Due Diligence Fornitori CRA: Template Questionario e Processo di Verifica

La tua conformità CRA dipende dai tuoi fornitori. Se importi prodotti, devi verificare la conformità del fabbricante. Se fabbrichi, i tuoi componenti influenzano la postura di sicurezza del tuo prodotto.

Questa guida fornisce un framework completo di due diligence fornitori, incluso un questionario che puoi inviare oggi.

Perché la Due Diligence Fornitori È Importante

Per gli Importatori

L'Articolo 19 rende gli importatori responsabili di verificare la conformità del fabbricante:

• Il fabbricante ha condotto la valutazione di conformità
• La documentazione tecnica è disponibile
• Il prodotto riporta i marchi e le informazioni richieste
• Il fabbricante ha processi di gestione delle vulnerabilità

Se il fabbricante non è conforme, non puoi legalmente importare.

Per i Fabbricanti

Anche come fabbricante, il tuo prodotto include componenti da fornitori:

• Librerie software di terze parti
• Componenti hardware
• Moduli firmware
• Servizi cloud

Le vulnerabilità in questi componenti diventano le tue vulnerabilità. La tua valutazione di conformità deve considerare i rischi della supply chain.

Framework di Due Diligence

Approccio per Livelli

Non tutti i fornitori richiedono lo stesso livello di scrutinio:

VALUTAZIONE DEI LIVELLI FORNITORI

LIVELLO 1 (Critico):
- Componenti con funzioni di sicurezza (crypto, auth, firewall)
- Dipendenze software core
- Hardware con firmware
Valutazione: Questionario completo + revisione documentazione + monitoraggio continuo

LIVELLO 2 (Significativo):
- Componenti di funzionalità principale
- Elementi connessi alla rete
- Componenti di elaborazione dati
Valutazione: Questionario standard + revisione documentazione

LIVELLO 3 (Standard):
- Componenti non di sicurezza
- Librerie di utilità
- Hardware periferico
Valutazione: Questionario base + verifiche a campione

LIVELLO 4 (Minimo):
- Componenti commodity
- OSS ben consolidato
- Hardware non connesso
Valutazione: Verifica base + inclusione SBOM

Aree di Valutazione

La tua due diligence dovrebbe coprire:

Il Questionario

Usa questo questionario come punto di partenza. Adatta in base al livello del fornitore e alle tue esigenze specifiche.

Sezione 1: Informazioni Aziendali

QUESTIONARIO DUE DILIGENCE FORNITORE
Sezione 1: Informazioni Aziendali

1.1 Dettagli Azienda
    Nome Azienda: _________________________________
    Indirizzo Legale: ________________________________
    Paese di Costituzione: _____________________
    Contatto Principale: _____________________________
    Contatto Sicurezza: ____________________________

1.2 Informazioni Commerciali
    Anni di Attività: ___________________________
    Numero di Dipendenti: _________________________
    Fatturato Annuo (range): ______________________

1.3 Presenza UE
    [ ] Stabilito nell'UE
    [ ] Mandatario autorizzato nell'UE (se non-UE)
        Nome/Indirizzo: ____________________________
    [ ] Nessuna presenza UE (spiega l'accordo): _____

1.4 Certificazioni (allega copie)
    [ ] ISO 9001 (Gestione Qualità)
    [ ] ISO 27001 (Sicurezza delle Informazioni)
    [ ] ISO 27701 (Privacy)
    [ ] SOC 2
    [ ] Altro: _________________________________

Sezione 2: Conformità Prodotto

Sezione 2: Conformità Prodotto

2.1 Identificazione Prodotto
    Nome/Modello Prodotto: __________________________
    Versione/Revisione: ___________________________
    Categoria Prodotto: ___________________________

2.2 Classificazione CRA
    Qual è la classificazione CRA di questo prodotto?
    [ ] Default
    [ ] Important Classe I (Allegato III, Parte I)
    [ ] Important Classe II (Allegato III, Parte II)
    [ ] Critical (Allegato IV)
    [ ] Non ancora classificato

