CRA per i fabbricanti polacchi: CSIRT NASK, KSC e PCA

Scheda paese per i fabbricanti polacchi secondo il CRA: CSIRT NASK, accreditamento PCA, sovrapposizione KSC, obblighi linguistici e finanziamenti FENG/KPO.

Team CRA Evidence Pubblicato 7 gennaio 2026 Aggiornato 31 maggio 2026
Country brief CRA per i fabbricanti polacchi: due fogli sovrapposti raffigurano il doppio regime KSC e CRA, con la catena istituzionale CSIRT NASK, PCA e Ministerstwo Cyfryzacji
In questo articolo

I fabbricanti polacchi sono soggetti agli stessi obblighi della Legge sulla ciberresilienza di qualsiasi altro fabbricante UE, con una particolarità che gli altri Stati membri non hanno nella stessa misura: una legge nazionale parallela sulla cibersicurezza, il KSC Act emendato, entrato in vigore il 3 aprile 2026, che si sovrappone alla Legge sulla ciberresilienza in alcuni punti ma non in tutti. Questa pagina è un country brief per la Polonia: come le segnalazioni di vulnerabilità e di incidenti transitano per CSIRT NASK, dove si inserisce PCA come organismo di accreditamento, come il regime KSC si affianca alla Legge sulla ciberresilienza, cosa richiedono gli obblighi linguistici in polacco in base alla legge del 1999, e quali programmi tra FENG, KPO e le linee dedicate alla cibersicurezza sono realistici per gli investimenti di conformità. Per il quadro completo degli obblighi del fabbricante, consulti la guida cluster del fabbricante.

Sintesi

  • La Legge sulla ciberresilienza è un Regolamento UE ad efficacia diretta. Non esistono esenzioni specifiche per i fabbricanti polacchi.
  • CSIRT NASK (gestito da NASK come CSIRT nazionale per il settore civile) è il canale polacco per le segnalazioni di vulnerabilità e di incidenti quando lo stabilimento principale del fabbricante è in Polonia. CSIRT MON e CSIRT GOV sono fuori dall'ambito per i fabbricanti commerciali.
  • PCA (Polskie Centrum Akredytacji) è l'unico organismo nazionale di accreditamento polacco e sta sviluppando il regime di accreditamento e notifica per la Legge sulla ciberresilienza. L'autorità polacca di notifica formale per gli organismi notificati CRA non è ancora stata confermata nel Dziennik Ustaw. Il Ministerstwo Cyfryzacji guida la consultazione sullo strumento di attuazione.
  • KSC e Legge sulla ciberresilienza si sovrappongono, ma solo parzialmente. L'Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) emendato, pubblicato nel Dziennik Ustaw il 2 marzo 2026 e in vigore dal 3 aprile 2026, riguarda l'organizzazione come entità chiave o importante. La Legge sulla ciberresilienza riguarda i prodotti. Un fabbricante polacco che rientra in entrambi i regimi ha registrazioni, flussi di segnalazione e sanzioni separati (KSC fino a 100 milioni di PLN, Legge sulla ciberresilienza fino a 15 milioni di EUR o il 2,5% del fatturato globale).
  • Il polacco (język polski) è obbligatorio per le informazioni sul prodotto destinate agli utenti nel mercato polacco, in base agli Articoli 7 e 7a della legge del 1999 sulla lingua polacca. L'obbligo della Legge sulla ciberresilienza si allinea a questa norma nazionale.
  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) è il principale programma UE di investimento per le PMI fino al 2027, con una Priorità 5, introdotta nel 2025 tramite la modifica FENG/STEP, che copre direttamente la cibersicurezza. KPO (Krajowy Plan Odbudowy) è in chiusura della finestra NextGenerationEU (scadenza 31 agosto 2026) e non è praticabile per gli obblighi al 2027.

A chi si applica questa guida

Il lettore di riferimento è il fabbricante il cui «stabilimento principale nell'Unione» si trova in Polonia. Si tratta del luogo in cui vengono prevalentemente adottate le decisioni relative alla cibersicurezza dei prodotti con elementi digitali. Una controllata commerciale registrata in Polonia con l'ingegneria all'estero non è lo stabilimento principale. Se il team di ingegneria, la governance del ciclo di sviluppo del software e le persone che approvano i rilasci degli aggiornamenti di sicurezza si trovano in Polonia, questa guida è per Lei.

