CRA vs ISO 27001: le lacune di conformità che il suo ISMS non copre

ISO 27001 non copre il CRA. Questa guida mostra dove il suo ISMS aiuta, dove è carente e cosa aggiungere prima della scadenza del 2027.

CRA Evidence Team Pubblicato 12 gennaio 2026 Aggiornato 30 maggio 2026
Copertina editoriale del confronto tra CRA e ISO 27001 con sottotitolo dedicato alle lacune di conformità
In questo articolo

Se la sua azienda è certificata ISO 27001, potrebbe pensare di essere ben posizionata per il Regolamento sulla ciberresilienza (CRA). Non lo è. Non senza un lavoro aggiuntivo significativo.

ISO 27001 protegge le risorse informative della sua organizzazione. Il Regolamento sulla ciberresilienza (Regolamento (UE) 2024/2847) richiede che ogni prodotto con elementi digitali immesso sul mercato UE sia sicuro per progettazione, venga fornito con un software bill of materials (SBOM) e sia sostenuto con aggiornamenti di sicurezza per tutta la sua vita utile prevista. Si tratta di obblighi a livello di prodotto, non organizzativi. La non conformità comporta sanzioni fino a 15 milioni di EUR o il 2,5% del fatturato annuo globale (Articolo 64). Consulti la guida alle sanzioni CRA.

Gli obblighi di segnalazione dell'Articolo 14 iniziano l'11 settembre 2026. La piena conformità è richiesta entro l'11 dicembre 2027. Consulti la cronologia completa di attuazione del CRA.

Questa guida su ISO 27001 vs CRA mostra dove il suo ISMS aiuta, dove è carente e cosa deve aggiungere.

Sintesi

  • ISO 27001 = gestione della sicurezza organizzativa e aziendale
  • CRA = requisiti di cibersicurezza del prodotto (Allegato I, Regolamento (UE) 2024/2847)
  • ISO 27001 NON equivale alla conformità CRA
  • ISO 27001 fornisce una base per i processi di sviluppo sicuro
  • Il CRA richiede prove specifiche per prodotto: SBOM, gestione delle vulnerabilità, marcatura CE
  • I due insieme danno una postura di sicurezza complessiva solida
15 mln €
Sanzione massima
o 2,5% del fatturato annuo globale
11 set. 2026
Segnalazione Articolo 14
iniziano gli obblighi di vulnerabilità
11 dic. 2027
Piena applicazione CRA
valutazione della conformità richiesta
5 anni
Supporto minimo
o vita utile prevista (Articolo 13, paragrafo 8)

Fonte: Regolamento (UE) 2024/2847, Articoli 13, 14 e 64.

Cosa copre ISO 27001 rispetto a cosa richiede il CRA?

Cosa copre ISO 27001

ISO 27001 è uno standard per i sistemi di gestione della sicurezza delle informazioni (ISMS) per controlli a livello organizzativo.

Controlli a livello organizzativo
  • Politiche di sicurezza delle informazioni
  • Gestione degli asset
  • Controllo degli accessi a sistemi e dati
  • Uso della crittografia
  • Sicurezza fisica, operativa e delle comunicazioni
  • Relazioni con i fornitori
  • Gestione degli incidenti
  • Continuità operativa
  • Gestione della conformità

Focus: proteggere le risorse informative della sua organizzazione.

Cosa copre il CRA

Il CRA è una normativa di prodotto che copre requisiti di cibersicurezza per prodotti con elementi digitali (Allegato I).

Requisiti a livello di prodotto
  • Sicurezza per progettazione nei prodotti
  • Nessuna vulnerabilità sfruttabile nota
  • Configurazione predefinita sicura
  • Protezione dall’accesso non autorizzato nel prodotto
  • Protezione dei dati e capacità di aggiornamento del prodotto
  • Gestione delle vulnerabilità e segnalazione a ENISA
  • SBOM per i componenti del prodotto (Allegato I, Parte II(1))
  • Politica di divulgazione coordinata delle vulnerabilità (Allegato I, Parte II(5))
  • Contatto pubblico per le vulnerabilità (Allegato I, Parte II(6))
  • Marcatura CE e valutazione della conformità

Focus: garantire che i prodotti venduti siano sicuri.