2.3 Valutazione di Conformità
    Quale percorso di valutazione di conformità è stato usato?
    [ ] Modulo A (Autovalutazione)
    [ ] Modulo B+C (Esame UE del tipo)
    [ ] Modulo H (Garanzia qualità totale)
    [ ] Non ancora completata

    Se Modulo B, C o H:
    Nome Organismo Notificato: __________________________
    Numero Certificato: __________________________
    Data Certificato: ____________________________

2.4 Dichiarazione di Conformità UE
    [ ] DoC disponibile (allega copia)
    [ ] DoC non ancora emessa
    Data della DoC: ________________________________

2.5 Marcatura CE
    [ ] Marcatura CE apposta
    [ ] Marcatura CE non ancora apposta
    Se apposta, dove sul prodotto: _________________

2.6 Documentazione Tecnica
    [ ] Fascicolo tecnico disponibile su richiesta
    [ ] SBOM disponibile (formato: ________________)
    [ ] Documentazione valutazione rischi disponibile
    [ ] Istruzioni utente/sicurezza disponibili

Sezione 3: Pratiche di Sicurezza

Sezione 3: Pratiche di Sicurezza

3.1 Sviluppo Sicuro
    Seguite un ciclo di sviluppo sicuro?
    [ ] Sì - Descrivi: __________________________
    [ ] No

    Conducete test di sicurezza?
    [ ] Analisi statica (SAST)
    [ ] Analisi dinamica (DAST)
    [ ] Test di penetrazione
    [ ] Fuzz testing
    [ ] Altro: _________________________________

    Avete uno standard di codifica sicura?
    [ ] Sì - Quale: ____________________________
    [ ] No

3.2 Gestione Componenti
    Come tracciate i componenti di terze parti?
    [ ] SBOM mantenuto
    [ ] Strumento di tracking dipendenze (nome: _________)
    [ ] Tracking manuale
    [ ] Non tracciato sistematicamente

    Come monitorate le vulnerabilità nelle dipendenze?
    [ ] Scansione automatizzata (strumento: _______________)
    [ ] Monitoraggio CVE manuale
    [ ] Ci affidiamo alle notifiche del vendor
    [ ] Nessun monitoraggio sistematico

3.3 Architettura di Sicurezza
    Descrivi le principali caratteristiche di sicurezza del prodotto:
    _____________________________________________

    Quali standard crittografici sono usati?
    _____________________________________________

    Come è implementata l'autenticazione?
    _____________________________________________

    Come sono protetti i dati a riposo e in transito?
    _____________________________________________

Sezione 4: Gestione Vulnerabilità

Sezione 4: Gestione Vulnerabilità

4.1 Divulgazione Vulnerabilità
    Avete una politica di divulgazione coordinata delle vulnerabilità?
    [ ] Sì - URL: ______________________________
    [ ] No

    Avete un file security.txt?
    [ ] Sì - URL: ______________________________
    [ ] No

    Qual è il metodo di contatto sicurezza?
    [ ] Email: __________________________________
    [ ] Modulo web: _______________________________
    [ ] Piattaforma bug bounty: ____________________
    [ ] Altro: _________________________________

4.2 Impegni di Risposta
    Qual è la vostra timeline di acknowledgment?
    [ ] Entro 24 ore
    [ ] Entro 72 ore
    [ ] Entro 7 giorni
    [ ] Nessun impegno

    Qual è la vostra tipica timeline di patch per:
    Vulnerabilità critiche: ___________________
    Vulnerabilità alte: _______________________
    Vulnerabilità medie: _____________________

4.3 Reporting ENISA
    Siete preparati per il reporting ENISA (Sett 2026)?
    [ ] Sì, processo stabilito
    [ ] In corso
    [ ] No
    [ ] Non applicabile (non fabbricante)

4.4 Vulnerabilità Storiche
    Quante vulnerabilità di sicurezza sono state segnalate
    in questo prodotto negli ultimi 24 mesi? ______

    Come sono state risolte?
    [ ] Tutte patchate entro le timeline dichiarate
    [ ] Alcuni ritardi (spiega): __________________
    [ ] Alcune rimangono non patchate (spiega): ________

