso, da popolare da subito
Esito documentato della simulazione tabletop con i punti di attenzione residui
PERIMETRO
Cosa questo pacchetto non copre
CRA Reporting Ready risolve un obbligo specifico con una data: il processo di segnalazione, operativo dall'11 settembre 2026. Non include:
- La conformità CRA completa (requisiti essenziali, technical file, valutazione di conformità) — scadenza dicembre 2027
- Il monitoraggio continuativo delle vulnerabilità nel tempo
- La gestione di incidenti reali in corso al momento dell'intervento
Questi elementi sono coperti da percorsi successivi — il CRA Compliance Manager per il presidio annuale, l'OT Compass per la fotografia completa dell'esposizione.
NEL PERCORSO CRA
Il primo passo, quello a costo più basso
Chi completa CRA Reporting Ready ha già toccato con mano che gli obblighi CRA sono continuativi: il monitoraggio CVE, l'aggiornamento SBOM, la documentazione tecnica non si fermano dopo settembre. Il passo successivo naturale è il CRA Compliance Manager — e l'onboarding è già fatto: la conoscenza dell'azienda è inclusa nel pacchetto.
La finestra utile per partire è adesso
L'intervento dura tre settimane di calendario. Chi vuole arrivare pronto all'11 settembre deve partire entro luglio. Per verificare se i tuoi prodotti rientrano negli obblighi di reporting, il Regulatory Spark è il punto di partenza: 45 minuti gratuiti per mappare l'esposizione e confermare se questo pacchetto è quello giusto.
Prenota il Regulatory Spark — gratuito