Il CRA classifica i prodotti in categorie: predefinita, Importante Classe I, Importante Classe II e Critica (Allegati III e IV). Ogni categoria comporta requisiti diversi di valutazione della conformità. Un prodotto Importante Classe II richiede una valutazione obbligatoria di parte terza da parte di un organismo notificato, indipendentemente dallo stato di certificazione ISO 27001. Consulti la guida alla classificazione dei prodotti CRA.

La differenza fondamentale

Diagramma ISO 27001 vs CRA con tre strati sovrapposti: sicurezza organizzativa coperta da ISO 27001, processi di sviluppo condivisi e sicurezza prodotto richiesta dal CRA

Dove ISO 27001 aiuta il CRA e dove è carente

Dove ISO 27001 aiuta il CRA

Requisito CRA Supporto ISO 27001 Come aiuta
Sviluppo sicuro A.8.25-28 (Sviluppo sicuro) Base del processo
Gestione delle vulnerabilità A.8.8 (Vulnerabilità tecniche) Processo organizzativo
Risposta agli incidenti A.5.24-26 (Gestione incidenti) Capacità di risposta
Gestione dei fornitori A.5.19-22 (Relazioni con fornitori) Sicurezza della supply chain
Controllo accessi A.5.15-18, A.8.2-5 Sicurezza dell'ambiente di sviluppo
Crittografia A.8.24 (Crittografia) Base della politica crittografica
Documentazione A.5.1 (Politiche), 7.5 (Info documentate) Cultura della documentazione
Valutazione del rischio 6.1 (Valutazione del rischio) Metodologia di rischio

Dove ISO 27001 è carente

Requisito CRA Lacuna ISO 27001 Cosa manca
SBOM Parziale: A.8.26/A.8.28 coprono la consapevolezza dei componenti, non il formato SBOM leggibile da macchina SBOM leggibile da macchina che copre almeno le dipendenze di primo livello (Allegato I, Parte II(1)); il CRA non nomina un formato specifico; CycloneDX e SPDX sono scelte pratiche comuni
Marcatura CE Non coperto Processo di valutazione della conformità
Test di sicurezza prodotto Limitato Prove di test specifiche per il fascicolo tecnico
Sicurezza per impostazione predefinita Non orientato al prodotto Requisiti di configurazione del prodotto
Periodo di supporto Non coperto Almeno 5 anni o vita utile prevista del prodotto se inferiore (Articolo 13, paragrafo 8)
Segnalazione a ENISA Non coperto Notifica 24h/72h più rapporto finale al CSIRT nazionale tramite Piattaforma di segnalazione unica (Articolo 14)
Politica CVD Non coperto Politica documentata di divulgazione coordinata delle vulnerabilità (Allegato I, Parte II(5))
Contatto pubblico vulnerabilità Non coperto Punto di contatto unico per le segnalazioni di vulnerabilità, ad esempio security.txt (Allegato I, Parte II(6))
Documentazione utente Limitato Istruzioni di sicurezza del prodotto
Fascicolo tecnico Non coperto Formato di documentazione CRA per Allegato VII

Sintesi dell'analisi delle lacune

Base solida (ISO 27001 aiuta in modo significativo):

  • Cultura e consapevolezza della sicurezza
  • Metodologia di gestione del rischio
  • Capacità di risposta agli incidenti
  • Gestione della sicurezza dei fornitori
  • Politiche del ciclo di sviluppo sicuro
  • Quadro di controllo degli accessi
  • Pratiche di documentazione

Copertura parziale (ISO 27001 aiuta ma non è sufficiente):

  • Gestione delle vulnerabilità (ambito organizzativo vs ambito prodotto)
  • Crittografia (politica vs attuazione nel prodotto)
  • Test di sicurezza (sistemi aziendali vs test del prodotto)
  • Gestione delle modifiche (modifiche IT vs modifiche al prodotto)
  • SBOM (consapevolezza dei componenti in A.8.26/A.8.28 vs formato SBOM leggibile da macchina)

Lacune (specifiche del CRA, non coperte da ISO 27001):

  • Generazione e manutenzione di SBOM in formato standardizzato
  • Valutazione della conformità del prodotto
  • Processo di marcatura CE
  • Segnalazione delle vulnerabilità al CSIRT nazionale tramite Piattaforma di segnalazione unica (Articolo 14)
  • Fascicolo tecnico specifico per prodotto (Allegato VII)
  • Impegno sul periodo di supporto (Articolo 13, paragrafo 8)
  • Verifica della configurazione predefinita sicura
  • Requisiti del meccanismo di aggiornamento del prodotto
  • Politica di divulgazione coordinata delle vulnerabilità (Allegato I, Parte II(5))
  • Contatto pubblico per la segnalazione di vulnerabilità (Allegato I, Parte II(6))

Come usare ISO 27001 per il CRA

Usi il suo ISMS come base

Se è certificata ISO 27001, ha basi solide su cui costruire. La chiave è estendere i processi esistenti verso gli obblighi di prodotto invece di partire da zero.

Estendere i processi esistenti:

Processo ISO 27001 Estensione CRA
Valutazione del rischio (6.1) Valutazione del rischio del prodotto
Gestione vulnerabilità (A.8.8) Gestione vulnerabilità prodotto più segnalazione al CSIRT
Gestione fornitori (A.5.19-22) Raccolta SBOM dai fornitori
Gestione incidenti (A.5.24-26) Segnalazione al CSIRT per Articolo 14
Sviluppo sicuro (A.8.25-28) Test di sicurezza prodotto e fascicolo tecnico

Nuovi processi da aggiungere:

Nuovo processo Scopo
Generazione SBOM Tracciamento componenti per Allegato I, Parte II(1)
Valutazione della conformità Marcatura CE
Fascicolo tecnico del prodotto Documentazione normativa per Allegato VII
Gestione del periodo di supporto Impegno per Articolo 13, paragrafo 8
Procedura di segnalazione a ENISA Notifica vulnerabilità tramite CSIRT nazionale
Politica CVD Divulgazione coordinata per Allegato I, Parte II(5)

Passi pratici di integrazione

Passo 1: estensione dell'ambito

  • Aggiunga la sicurezza del prodotto all'ambito del suo ISMS
  • Includa lo sviluppo del prodotto nella valutazione del rischio
  • Estenda l'inventario degli asset per includere i componenti del prodotto

Passo 2: aggiornamenti dei processi

  • Aggiorni la procedura sulle vulnerabilità per la segnalazione al CSIRT nazionale tramite la Piattaforma di segnalazione unica
  • Aggiunga SBOM alla gestione delle modifiche
  • Includa la cadenza di allerta precoce a 24 ore, notifica iniziale a 72 ore e rapporto finale nel processo di risposta agli incidenti

Passo 3: aggiunte alla documentazione

  • Fascicoli tecnici del prodotto
  • Registri SBOM
  • Prove di valutazione della conformità
  • Documentazione del periodo di supporto

Passo 4: ruoli e responsabilità

  • Assegni la responsabilità della sicurezza del prodotto
  • Definisca la responsabilità per le segnalazioni al CSIRT
  • Stabilisca la responsabilità per la manutenzione dello SBOM
  • Assegni la responsabilità della politica CVD

Controlli Allegato A di ISO 27001 e CRA

Controlli più rilevanti

Controllo Ruolo ISO 27001 Uso per CRA
A.8.25 Ciclo di sviluppo sicuro

Ruolo ISO 27001Politiche per lo sviluppo sicuro.

Uso per CRABase per i requisiti di sicurezza del prodotto (Allegato I, Parte I).

A.8.26 Requisiti di sicurezza delle applicazioni

Ruolo ISO 27001Requisiti di sicurezza nello sviluppo.

Uso per CRABase per i requisiti essenziali del prodotto; base parziale per l’inventario dei componenti SBOM.

A.8.27 Architettura sicura dei sistemi

Ruolo ISO 27001Principi di architettura sicura.

Uso per CRAArchitettura di sicurezza del prodotto.

A.8.28 Codifica sicura

Ruolo ISO 27001Pratiche di codifica sicura, incluso il tracciamento delle dipendenze.

Uso per CRASicurezza del codice del prodotto; base parziale per la consapevolezza dei componenti SBOM.

A.8.8 Gestione delle vulnerabilità tecniche

Ruolo ISO 27001Gestione organizzativa delle vulnerabilità.

Uso per CRAEstensione alle vulnerabilità del prodotto e segnalazione al CSIRT nazionale tramite Piattaforma di segnalazione unica (Articolo 14).

A.5.19-22 Relazioni con i fornitori

Ruolo ISO 27001Gestione della sicurezza dei fornitori.

Uso per CRARaccolta SBOM dai fornitori e sicurezza della supply chain.

La certificazione ISO 27001 conta per la valutazione della conformità CRA?

La certificazione ISO 27001 copre la conformità CRA?

Punto fondamentale:

  • La certificazione ISO 27001 dimostra la maturità della sicurezza organizzativa
  • La conformità CRA è un requisito normativo per singolo prodotto
  • Avere ISO 27001 non esenta dal CRA
  • I revisori ISO 27001 non valutano la conformità CRA

Gli obblighi di segnalazione dell'Articolo 14 iniziano l'11 settembre 2026. La piena conformità è richiesta entro l'11 dicembre 2027. La non conformità comporta sanzioni fino a 15 milioni di EUR o il 2,5% del fatturato annuo globale (Articolo 64).

Sinergie tra audit

Audit di sorveglianza ISO 27001:

  • Valutazione annuale dell'ISMS
  • Può includere l'ambito della sicurezza del prodotto
  • Prove riutilizzabili per il CRA

Valutazione della conformità CRA:

  • Valutazione specifica per prodotto
  • Fa riferimento all'ISMS per le prove di processo
  • Richiede prove aggiuntive specifiche del prodotto

Opportunità di sinergia:

  • Allineare i calendari degli audit
  • Riutilizzare le prove ove applicabile
  • Approccio integrato al sistema di gestione
  • Repository documentale unico

Tre scenari comuni ISO 27001 più CRA

Scenario 1 Certificata ISO 27001, inizio del percorso CRA

Usi l’ISMS come prova di processo. Non tratti il certificato come prova di conformità del prodotto.

Uso da ISO 27001

Metodologia di rischio, gestione dei fornitori, risposta agli incidenti e governance dello sviluppo sicuro.

Evidenza specifica CRA

Classificazione del prodotto, generazione SBOM, segnalazione Articolo 14 e fascicoli tecnici Allegato VII.

Regola decisionale: riutilizzare i controlli ISMS solo quando creano evidenza a livello di prodotto.

Scenario 2 Nessuna ISO 27001, approccio al CRA

Dia priorità alla normativa con scadenza fissa. Costruisca la disciplina ISO 27001 intorno a quel lavoro invece di ritardare il prodotto.

Dati sulle scadenze

La segnalazione Articolo 14 inizia l’11 settembre 2026. La piena applicazione del CRA inizia l’11 dicembre 2027.

Lavoro CRA prima

Classificazione, SBOM, fascicolo tecnico, politica CVD, contatto pubblico e workflow di segnalazione.

Regola decisionale: iniziare dagli obblighi normativi di prodotto, poi far maturare il modello operativo verso ISO 27001. Consulti la guida CRA per startup.

Scenario 3 Prodotti multipli, ISMS centralizzato

Centralizzi i controlli comuni, ma mantenga separata l’evidenza di conformità per ogni famiglia di prodotti.

Centralizzare

Metodo di rischio, gestione delle vulnerabilità, requisiti per i fornitori e standard di sviluppo.

Mantenere per prodotto

Fascicolo tecnico, SBOM, percorso di conformità, periodo di supporto ed evidenza di release.

Regola decisionale: una procedura condivisa di sicurezza prodotto, un registro evidenze per famiglia di prodotti.

Workstream di integrazione da ISO 27001 a CRA

Ambito e classificazione del prodotto

Obiettivo

Decidere quali prodotti rientrano nel CRA e quale classe si applica.

Output

Record di classificazione per famiglia di prodotti.

Evidenza

Razionale Allegati III/IV e percorso di conformità.

Modello di rischio di sicurezza prodotto

Obiettivo

Estendere il metodo di rischio ISMS ai casi di abuso e al rischio di ciclo di vita del prodotto.

Output

Valutazione del rischio prodotto.

Evidenza

Mappatura dei requisiti dell’Allegato I CRA.

SBOM ed evidenza dei fornitori

Obiettivo

Rendere ripetibile la visibilità dei componenti per ogni release di prodotto.

Output

Processo SBOM e requisiti di intake dei fornitori.

Evidenza

Allegato I, Parte II(1), A.5.19-22 e record SBOM collegati alle release.

Gestione e segnalazione delle vulnerabilità

Obiettivo

Collegare la gestione vulnerabilità ISO alla segnalazione prodotto CRA.

Output

Politica CVD, contatto pubblico e runbook di segnalazione CSIRT.

Evidenza

Allegato I, Parte II(5) e (6), ownership Articolo 14 e tempi di notifica.

Fascicolo tecnico e percorso di conformità

Obiettivo

Convertire la maturità dei processi in evidenza di conformità specifica del prodotto.

Output

Fascicolo tecnico Allegato VII, dichiarazione UE di conformità e decisione sul modulo.

Evidenza

Architettura di sicurezza, report di test, periodo di supporto e record di valutazione della conformità.

Ownership e formazione

Obiettivo

Rendere operativa la conformità prodotto, non un progetto una tantum.

Output

Responsabili nominati e formazione dei team.

Evidenza

Tabella delle responsabilità, registri di formazione e cadenza di audit interno.

Domande frequenti

La certificazione ISO 27001 esenta un'azienda dalla valutazione della conformità CRA?

No. La certificazione ISO 27001 dimostra la maturità della sicurezza delle informazioni a livello organizzativo, ma non costituisce una valutazione della conformità CRA. Il CRA richiede prove specifiche per prodotto: SBOM, fascicolo tecnico, dichiarazione UE di conformità e, ove applicabile, una valutazione da parte di un organismo notificato. Un certificatore che verifica il suo ISMS non valuta la conformità CRA. Consulti le rotte di valutazione della conformità CRA.

Quali controlli dell'Allegato A di ISO 27001 sono più direttamente rilevanti per l'Allegato I del CRA?

I controlli con la maggiore sovrapposizione sono A.8.25-28 (ciclo di sviluppo sicuro), A.8.8 (gestione delle vulnerabilità tecniche) e A.5.19-22 (relazioni con i fornitori). Corrispondono ai requisiti CRA relativi alla sicurezza per progettazione, all'obbligo di gestione delle vulnerabilità e alle disposizioni SBOM di supply chain. A.8.8 va esteso per coprire la segnalazione delle vulnerabilità del prodotto al CSIRT nazionale tramite la Piattaforma di segnalazione unica ENISA (Articolo 14).

Le prove di audit ISO 27001 possono essere riutilizzate in un fascicolo tecnico CRA?

Sì, in modo selettivo. Le prove del suo ISMS su sviluppo sicuro (A.8.25-28), gestione delle vulnerabilità (A.8.8) e controlli dei fornitori (A.5.19-22) possono essere richiamate nel fascicolo tecnico CRA. Il fascicolo tecnico richiede tuttavia anche prove specifiche per il prodotto, inclusi architettura di sicurezza, rapporti di test, SBOM e documentazione del periodo di supporto, che gli audit ISO 27001 non generano.

ISO 27001:2022 è più allineato al CRA rispetto a ISO 27001:2013?

Sì. ISO 27001:2022 ha aggiunto controlli più rilevanti per il CRA, in particolare A.8.25-28 (ciclo di sviluppo sicuro, requisiti di sicurezza delle applicazioni, architettura sicura, codifica sicura). La versione 2013 aveva una copertura più debole in queste aree. Se usa ancora la versione 2013, vale la pena eseguire un'analisi delle lacune rispetto ai controlli del 2022 specificamente per finalità CRA.

ISO 27001 copre il requisito SBOM del CRA?

Parzialmente. A.8.26 (requisiti di sicurezza delle applicazioni) e A.8.28 (codifica sicura) includono concetti di consapevolezza dei componenti e tracciamento delle dipendenze. ISO 27001 non richiede però uno SBOM leggibile da macchina che copra almeno le dipendenze di primo livello, come invece impone il CRA (Allegato I, Parte II(1)). Il CRA non specifica un formato; CycloneDX e SPDX sono scelte pratiche comuni; l'Articolo 13(24) consente alla Commissione di specificare il formato con atti di esecuzione in un secondo momento. La consapevolezza organizzativa è una base, non un sostituto.

Il lavoro di conformità CRA può essere integrato in un programma ISO 27001 in corso?

Sì, ed è l'approccio raccomandato per le aziende già certificate. Estenda l'ambito dell'ISMS per includere la sicurezza del prodotto, aggiunga procedure specifiche per il prodotto relative a SBOM e notifica al CSIRT, e faccia riferimento alle prove ISMS nei suoi fascicoli tecnici CRA. La chiave è aggiungere senza duplicare: le prove CRA si trovano nei fascicoli tecnici, non nello Statement of Applicability dell'ISMS.

Prossimi passi

Cosa fare nel prossimo trimestre

  1. Esegua un'analisi delle lacune dei suoi controlli Allegato A dell'ISMS rispetto all'Allegato I del CRA. Inizi da A.8.8, A.8.25-28 e A.5.19-22. Portano la maggior parte del peso.
  2. Classifichi ciascun prodotto in base agli Allegati III e IV. La rotta di valutazione della conformità dipende da questo, non dallo stato di certificazione ISO 27001.
  3. Estenda la dichiarazione di ambito dell'ISMS per includere la sicurezza del prodotto. Aggiorni lo Statement of Applicability in modo che gli obblighi di prodotto siano visibili ai revisori.
  4. Aggiunga la generazione dello SBOM (Allegato I, Parte II(1)) al processo di gestione delle modifiche. CycloneDX o SPDX, leggibile da macchina, legato a ciascuna release.
  5. Crei o aggiorni la procedura di segnalazione al CSIRT per l'Articolo 14: allerta precoce a 24 ore, notifica iniziale a 72 ore, rapporto finale entro 14 giorni o 1 mese a seconda del tipo di incidente. Consulti la guida alla Piattaforma di segnalazione unica.
  6. Assegni un responsabile della sicurezza del prodotto e un responsabile della politica CVD (Allegato I, Parte II(5) e (6)). Non possono essere lo stesso slot ambiguo del «team sicurezza».
  7. Pianifichi un audit interno combinato che copra sia la sorveglianza ISO 27001 sia la prontezza del fascicolo tecnico CRA. Riutilizzi le prove dove si applicano.

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consulti un legale qualificato.

CRA Standard di Sicurezza Conformità
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
View full CRA compliance guide