Sezione 5: Aggiornamenti e Supporto

Sezione 5: Aggiornamenti e Supporto

5.1 Periodo di Supporto
    Qual è il periodo di supporto impegnato dalla
    immissione sul mercato?
    [ ] 5 anni (minimo CRA)
    [ ] 7 anni
    [ ] 10 anni
    [ ] Altro: _________________________________
    [ ] Non definito

    Quando questo prodotto è stato immesso per la prima volta sul mercato UE?
    Data: ______________________________________

    Quando termina il periodo di supporto?
    Data: ______________________________________

5.2 Meccanismo di Aggiornamento
    Come vengono consegnati gli aggiornamenti di sicurezza?
    [ ] Aggiornamenti automatici (OTA)
    [ ] Download manuale da portale
    [ ] Supporto fisico
    [ ] Altro: _________________________________

    Gli aggiornamenti di sicurezza sono separati dagli aggiornamenti funzionali?
    [ ] Sì
    [ ] No - raggruppati insieme

    Gli utenti possono rimandare o saltare gli aggiornamenti?
    [ ] Sì
    [ ] No - obbligatori
    [ ] Configurabile

5.3 Verifica Aggiornamenti
    Gli aggiornamenti sono firmati?
    [ ] Sì - Metodo: __________________________
    [ ] No

    Gli utenti possono verificare l'autenticità degli aggiornamenti?
    [ ] Sì - Come: _____________________________
    [ ] No

5.4 Pianificazione Fine Supporto
    Avete un processo EOL documentato?
    [ ] Sì
    [ ] No

    Come saranno notificati i clienti dell'EOL?
    _____________________________________________

    Cosa succede dopo la fine del periodo di supporto?
    [ ] Il prodotto continua a funzionare
    [ ] Il prodotto perde funzionalità
    [ ] Il prodotto richiede migrazione

Sezione 6: Requisiti di Documentazione

Sezione 6: Requisiti di Documentazione

6.1 Documentazione Disponibile
    Marca tutta la documentazione che puoi fornire:

    [ ] Dichiarazione di Conformità UE
    [ ] Fascicolo tecnico (o estratti pertinenti)
    [ ] Software Bill of Materials (SBOM)
        Formato: [ ] CycloneDX [ ] SPDX [ ] Altro
    [ ] Riepilogo valutazione rischi
    [ ] Documento architettura di sicurezza
    [ ] Istruzioni utente (rilevanti per sicurezza)
    [ ] Politica divulgazione vulnerabilità
    [ ] Termini supporto/manutenzione

6.2 Consegna Documentazione
    Come sarà fornita la documentazione?
    [ ] Su richiesta (tempo di risposta: ____________)
    [ ] Via portale sicuro
    [ ] Inclusa con il prodotto
    [ ] Altro: _________________________________

6.3 Dettagli SBOM (se disponibile)
    Il SBOM copre:
    [ ] Solo dipendenze dirette
    [ ] Dipendenze transitive incluse
    [ ] Componenti hardware (se applicabile)

    Frequenza aggiornamento SBOM:
    [ ] Per release
    [ ] Su richiesta
    [ ] Non aggiornato sistematicamente

Sezione 7: Impegni Contrattuali

Sezione 7: Impegni Contrattuali

7.1 Garanzia di Conformità
    Garantirete la conformità CRA nel contratto?
    [ ] Sì
    [ ] No
    [ ] Negoziabile

7.2 Conservazione Documentazione
    Conserverete la documentazione tecnica per 10 anni?
    [ ] Sì
    [ ] No
    [ ] Periodo più breve: ________________________

7.3 Obblighi di Notifica
    Ci notificherete di:
    [ ] Vulnerabilità di sicurezza nel prodotto
    [ ] Cambiamenti nello stato di conformità
    [ ] Decisioni di fine supporto
    [ ] Cambiamenti materiali all'architettura di sicurezza

7.4 Diritti di Audit
    Permetterete audit di conformità?
    [ ] Sì - senza restrizioni
    [ ] Sì - con preavviso
    [ ] No

7.5 Indennizzo
    Indennizzerete per non conformità CRA?
    [ ] Sì
    [ ] No
    [ ] Negoziabile

Sezione 8: Attestazione

Sezione 8: Attestazione

Attesto che le informazioni fornite in questo questionario
sono accurate e complete al meglio delle mie conoscenze.