Se lo stabilimento principale è altrove nell'UE e Lei spedisce soltanto in Polonia, le segnalazioni CRA transitano per il CSIRT dello Stato membro del suo stabilimento principale, non per CSIRT NASK. L'obbligo della lingua polacca per le informazioni destinate agli utenti si applica comunque per qualsiasi prodotto immesso sul mercato polacco.

NASK e CSIRT NASK: il canale CSIRT polacco

Le segnalazioni CRA transitano per il CSIRT designato come coordinatore dello Stato membro in cui il fabbricante ha il proprio stabilimento principale nell'Unione. Per un fabbricante il cui stabilimento principale è in Polonia, tale CSIRT è CSIRT NASK, il CSIRT nazionale gestito all'interno di NASK (Naukowa i Akademicka Sieć Komputerowa), il gestore nazionale della rete di ricerca e istruzione del paese e storico ospite di CERT Polska.

La Polonia gestisce tre CSIRT di livello nazionale in base al regime KSC: CSIRT NASK per il settore civile (inclusi i fabbricanti commerciali, le amministrazioni locali e la maggior parte degli enti pubblici), CSIRT MON per il settore militare e CSIRT GOV per l'amministrazione centrale dello Stato. Per un fabbricante commerciale che immette un prodotto con elementi digitali sul mercato UE, il canale è CSIRT NASK. Gli altri due sono fuori dall'ambito.

Il canale tecnico per la cadenza di segnalazione a 24 ore, 72 ore e 14 giorni è la piattaforma unica di segnalazione ENISA, che diventa operativa l'11 settembre 2026. Un fabbricante polacco trasmette tramite quella piattaforma con CSIRT NASK come coordinatore ricevente. La designazione del CSIRT definisce l'instradamento. La piattaforma è il canale tecnico.

Organismi notificati: PCA accredita, designazione dell'autorità di notifica in corso

I prodotti di Classe I Importante necessitano di un organismo notificato (Modulo B+C o Modulo H) solo quando norme armonizzate, specifiche comuni o uno schema di certificazione non coprono integralmente i requisiti del prodotto. I prodotti di Classe II Importante utilizzano un organismo notificato (Modulo B+C o Modulo H) oppure uno schema di certificazione disponibile e applicabile. I prodotti Critici (Allegato IV) seguono l'Articolo 32(4): il percorso di certificazione ai sensi dell'Articolo 8(1) quando la Commissione lo ha attivato, altrimenti gli stessi percorsi dell'Articolo 32(3).

La catena istituzionale polacca è:

  • PCA (Polskie Centrum Akredytacji) è l'unico organismo nazionale di accreditamento in Polonia, con lo status di persona giuridica di diritto pubblico vigilata dal ministro responsabile dell'economia. PCA è l'unico ente autorizzato a rilasciare l'accreditamento agli organismi di valutazione della conformità e sta sviluppando attivamente il regime di accreditamento e notifica per gli organismi di valutazione della conformità CRA. L'accreditamento ai sensi della norma ISO/IEC 17065:2012 è il passaggio tecnico che precede la notifica.
  • L'autorità di notifica che designa formalmente gli organismi notificati CRA polacchi alla Commissione europea non è ancora stata confermata nel Dziennik Ustaw. Il Ministerstwo Cyfryzacji è il candidato principale in base al suo ruolo nella consultazione, ma la designazione formale sarà contenuta nello strumento di attuazione polacco.

Il regime della Legge sulla ciberresilienza per gli organismi notificati si applica dall'11 giugno 2026, data dalla quale gli organismi designati potranno iniziare a rilasciare i certificati di valutazione della conformità CRA. A metà 2026 la catena polacca si sta costituendo parallelamente allo strumento di attuazione. Un fabbricante polacco può avvalersi di qualsiasi organismo notificato UE, non solo di quelli designati in Polonia. Scegliere un organismo designato in Polonia è una preferenza di approvvigionamento e non un requisito della Legge sulla ciberresilienza. Le designazioni CRA definitive sono pubblicate nella banca dati NANDO della Commissione europea.

KSC e Legge sulla ciberresilienza: dove si sovrappongono e dove no

L'Ustawa o krajowym systemie cyberbezpieczeństwa (KSC Act) emendato è la trasposizione polacca della NIS2. È stato pubblicato nel Dziennik Ustaw il 2 marzo 2026, è entrato in vigore il 3 aprile 2026 dopo un vacatio legis di un mese, concede agli enti rientranti nell'ambito fino al 3 aprile 2027 per adeguarsi e richiede l'auto-identificazione più la registrazione nel registro KSC entro il 3 ottobre 2026. Le sanzioni massime raggiungono 100 milioni di PLN.

I due regimi si sovrappongono, ma non si sostituiscono l'uno all'altro:

  • Il KSC riguarda l'ente. Si applica all'organizzazione come «entità chiave» (podmiot kluczowy) o «entità importante» (podmiot ważny) se ricade in uno dei settori indicati nel testo normativo. Gli obblighi di governance, gestione del rischio, segnalazione degli incidenti e sicurezza della catena di fornitura si applicano all'organizzazione.
  • La Legge sulla ciberresilienza riguarda il prodotto. Si applica a ogni prodotto con elementi digitali immesso sul mercato UE, indipendentemente dal fatto che l'organizzazione rientri nell'ambito del KSC. I requisiti essenziali di cibersicurezza, la gestione delle vulnerabilità, la documentazione tecnica e la marcatura CE si applicano al prodotto.

Un fabbricante polacco che è al contempo un ente in ambito KSC e un fabbricante di prodotti CRA ha entrambi i regimi. Le segnalazioni di incidenti transitano per CSIRT NASK in entrambi i casi, ma gli obblighi sottostanti differiscono: il KSC traccia gli incidenti operativi a livello di organizzazione, la Legge sulla ciberresilienza traccia le vulnerabilità attivamente sfruttate e gli incidenti gravi a livello di prodotto. La scadenza per l'auto-identificazione KSC del 3 ottobre 2026 va trattata come un'attività a livello di organizzazione, separata dalla preparazione CRA dei prodotti. Il registro KSC non è la piattaforma di segnalazione CRA.

Gli obblighi linguistici in polacco nella pratica

La Legge sulla ciberresilienza richiede che le informazioni sul prodotto destinate agli utenti siano in una lingua facilmente comprensibile dagli utenti e dall'autorità di vigilanza del mercato locale. Per i prodotti immessi sul mercato polacco, quella lingua è il polacco. Gli Articoli 7 e 7a della legge del 1999 sulla lingua polacca (Ustawa z dnia 7 października 1999 r. o języku polskim) richiedono autonomamente il polacco nella denominazione dei prodotti di consumo, nelle condizioni di garanzia, nelle fatture, nelle ricevute, nelle avvertenze, nelle istruzioni per l'uso e nelle informazioni sulle caratteristiche del prodotto. L'obbligo della Legge sulla ciberresilienza si allinea a questa norma nazionale consolidata.

Deve essere in polacco:

  • Le istruzioni per l'utente e le informazioni sul prodotto che accompagnano il prodotto.
  • I recapiti del fabbricante, ovunque siano indicati.
  • La comunicazione della data di fine supporto mostrata al punto di vendita.
  • Le condizioni di garanzia e le informazioni sui diritti dei consumatori che accompagnano il prodotto.

Può essere multilingue:

  • L'etichetta del prodotto e la marcatura CE.
  • Il testo sul packaging.
  • La documentazione online, a condizione che sia accessibile una versione in polacco.

L'inglese è normalmente accettato per:

  • La documentazione tecnica interna. L'autorità di vigilanza del mercato polacca può richiedere una traduzione in polacco su richiesta motivata, quindi è opportuno prepararsi a questa eventualità.

L'Articolo 7a, comma 1 della legge del 1999 consente di utilizzare un'indicazione visiva o un simbolo tecnicamente chiaro quando il tipo di informazione lo permette. L'Articolo 11 esenta i nomi propri, i marchi commerciali, le indicazioni di origine del prodotto e la terminologia scientifica o tecnica di uso consolidato dall'obbligo della lingua polacca. La dichiarazione UE di conformità deve essere resa disponibile nelle lingue richieste dallo Stato membro in cui il prodotto è immesso o messo a disposizione sul mercato.

Vendite transfrontaliere dalla Polonia

I fabbricanti polacchi che vendono in Germania, nella Repubblica Ceca, in Francia o in qualsiasi altro Stato membro dell'UE seguono la stessa regola di instradamento unico: le segnalazioni continuano a transitare per CSIRT NASK, perché l'instradamento segue lo stabilimento principale, non la destinazione per singola spedizione. Non è necessario inviare segnalazioni al CSIRT tedesco, ceco o francese.

L'obbligo linguistico si ramifica per ciascun mercato. Un prodotto spedito nel mercato tedesco richiede il contenuto destinato agli utenti in tedesco. Un prodotto spedito nel mercato francese richiede il contenuto in francese. Il pacchetto in lingua polacca non copre quei mercati.

L'autorità di vigilanza del mercato di ciascuno Stato membro di destinazione può anche richiedere la documentazione tecnica in una lingua facilmente comprensibile per quell'autorità. Se la distribuzione abbraccia ampliamente l'UE, ci si aspetti richieste in almeno una lingua di lavoro ampiamente utilizzata, e anticipare la traduzione delle sezioni di documentazione tecnica più richieste è un accorgimento pratico utile.

Programmi di finanziamento nazionali

Il quadro polacco dei finanziamenti per gli investimenti CRA nel 2026 comprende un programma pluriennale attivo, uno in chiusura e alcune linee dedicate alla cibersicurezza.

  • FENG (Fundusze Europejskie dla Nowoczesnej Gospodarki) è il principale programma UE di innovazione e investimento per le PMI per il 2021-2027, gestito da PARP. Nel maggio 2025, la Commissione ha accettato una modifica FENG che ha introdotto la Priorità 5 per tecnologie della difesa allineate a STEP e investimenti dual-use, inclusa la cibersicurezza. Un fondo separato per la Trasformazione Digitale e l'Ambiente all'interno di FENG apre le domande di prestito per le PMI nel terzo trimestre 2026. Gli investimenti CRA in strumenti SBOM, piattaforme di gestione delle vulnerabilità e infrastrutture di sicurezza by design rientrano nell'ambito quando il lavoro è genuina innovazione o digitalizzazione del processo produttivo.
  • KPO (Krajowy Plan Odbudowy) è il Piano nazionale di ripresa e resilienza della Polonia, con una dotazione totale di circa 54,7 miliardi di EUR (25,3 miliardi di EUR in sovvenzioni, 29,4 miliardi di EUR in prestiti agevolati). Gli investimenti KPO devono essere eseguiti entro il 31 agosto 2026 secondo la scadenza del sunset NextGenerationEU, con le richieste di pagamento finale entro il 30 settembre 2026. Il KPO non è quindi un veicolo di pianificazione praticabile per la scadenza CRA dell'11 dicembre 2027.
  • Sovvenzioni regionali per le PMI nel campo della cibersicurezza tramite PARP e i programmi operativi regionali rientrano tipicamente nell'intervallo da 20.000 a 200.000 PLN e coprono audit diagnostici, formazione sullo sviluppo sicuro e progetti pilota di strumenti. Utili per una diagnosi iniziale, non per l'intero programma CRA.

Per gli investimenti di conformità calcolati rispetto alla scadenza dell'11 dicembre 2027, il quadro realistico dei finanziamenti pubblici in Polonia è FENG (Priorità 5 e Fondo per la Trasformazione Digitale) più i programmi regionali per le PMI.

Domande frequenti

Quale CSIRT polacco riceve le mie segnalazioni di vulnerabilità CRA?

CSIRT NASK, il CSIRT nazionale per il settore civile, quando lo stabilimento principale del fabbricante è in Polonia. CSIRT MON (militare) e CSIRT GOV (governo centrale) non rientrano nell'ambito per i fabbricanti commerciali. Le segnalazioni vengono trasmesse tramite la piattaforma unica di segnalazione ENISA dall'11 settembre 2026, con CSIRT NASK come coordinatore ricevente. CERT Polska è il marchio operativo di lungo corso all'interno di NASK e pubblica bollettini in lingua polacca.

Chi designa gli organismi notificati polacchi, PCA o il Ministero?

PCA (Polskie Centrum Akredytacji) è l'unico organismo nazionale di accreditamento polacco e sta sviluppando il regime di accreditamento e notifica CRA. PCA accredita gli organismi candidati ai sensi della norma ISO/IEC 17065:2012. L'autorità di notifica che designerà formalmente gli organismi notificati CRA polacchi alla Commissione europea non è ancora stata confermata nel Dziennik Ustaw. Il Ministerstwo Cyfryzacji è il candidato principale in base al suo ruolo nella consultazione, e la designazione formale sarà contenuta nello strumento di attuazione polacco. Un fabbricante polacco può comunque avvalersi di qualsiasi organismo notificato UE per la valutazione della conformità CRA.

La Legge sulla ciberresilienza sostituisce i miei obblighi KSC, o servono entrambi?

Entrambi. Il KSC Act emendato (in vigore dal 3 aprile 2026) riguarda l'organizzazione come entità chiave o importante. La Legge sulla ciberresilienza riguarda ogni prodotto con elementi digitali immesso sul mercato UE. Si sovrappongono sull'instradamento verso CSIRT NASK (che riceve entrambe le tipologie di segnalazione) e sulle discipline di sicurezza sottostanti, ma non si sostituiscono l'uno all'altro. Un fabbricante polacco che è anche un ente in ambito KSC ha entrambi i regimi, con registrazioni separate, flussi di segnalazione separati e sanzioni separate (KSC fino a 100 milioni di PLN, Legge sulla ciberresilienza fino a 15 milioni di EUR o il 2,5% del fatturato globale).

Quale autorità polacca è l'autorità di vigilanza del mercato per la Legge sulla ciberresilienza?

La designazione formale non è ancora stata pubblicata nel Dziennik Ustaw a metà 2026. Il Ministerstwo Cyfryzacji guida la consultazione sullo strumento di attuazione ed è il candidato più probabile, con PCA e un'autorità settoriale (UKE o UOKiK) potenzialmente a supporto a seconda della categoria di prodotto. Prima di qualsiasi deposito formale, verifichi la designazione definitiva nello strumento di attuazione polacco. Il flusso di segnalazione CRA tramite CSIRT NASK opera indipendentemente da come vengono ripartiti i ruoli di vigilanza del mercato.

Quando la Polonia pubblicherà la legge di attuazione CRA nel Dziennik Ustaw?

La Legge sulla ciberresilienza è un Regolamento UE ad efficacia diretta, quindi la Polonia non deve recepirla nel diritto nazionale per far decorrere gli obblighi sostanziali dall'11 dicembre 2027. Ciò che la Polonia deve pubblicare prima dell'11 giugno 2026 è uno strumento di attuazione (probabilmente una ustawa o un rozporządzenie) che designi formalmente l'autorità di vigilanza del mercato CRA, l'autorità di notifica per gli organismi di valutazione della conformità e il punto di contatto nazionale unico, e fissi la scala delle sanzioni polacche entro i massimali UE previsti dalla Legge sulla ciberresilienza. Il Ministerstwo Cyfryzacji ha condotto la consultazione. A metà 2026 nessuno strumento specifico per la Legge sulla ciberresilienza è comparso nel Dziennik Ustaw. Tenga d'occhio la scadenza del quadro normativo dell'11 giugno 2026 e consideri come provvisoria qualsiasi attribuzione anticipata di autorità da parte del settore, fino a quando quel testo non sarà pubblicato.

Devo tradurre tutto in polacco per le vendite B2B?

Per i prodotti immessi sul mercato polacco con utenti finali in Polonia, sì. La Legge sulla ciberresilienza richiede le informazioni per gli utenti in polacco. Gli Articoli 7 e 7a della legge del 1999 sulla lingua polacca richiedono autonomamente il polacco nella denominazione dei prodotti di consumo, nelle condizioni di garanzia, nelle istruzioni per l'uso e nelle informazioni sulle caratteristiche del prodotto. Le vendite B2B tra professionisti hanno una certa flessibilità sulla lingua contrattuale, ma una volta che il prodotto è immesso sul mercato polacco la Legge sulla ciberresilienza non distingue su questa base. Predisponga le informazioni per gli utenti in polacco, la comunicazione del periodo di supporto in polacco e i recapiti del fabbricante in polacco sia per i canali consumer sia per quelli professionali. I marchi commerciali, la terminologia scientifica e i termini tecnici di uso consolidato sono esplicitamente esenti dall'obbligo della lingua polacca.

FENG o KPO possono finanziare gli strumenti di conformità CRA?

FENG sì, quando il lavoro è genuina innovazione o digitalizzazione del processo produttivo. La Priorità 5 è stata introdotta dalla modifica FENG/STEP del 2025 e copre la cibersicurezza, e il Fondo per la Trasformazione Digitale all'interno di FENG apre le domande di prestito per le PMI nel terzo trimestre 2026. Il puro lavoro di conformità (audit, spese di valutazione della conformità) è più difficile da inserire. Il KPO è nella finestra di chiusura NextGenerationEU con l'esecuzione dei progetti entro il 31 agosto 2026 e le richieste di pagamento finale entro il 30 settembre 2026, quindi non è un veicolo di pianificazione praticabile per la scadenza dell'11 dicembre 2027.

Spedisco dalla Polonia verso altri Stati membri UE. Dove segnalo gli incidenti?

Tramite CSIRT NASK, indipendentemente dagli Stati membri verso cui spedisce. La Legge sulla ciberresilienza collega l'instradamento delle segnalazioni allo stabilimento principale, non alla destinazione per singola spedizione. L'obbligo linguistico si ramifica per ciascun mercato: informazioni sul prodotto in tedesco per i prodotti spediti in Germania, in ceco per i prodotti spediti nella Repubblica Ceca, e così via. Predisponga almeno le sezioni della documentazione tecnica più richieste in una lingua di lavoro ampiamente utilizzata per gestire le richieste motivate provenienti dalle autorità di vigilanza del mercato degli altri Stati membri.

Per i fabbricanti polacchi in preparazione all'11 dicembre 2027

  1. Confermi gli obblighi del fabbricante tramite la guida cluster del fabbricante.
  2. Verifichi che lo stabilimento principale si trovi in Polonia e documenti la motivazione. Conta la sede in cui vengono adottate le decisioni in materia di cibersicurezza, non la sede legale.
  3. Mappa il flusso di segnalazione CRA su CSIRT NASK, con un'invio di prova alla piattaforma unica di segnalazione ENISA non appena sarà operativa l'11 settembre 2026.
  4. Effettui la verifica di auto-identificazione KSC entro il 3 ottobre 2026 se è anche un'entità chiave o importante. Tratti KSC e Legge sulla ciberresilienza come due flussi di conformità separati che condividono l'instradamento verso CSIRT NASK ma non gli obblighi.
  5. Se il percorso di valutazione della conformità richiede un organismo notificato, valuti gli organismi accreditati PCA come opzione principale, più un'alternativa transfrontaliera. Tenga d'occhio il Dziennik Ustaw per la designazione dell'autorità di notifica polacca.
  6. Traduca le istruzioni per l'utente in polacco ai sensi della legge del 1999. Aggiunga le traduzioni per ciascun mercato degli altri Stati membri verso cui spedisce.
  7. Valuti FENG Priorità 5 e il Fondo per la Trasformazione Digitale rispetto agli investimenti in strumenti di cibersicurezza. Non pianifichi il KPO per gli obblighi al 2027.
  8. Legga il questionario di due diligence sui fornitori per il quadro di due diligence sui componenti dal lato del fabbricante.

Questo articolo è fornito a solo scopo informativo e non costituisce consulenza legale. Per una guida specifica sulla conformità CRA, consulti un consulente legale qualificato.

CRA Polonia Gestione delle vulnerabilità
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
View full CRA compliance guide