Comprendo che [La Vostra Azienda] si affida a queste informazioni
per scopi di conformità CRA e che false dichiarazioni materiali
possono comportare la risoluzione del contratto.

Compilato da: _____________________________________
Titolo: ___________________________________________
Data: ____________________________________________
Firma: _______________________________________

Segnali d'Allarme

Monitora questi segnali di avvertimento durante la due diligence:

Segnali d'Allarme Critici (Fermare la relazione)

Segnali d'Allarme Seri (Richiedono mitigazione)

Segnali Gialli (Monitorare da vicino)

Processo di Verifica

Verifica Iniziale

1. Raccolta Documenti

   • Richiedere copia DoC
   • Richiedere SBOM (o conferma di disponibilità)
   • Richiedere informazioni contatto sicurezza
   • Richiedere impegno periodo di supporto

2. Revisione Documenti

   • Verificare che la DoC sia firmata e completa
   • Controllare che l'identificazione prodotto corrisponda
   • Verificare le dichiarazioni di marcatura CE
   • Rivedere formato e completezza del SBOM

3. Verifiche a Campione di Conformità

   • Verificare che security.txt esista (se accessibile via web)
   • Controllare che la politica CVD sia pubblicata
   • Testare che il contatto sicurezza risponda
   • Verificare le dichiarazioni di periodo di supporto nella documentazione

Monitoraggio Continuo

CALENDARIO DI MONITORAGGIO FORNITORI

Mensile:
[ ] Verificare avvisi di sicurezza pubblicati
[ ] Verificare che il contatto sicurezza funzioni ancora
[ ] Rivedere eventuali divulgazioni di vulnerabilità

Trimestrale:
[ ] Richiedere SBOM aggiornato (se release significative)
[ ] Verificare che la politica CVD sia ancora accessibile
[ ] Controllare nuove certificazioni o scadenze

Annuale:
[ ] Aggiornamento completo del questionario
[ ] Rivedere stato del periodo di supporto
[ ] Verificare che la documentazione sia ancora disponibile
[ ] Revisione stabilità aziendale

Su Trigger:
[ ] Incidente di sicurezza grave → Revisione immediata
[ ] Cambio di proprietà → Rivalutazione completa
[ ] Discontinuità prodotto → Pianificazione EOL
[ ] Rinnovo contratto → Ri-verifica conformità

Clausole dell'Accordo Fornitore

Clausole Essenziali per il CRA

Includi queste disposizioni nei contratti con i fornitori:

Dichiarazione di Conformità:

Il Fornitore dichiara e garantisce che il/i Prodotto/i
sono conformi al Regolamento (UE) 2024/2847 (Cyber Resilience
Act) e che il Fornitore ha completato la valutazione di
conformità richiesta.

Fornitura Documentazione:

Il Fornitore fornirà su richiesta:
(a) Copia della Dichiarazione di Conformità UE
(b) Software Bill of Materials in formato [CycloneDX/SPDX]
(c) Documentazione tecnica rilevante per gli obblighi
    di conformità dell'Acquirente
Tempo di risposta: [5 giorni lavorativi]

Notifica Vulnerabilità:

Il Fornitore notificherà l'Acquirente entro [24/48] ore
dal venire a conoscenza di qualsiasi vulnerabilità di
sicurezza nel/i Prodotto/i che:
(a) È attivamente sfruttata, o
(b) Ha un punteggio CVSS di 7.0 o superiore, o
(c) È soggetta a divulgazione pubblica

Impegno Periodo di Supporto:

Il Fornitore si impegna a fornire aggiornamenti di sicurezza
per il/i Prodotto/i per un periodo minimo di [5/7/10] anni
dalla data di prima immissione sul mercato nell'UE.

Aggiornamenti SBOM:

Il Fornitore fornirà un SBOM aggiornato entro [10]
giorni lavorativi da ogni release di prodotto che include
modifiche ai componenti di terze parti.

Diritti di Audit:

L'Acquirente può auditare la conformità del Fornitore con
questo Accordo e i requisiti CRA applicabili previo
preavviso scritto di [30 giorni], non più di una volta l'anno
salvo che sia attivato da un problema di conformità.

Errori Comuni

Affidarsi all'Auto-Attestazione

Problema: Accettare le assicurazioni verbali del fornitore senza documentazione.

Correzione: Ottieni sempre prove scritte. Nessuna copia DoC = nessun acquisto.

Valutazione Una Tantum

Problema: Due diligence solo alla firma del contratto.

Correzione: Implementa un calendario di monitoraggio continuo. La conformità può cambiare.

Ignorare i Fornitori di Livello 3-4

Problema: Valutare solo i fornitori "maggiori" ignorando quelli più piccoli.

Correzione: Anche i componenti minori possono introdurre vulnerabilità. Scala la valutazione, non saltarla.

Nessun Supporto Contrattuale

Problema: Affidarsi alla buona volontà del fornitore senza termini contrattuali.

Correzione: Metti gli obblighi di conformità per iscritto. Includi rimedi per la non conformità.

Aspettare Fino a Dicembre 2027

Problema: Iniziare le valutazioni dei fornitori proprio prima dell'applicazione del CRA.

Correzione: Inizia ora. La valutazione richiede tempo. I fornitori non conformi hanno bisogno di tempo per rimediare o essere sostituiti.

Checklist Due Diligence Fornitore

CHECKLIST DUE DILIGENCE FORNITORE

PRE-IMPEGNO:
[ ] Livello fornitore determinato
[ ] Questionario appropriato selezionato
[ ] Revisore interno assegnato

VALUTAZIONE INIZIALE:
[ ] Questionario inviato
[ ] Questionario ricevuto e revisionato
[ ] Segnali d'allarme identificati e affrontati
[ ] Documentazione raccolta:
    [ ] Dichiarazione di Conformità UE
    [ ] SBOM (o disponibilità confermata)
    [ ] Politica CVD
    [ ] Impegno periodo di supporto
[ ] Verifiche a campione completate:
    [ ] security.txt verificato
    [ ] Contatto sicurezza testato
    [ ] Marcatura CE verificata

NEGOZIAZIONE CONTRATTO:
[ ] Clausole di conformità incluse
[ ] Disposizioni documentazione concordate
[ ] Termini notifica vulnerabilità fissati
[ ] Impegno periodo di supporto assicurato
[ ] Diritti di audit inclusi
[ ] Calendario aggiornamento SBOM concordato

POST-CONTRATTO:
[ ] Calendario di monitoraggio stabilito
[ ] Prima consegna documentazione confermata
[ ] Contatti registrati nel sistema di gestione fornitori
[ ] Date di revisione schedulate

CONTINUO:
[ ] Verifiche mensili completate
[ ] Revisioni trimestrali completate
[ ] Rivalutazione annuale completata
[ ] Eventi trigger gestiti

Come CRA Evidence Aiuta

CRA Evidence include capacità di gestione fornitori:

• Registro fornitori: Traccia tutti i fornitori con i loro ruoli CRA
• Tracking questionari: Invia, ricevi, revisiona le valutazioni
• Archiviazione documentazione: DoC, SBOM, certificazioni
• Alert di monitoraggio: Traccia periodi di supporto, date di revisione
• Aggregazione SBOM: Combina gli SBOM dei fornitori nel SBOM del tuo prodotto

Gestisci la conformità della tua supply chain su app.craevidence.com.

Guide Correlate

• Come Generare un SBOM Conforme al CRA: Strumenti, Formati e Integrazione CI/CD
• Il Fascicolo Tecnico CRA: Cosa Va in Ogni Sezione (Dettaglio Allegato VII)
• Costo di Conformita CRA: Come Pianificare il Budget per Valutazione di Conformita e Documentazione

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato.