Il fascicolo tecnico è il pacchetto di prove per la conformità CRA. Le autorità di vigilanza del mercato possono richiederlo, e un organismo notificato lo esaminerà quando il percorso di conformità ne prevede uno. Senza un fascicolo tecnico completo, il prodotto non può essere immesso legalmente sul mercato dell'UE.
Questa guida percorre il fascicolo tecnico sezione per sezione, spiegando quali evidenze servono in ciascuna area e come prepararle.
Sintesi
- Il fascicolo tecnico documenta come il prodotto soddisfa i requisiti essenziali del CRA
- Va preparato prima dell'immissione sul mercato e conservato per almeno 10 anni dopo l'immissione del prodotto sul mercato, oppure per il periodo di supporto, se più lungo
- Contiene: descrizione del prodotto, valutazione dei rischi, documentazione di progettazione, SBOM, risultati dei test, prove di conformità
- Le autorità possono richiederlo in qualsiasi momento; un fascicolo incompleto equivale a non conformità
- Inizia presto: costruire un fascicolo tecnico adeguato richiede mesi, non settimane
Cos'è il fascicolo tecnico?
Il fascicolo tecnico (chiamato anche "documentazione tecnica") è il pacchetto completo di prove che dimostra la conformità del prodotto ai requisiti essenziali di cibersicurezza.
Non è:
- Documentazione di marketing
- Solo manuali utente
- Un esercizio di spunta caselle
È:
- Prove tecniche complete
- Documentazione viva (aggiornata per tutta la vita del prodotto)
- La tua difesa nelle indagini di vigilanza del mercato
- Necessario per la valutazione della conformità
Importante: Il fascicolo tecnico deve essere preparato PRIMA dell'immissione sul mercato e conservato per almeno 10 anni dopo l'immissione del prodotto sul mercato, oppure per il periodo di supporto, se più lungo. Le autorità possono richiederlo in qualsiasi momento.
Cosa deve contenere il fascicolo tecnico
Il fascicolo tecnico è più facile da verificare quando è organizzato intorno a otto aree di evidenza:
Identificazione del prodotto, finalità prevista, versioni software rilevanti, viste hardware e informazioni per gli utenti.
Architettura, sviluppo sicuro, processi di gestione delle vulnerabilità, distribuzione degli aggiornamenti, validazione di produzione e monitoraggio.
Rischi considerati in progettazione, produzione, consegna, manutenzione e applicabilità dei requisiti essenziali.
Elementi utilizzati per determinare e giustificare il periodo di supporto.
Norme armonizzate, specifiche comuni, schemi di certificazione o soluzioni alternative.
Prove che il prodotto e i processi di gestione delle vulnerabilità soddisfano i requisiti essenziali di cibersicurezza applicabili.
Una copia della dichiarazione che attesta la conformità del prodotto ai requisiti CRA applicabili.
Evidenza SBOM, ove applicabile, fornita su richiesta motivata di un'autorità di vigilanza del mercato.
Sezione 1: Descrizione generale
Scopo: stabilire cos'è il prodotto e a cosa serve.
Contenuto richiesto
- Nome del prodotto e numero di modello
- Versione o versioni hardware
- Versione o versioni software o firmware
- Formato o intervallo dei numeri di serie
- Identificatore univoco del prodotto
- Descrizione della funzione principale
- Utenti target e ambiente operativo
- Casi d'uso previsti
- Usi non previsti ed esclusioni
- Classificazione CRA
- Giustificazione della classificazione
- Regolamenti di prodotto correlati, ove pertinenti
- Data della prima immissione sul mercato UE
- Stati membri di destinazione
- Canali di distribuzione
Esempio
GENERAL DESCRIPTION
Product Name: SmartSense Pro Industrial Sensor
Model Number: SSP-3000
Hardware Version: Rev C (PCB v3.2)
Firmware Version: 2.4.1
INTENDED PURPOSE:
The SmartSense Pro is an industrial environmental sensor
designed for manufacturing facility monitoring. It measures
temperature, humidity, and air quality, transmitting data
via WiFi to cloud or local servers.
TARGET USERS:
- Facility managers
- Industrial automation integrators
- Environmental compliance officers
INTENDED ENVIRONMENT:
- Indoor industrial facilities
- Operating temperature: -10°C to +60°C
- Network: WiFi 802.11 b/g/n
NOT INTENDED FOR:
- Medical or life-safety applications
- Outdoor installation
- Explosive atmospheres
- Consumer/residential use
CRA CLASSIFICATION:
Default product. Not classified as important or critical.
Justification: General-purpose sensor without security
functions or critical infrastructure application.
EU MARKET PLACEMENT:
First placed on market: March 15, 2027
Target markets: All EU member states
Distribution: Direct sales and authorized distributors
Sezione 2: Progettazione, sviluppo e gestione delle vulnerabilità
Scopo: documentare come il prodotto è stato progettato e sviluppato, come le vulnerabilità sono gestite dopo il rilascio e come i processi di produzione e monitoraggio vengono validati. Trattarli come un unico blocco di evidenze: registri di progettazione e sviluppo, processi di gestione delle vulnerabilità e controlli di produzione e monitoraggio che dimostrano che i rilasci sono costruiti e sorvegliati in modo coerente.
Progettazione e sviluppo: contenuto richiesto
- Diagramma dell'architettura di sistema
- Diagramma di interazione tra i componenti
- Diagramma del flusso dei dati
- Confini di fiducia identificati
- Descrizione dell'architettura di sicurezza
- Implementazioni crittografiche
- Meccanismi di autenticazione
- Modello di autorizzazione
- Protocolli di comunicazione sicura
- Misure di protezione dei dati
- Descrizione del ciclo di sviluppo sicuro
- Tracciabilità dei requisiti di sicurezza
- Procedure di revisione del codice
- Test di sicurezza in sviluppo
- Gestione della configurazione
- Procedure di controllo versione
- Valutazione dell'impatto delle modifiche
- Revisione di sicurezza per le modifiche
Come si presenta una documentazione "secure by design"
SECURITY ARCHITECTURE OVERVIEW
1. TRUST BOUNDARIES
+-----------------------------------------+
| Cloud Backend |
| (Authentication, Data Storage) |
\---------------+-------------------------+
| TLS 1.3
+---------------+-------------------------+
| Device Firmware |
| +---------------------------------+ |
| | Application Layer | |
| +---------------------------------+ |
| | Security Services | |
| | (Crypto, Auth, Secure Boot) | |
| +---------------------------------+ |
| | Hardware Security | |
| | (Secure Element, RNG) | |
| \---------------------------------+ |
\-----------------------------------------+
2. AUTHENTICATION
- Device-to-cloud: Mutual TLS with device certificates
- User-to-device: Local API requires authentication token
- Certificate provisioning: Factory-provisioned, unique per device
3. DATA PROTECTION
- Data at rest: AES-256-GCM encryption
- Data in transit: TLS 1.3 with certificate pinning
- Sensitive data: Stored in secure element
4. UPDATE MECHANISM
- Signed firmware updates (ECDSA P-256)
- Signature verification before installation
- Rollback protection via version counter
- Automatic update checks (user-configurable)
Gestione delle vulnerabilità: contenuto richiesto
- Metodi di contatto documentati
- Politica CVD pubblicata
- Procedure di comunicazione con i ricercatori
- Procedure di triage
- Metodologia di valutazione della severità
- Percorsi di escalation
- Workflow di sviluppo delle patch
- Procedure di test per le patch
- Procedure di notifica ai clienti
- Processo di pubblicazione degli avvisi
- Integrazione del reporting ENISA per lo sfruttamento attivo
- Monitoraggio delle vulnerabilità nelle dipendenze
- Monitoraggio dei database CVE
- Fonti di threat intelligence
Documentazione della gestione delle vulnerabilità
VULNERABILITY HANDLING PROCEDURES
1. CONTACT METHODS
Primary: security@company.com
Web Form: https://company.com/security/report
security.txt: https://company.com/.well-known/security.txt
CVD Policy: https://company.com/security/disclosure-policy
2. RESPONSE COMMITMENTS
Acknowledgment: Within 3 business days
Initial Assessment: Within 10 business days
Status Updates: Every 14 days
Resolution Target: 90 days (critical: 7 days)
3. INTERNAL PROCESS
[Flowchart or process description]
See: Process Document PD-VULN-003
4. PATCH DISTRIBUTION
Mechanism: OTA updates via cloud infrastructure
Notification: In-app notification + email to registered users
Verification: Signed updates with rollback capability
5. ENISA REPORTING
Trigger: Active exploitation detected
Timeline: 24h early warning, 72h detailed report
Responsible: Security Team Lead
Process: See PD-ENISA-001
6. HISTORICAL RECORD
Vulnerabilities handled (past 24 months): 3
Average resolution time: 45 days
ENISA reports filed: 0
Produzione e monitoraggio: contenuto richiesto
Per i prodotti software non esiste una linea di fabbrica. Produzione e monitoraggio significa la pipeline di build e rilascio che produce gli artefatti consegnabili, la validazione che tali processi funzionino come previsto e il monitoraggio post-deployment che intercetta regressioni e nuove vulnerabilità. Documenta ciascun aspetto in modo che un auditor possa risalire da un rilascio a una build verificata e riproducibile.
- Fonte di verità identificata
- Build riproducibile documentata
- Provenienza della build catturata
- Chiavi di firma e gestione delle chiavi documentate
- Integrità degli artefatti di rilascio
- Gate di sicurezza in CI documentati
- Suite di regressione che copre i test marcati per i requisiti essenziali
- Workflow di approvazione del rilascio documentato
- Piano di rollback per i rilasci falliti
- Cadenza degli audit di riproducibilità
- Cadenza del monitoraggio delle vulnerabilità nelle dipendenze
- Processo di diff dell'SBOM a ogni rilascio
- Integrazione dei feed CVE
- Verifica incrociata KEV per lo sfruttamento attivo
- Telemetria rilevante per la sicurezza
- Trigger di notifica ai clienti
Documentazione di produzione e monitoraggio
PRODUCTION AND MONITORING PROCESSES
Product: Industrial Gateway IG-200
Build platform: GitHub Actions on ubuntu-22.04 runners
Provenance: SLSA Level 3 (signed in-toto attestations)
Signing: Cosign + Sigstore, offline KMS-backed root key
BUILD PIPELINE:
1. Source: github.com/example/ig200-firmware (main branch protected,
2-of-N review gate, signed commits required)
2. Build: reproducible cross-compile (rustc 1.78, locked Cargo.lock)
3. SAST: cargo-audit + clippy security lints (gate: 0 high+ findings)
4. SCA: trivy scan against built binary (gate: 0 known-exploitable CVEs)
5. Test: regression suite (1247 tests) + essential requirements conformance suite (89 tests)
6. Sign: cosign sign-blob + attest --predicate slsa-provenance.json
7. Release: artifact + SBOM (CycloneDX 1.5) + DoC excerpt published
VALIDATION OF PROCESSES:
- Pipeline definition reviewed quarterly (Security Lead + Release Manager)
- Essential requirements conformance test suite reviewed when standards or risks change
- Annual reproducibility audit (independent rebuild from tagged source)
- Failure mode: any gate fails -> release blocked, incident logged
POST-DEPLOYMENT MONITORING:
- Dependency CVE feed: Trivy + Renovate, daily scan against current SBOM
- Threshold: Critical or High with KEV match -> patch within 7 days
- Threshold: Medium without KEV -> patch in next monthly release
- Customer notification: signed RSS feed + email for advisories
- Internal telemetry: failed update events, signature verification failures
- Review cadence: weekly triage, monthly trend review
Sezione 3: Valutazione dei rischi di cibersicurezza
Scopo: documentare i rischi identificati e come vengono affrontati.
Contenuto richiesto
- Metodologia di valutazione dei rischi descritta
- Definizione dell'ambito
- Identificazione degli asset
- Approccio all'identificazione delle minacce
- Minacce enumerate
- Vulnerabilità considerate
- Valutazione dell'impatto
- Valutazione della probabilità
- Valutazione del livello di rischio
- Decisioni di trattamento per ciascun rischio
- Controlli di sicurezza mappati ai rischi
- Valutazione del rischio residuo
- Criteri di accettazione del rischio
Formato della valutazione dei rischi
CYBERSECURITY RISK ASSESSMENT
Product: SmartSense Pro (SSP-3000)
Version: 2.4.1
Assessment Date: January 2027
Assessor: [Name, Security Team]
METHODOLOGY:
Based on ISO 27005 adapted for product security.
Risk = Likelihood × Impact
Scale: Low (1-4), Medium (5-9), High (10-16), Critical (17-25)
-------------------------------------------------------------
RISK ID: R-001
THREAT: Unauthorized firmware modification
VULNERABILITY: Unsigned firmware could be installed
IMPACT: High (5) - Device compromise, data breach
LIKELIHOOD: Medium (3) - Requires physical access
INHERENT RISK: 15 (High)
CONTROL: Firmware signature verification
IMPLEMENTATION: ECDSA P-256 signature checked before install
RESIDUAL RISK: 3 (Low) - Cryptographic attack unlikely
STATUS: Mitigated
-------------------------------------------------------------
RISK ID: R-002
THREAT: Man-in-the-middle attack on cloud communication
VULNERABILITY: Network traffic interception
IMPACT: High (4) - Data exposure, command injection
LIKELIHOOD: Medium (3) - Public networks possible
INHERENT RISK: 12 (High)
CONTROL: TLS 1.3 with certificate pinning
IMPLEMENTATION: Hardcoded CA certificate, no fallback
RESIDUAL RISK: 2 (Low) - Certificate compromise unlikely
STATUS: Mitigated
-------------------------------------------------------------
[Continue for all identified risks...]
RISK SUMMARY:
Total risks identified: 23
Critical: 0
High: 3 (all mitigated to Low/Medium)
Medium: 8 (all mitigated to Low)
Low: 12 (accepted or mitigated)
RESIDUAL RISK ACCEPTANCE:
All residual risks are within acceptable tolerance.
Signed: [Security Lead], [Date]
Sezione 4: Informazioni sul periodo di supporto
Scopo: documentare il ragionamento alla base del periodo di supporto scelto. Il periodo di supporto è il tempo durante il quale il fabbricante si impegna a fornire aggiornamenti di sicurezza. Il fascicolo tecnico deve riportare le informazioni che hanno guidato tale decisione.
Contenuto richiesto
- Data di inizio del periodo di supporto dichiarato
- Data di fine del periodo di supporto dichiarato
- Minimo verificato rispetto alla soglia di cinque anni o alla vita più breve del prodotto
- Durata d'uso attesa del prodotto
- Aspettative di utenti e clienti
- Natura e finalità prevista del prodotto
- Diritto dell'Unione pertinente
- Orientamenti della Commissione o dell'ADCO ove disponibili
- Vite utili di prodotti comparabili sul mercato
- Tempistiche di supporto dei fornitori dei componenti
- Contratti o SLA con i clienti che implicano finestre di aggiornamento
- Calendari di end-of-life dell'hardware ove applicabile
Come si presenta una buona documentazione
SUPPORT PERIOD DETERMINATION
Product: Industrial Gateway IG-200
Market placement: 2026-09-01
Declared support period: 2026-09-01 to 2034-09-01 (8 years)
Rationale:
1. Expected operational lifetime: 8-10 years (field deployment data,
comparable to predecessor IG-150 still active in 2024 at 9 years).
2. Component support: Linux LTS kernel covers 6 years; we backport
security patches for 2 additional years using vendor commitments.
3. Customer contracts: top 3 customers have 7-year service agreements;
remainder typically renew on 5-year cycles.
4. Sector guidance: NIS2 covers operators of essential services using
this gateway; assume update requirements through asset lifetime.
5. End-of-support communication: documented in user manual and EOL
policy at https://example.com/security/eol.
Decision approved by: [Product Owner], [Security Lead], [Legal]
Date: 2026-08-15
Review trigger: any material change to component support timelines
Errori frequenti
- Ancorarsi al minimo di 5 anni senza giustificazione. I 5 anni della regola sul periodo di supporto sono una soglia minima, non un valore predefinito. Prodotti con vita utile attesa più lunga richiedono un periodo più lungo.
- Dimenticare che la soglia è "o vita del prodotto, se inferiore". Un dispositivo consumer venduto per 18 mesi deve comunque ricevere supporto agli aggiornamenti per il periodo durante il quale ci si aspetta ragionevolmente che il prodotto sia in uso.
- Non registrare gli elementi considerati. Le autorità di vigilanza possono chiedere come è stato determinato il periodo. "Abbiamo scelto 5 anni" non è una risposta.
- Considerarlo immutabile. Se le tempistiche di supporto dei componenti cambiano (ad esempio, un OS upstream raggiunge l'EOL prima del previsto), il registro della decisione deve essere aggiornato e l'impegno di supporto comunicato.
Mappatura dei requisiti essenziali
Scopo: dimostrare come ogni requisito essenziale di cibersicurezza sia soddisfatto.
Requisiti della parte I
Mappa ciascun requisito di sicurezza by design sulla tua implementazione:
ESSENTIAL REQUIREMENTS COMPLIANCE MATRIX
ANNEX I, PART I - SECURITY REQUIREMENTS
═══════════════════════════════════════════════════════════
1. DESIGNED WITHOUT KNOWN EXPLOITABLE VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability scan report (Trivy): 0 critical/high
- Dependency analysis: All components at latest secure versions
- Penetration test report: No exploitable vulnerabilities found
Reference: Test Report TR-2027-001, pages 15-23
2. SECURE BY DEFAULT CONFIGURATION
Status: COMPLIANT
Evidence:
- Default configuration review document
- No default passwords (unique credentials required at setup)
- Unnecessary services disabled by default
- Secure protocols enabled by default (TLS, not HTTP)
Reference: Design Document DD-004, Section 3.2
3. PROTECTION AGAINST UNAUTHORIZED ACCESS
Status: COMPLIANT
Evidence:
- Authentication architecture document
- Access control implementation
- Session management design
- Failed login lockout mechanism
Reference: Security Architecture SA-001, Chapter 4
4. CONFIDENTIALITY OF DATA
Status: COMPLIANT
Evidence:
- Encryption specifications (AES-256-GCM)
- Key management procedures
- Data classification and handling
Reference: Design Document DD-005
5. INTEGRITY OF DATA AND COMMANDS
Status: COMPLIANT
Evidence:
- Message authentication (HMAC)
- Command validation logic
- Input validation procedures
Reference: Security Architecture SA-001, Chapter 5
6. DATA MINIMIZATION
Status: COMPLIANT
Evidence:
- Data inventory document
- Justification for each data type collected
- Retention policy (automatic purge after 90 days)
Reference: Privacy Impact Assessment PIA-001
[Continue for all essential requirements...]
Requisiti della parte II
Mappa ciascun requisito di gestione delle vulnerabilità sulla tua implementazione:
ANNEX I, PART II - VULNERABILITY HANDLING
═══════════════════════════════════════════════════════════
1. IDENTIFY AND DOCUMENT VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability tracking system (JIRA project VULN)
- CVE monitoring process document
- SBOM-based dependency tracking
Reference: Process Document PD-VULN-001
2. ADDRESS VULNERABILITIES WITHOUT DELAY
Status: COMPLIANT
Evidence:
- Vulnerability response SLA document
- Historical response time metrics
- Patch development process
Reference: Process Document PD-VULN-002
3. APPLY EFFECTIVE REGULAR TESTING
Status: COMPLIANT
Evidence:
- Security testing schedule
- Automated scan reports (weekly)
- Annual penetration test reports
Reference: Test Plan TP-SEC-001
[Continue for all Part II requirements...]
Sezione 5: Norme applicate
Scopo: documentare quali norme sono state utilizzate e in che modo.
Contenuto richiesto
- Tutte le norme applicate elencate con numero di versione
- Norme armonizzate identificate separatamente
- Riferimento alla Gazzetta Ufficiale registrato per le armonizzate
- Come è stata applicata ciascuna norma
- Quali clausole o sezioni si applicano
- Eventuali deviazioni o applicazione parziale
- Deviazioni documentate con giustificazione
- Misure alternative per i requisiti deviati
- Valutazione dei rischi per le deviazioni
Formato di documentazione delle norme
APPLIED STANDARDS
HARMONIZED STANDARDS (presumption of conformity):
-------------------------------------------------------------
Standard: EN 303 645 (when harmonized for CRA)
Title: Cybersecurity for Consumer IoT
Status: Applied in full
Publication: OJEU [reference when published]
Evidence: Standards Compliance Report SCR-001
-------------------------------------------------------------
OTHER STANDARDS APPLIED:
-------------------------------------------------------------
Standard: IEC 62443-4-1:2018
Title: Security for Industrial Automation - Secure Development
Status: Applied (selected requirements)
Clauses Applied: 5, 6, 7, 8, 10
Evidence: SDL Documentation SLD-001
-------------------------------------------------------------
Standard: ISO/IEC 27001:2022
Title: Information Security Management
Status: Organization certified (Certificate #12345)
Relevance: ISMS covers product development processes
-------------------------------------------------------------
Standard: NIST Cybersecurity Framework 2.0
Title: Framework for Improving Critical Infrastructure Cybersecurity
Status: Reference framework for risk assessment
Evidence: Risk Assessment methodology document
-------------------------------------------------------------
DEVIATIONS:
-------------------------------------------------------------
Standard: EN 303 645
Clause: 5.3-2 (Unique per device credentials)
Deviation: Credentials unique per device but not pre-provisioned
Justification: Device requires user setup; credentials created
during first-time configuration
Alternative Measure: Strong password requirements enforced,
account lockout after failed attempts
Risk Assessment: Residual risk acceptable (see R-015)
-------------------------------------------------------------
Suggerimento: Automatizza la generazione dell'SBOM in CI/CD. La creazione manuale di SBOM è soggetta a errori e non scala tra le versioni di prodotto.
Sezione 6: Risultati dei test
Scopo: fornire prove che i requisiti siano effettivamente soddisfatti.
Contenuto richiesto
- Piano di test con ambito e obiettivi
- Casi di test mappati ai requisiti
- Descrizione dell'ambiente di test
- Criteri di superamento e fallimento
- Registri di esecuzione dei test
- Riepilogo dei risultati dei test
- Test falliti e relativa risoluzione
- Prove di re-test
- Test funzionali di sicurezza
- Scansione delle vulnerabilità
- Test di penetrazione ove applicabile
- Fuzz testing ove applicabile
- Revisione della configurazione
Formato dei risultati dei test
TEST RESULTS SUMMARY
Product: SmartSense Pro (SSP-3000) v2.4.1
Test Period: December 2026 - January 2027
Test Lead: [Name]
═══════════════════════════════════════════════════════════
TEST CAMPAIGN: TC-2027-001
═══════════════════════════════════════════════════════════
1. SECURITY FUNCTIONAL TESTING
Scope: Authentication, authorization, encryption, secure boot
Test Cases: 85
Passed: 85
Failed: 0
Reference: Test Report TR-FUNC-001
2. VULNERABILITY SCANNING
Tool: Trivy v0.48.0 + Nessus Professional
Scope: Firmware, network services, web interface
Findings:
Critical: 0
High: 0
Medium: 2 (accepted with justification)
Low: 5 (accepted)
Reference: Scan Report SR-VULN-001
3. PENETRATION TESTING
Provider: [Third-party firm name]
Scope: Black-box testing of deployed device
Duration: 5 days
Findings:
Critical: 0
High: 0
Medium: 1 (remediated before release)
Low: 3 (accepted)
Reference: Pentest Report PT-2027-001
4. FIRMWARE ANALYSIS
Tool: EMBA v1.3
Scope: Binary analysis, hardcoded credentials, crypto issues
Findings:
Critical: 0
High: 0
Informational: 4
Reference: Firmware Analysis Report FA-001
5. CONFIGURATION REVIEW
Scope: Default configuration security
Findings: All defaults meet security requirements
Reference: Configuration Review CR-001
═══════════════════════════════════════════════════════════
OVERALL ASSESSMENT: PASS
All critical and high findings remediated.
Medium/Low findings accepted with documented justification.
═══════════════════════════════════════════════════════════
Sezione 7: Dichiarazione UE di conformità
Scopo: includere la dichiarazione formale o un riferimento alla stessa.
Contenuto richiesto
Il fascicolo tecnico deve includere una copia della dichiarazione UE di conformità o un riferimento al luogo in cui può essere ottenuta.
Sezione 8: Distinta dei materiali software
Scopo: fornire trasparenza sui componenti per il tracciamento delle vulnerabilità. L'SBOM fa parte del fascicolo tecnico su richiesta motivata di un'autorità di vigilanza del mercato. In pratica, i fabbricanti lo preparano e lo mantengono insieme al resto del fascicolo.
Guide correlate: Per i prodotti hardware, conserva le evidenze sui componenti fisici quando supportano la valutazione dei rischi, le informazioni per l'utente o l'analisi delle vulnerabilità. BSI TR-03183 può aiutare sulla qualità dell'SBOM, e VEX può comunicare lo stato di vulnerabilità dei componenti. Vedi la guida ai requisiti SBOM per le scelte di formato, i livelli di qualità BSI TR-03183, l'ambito HBOM e l'uso di VEX; e la guida alla segnalazione delle vulnerabilità per come VEX supporta l'obbligo di "nessuna vulnerabilità sfruttabile nota".
Contenuto richiesto
- Formato leggibile dalla macchina
- CycloneDX o SPDX selezionato e documentato
- Riepilogo leggibile dall'uomo ove utile
- Tutti i componenti software elencati
- Versioni dei componenti specificate
- Informazioni sul fornitore incluse
- Informazioni sulla licenza incluse
- Vulnerabilità note al momento della valutazione
- Dipendenze dirette
- Dipendenze transitive
- Componenti del sistema operativo ove applicabile
- Librerie di terze parti
Documentazione SBOM
Quando va aggiornato il fascicolo tecnico?
Documentazione viva
Il fascicolo tecnico non è statico:
- Nuova versione firmware o software
- Rilascio di patch di sicurezza
- Vulnerabilità rilevata e affrontata
- Modifica progettuale che incide sulla sicurezza
- Cambiamento delle norme applicate
- Modifiche ai componenti SBOM
- Revisione trimestrale di SBOM e stato delle vulnerabilità
- Revisione annuale completa del fascicolo tecnico
- Congelamento finale della documentazione prima della fine del periodo di supporto
- Tutti i documenti sotto controllo versione
- Storico delle modifiche mantenuto
- Versioni precedenti archiviate
Requisiti di conservazione
Nota: Conservare il fascicolo tecnico per il periodo più lungo tra 10 anni dall'immissione sul mercato e il periodo di supporto. Se vendi prodotti fino al 2030 con un periodo di supporto di 5 anni, prevale il termine di 10 anni e la conservazione si estende fino al 2040. Se il periodo di supporto si estende oltre quei 10 anni, la conservazione segue il periodo di supporto. Pianifica lo storage per il maggiore dei due.
DOCUMENTATION RETENTION
Retention Period: at least 10 years from market placement, or the support period, whichever is longer
Example Timeline:
- Product first placed on market: March 2027
- Last unit placed on market: December 2030
- Documentation retention until: December 2040
Storage Requirements:
- Secure, accessible storage
- Backup procedures
- Integrity protection
- Available within [48 hours] of authority request
Errori comuni
Avviso: Un fascicolo tecnico che descrive solo la versione 1.0 quando il prodotto è alla versione 2.3 è considerato non conforme. Aggiorna la documentazione a ogni rilascio.
Valutazione dei rischi incompleta
Problema: valutazione dei rischi che non copre tutte le minacce o priva di dettagli sul trattamento.
Correzione: usa una metodologia strutturata. Mappa ogni rischio identificato a un controllo o a una decisione di accettazione.
SBOM mancante
Problema: nessun SBOM o SBOM che non include le dipendenze transitive.
Correzione: genera l'SBOM con strumenti adeguati. Includi l'albero completo delle dipendenze.
Documentazione obsoleta
Problema: il fascicolo tecnico descrive la versione 1.0 ma il prodotto è alla versione 2.3.
Correzione: aggiorna la documentazione a ogni rilascio. Traccia le versioni in modo esplicito.
Nessuna tracciabilità dei requisiti
Problema: si dichiara conformità ma non si mostra come ogni requisito sia soddisfatto.
Correzione: crea una mappatura esplicita da ogni requisito essenziale alle evidenze.
Test senza evidenze
Problema: si dichiara di aver eseguito test ma non si dispone dei rapporti.
Correzione: conserva tutti i rapporti di test. Includili nel fascicolo tecnico o referenziali chiaramente.
Lista di controllo del fascicolo tecnico
- Identificazione del prodotto completa
- Finalità prevista documentata
- Classificazione CRA dichiarata con giustificazione
- Informazioni di immissione sul mercato
- Diagrammi dell'architettura
- Documentazione di progettazione di sicurezza
- Descrizione del processo di sviluppo
- Procedure di gestione delle modifiche
- Metodi di contatto per le vulnerabilità documentati
- Politica CVD pubblicata
- Processo di gestione delle vulnerabilità documentato
- Procedure di reporting ENISA in essere
- Metodologia documentata
- Tutti i rischi identificati
- Decisioni di trattamento per ciascun rischio
- Valutazione del rischio residuo
- Periodo di supporto dichiarato indicato
- Elementi del periodo di supporto documentati
- Giustificazione registrata
- Approvazione della decisione catturata
- Mappatura dei requisiti di sicurezza by design completa
- Mappatura dei requisiti di gestione delle vulnerabilità completa
- Evidenze referenziate per ciascun requisito
- Tutte le norme applicate elencate
- Prove di applicazione fornite
- Deviazioni documentate e giustificate
- Piano di test documentato
- Rapporti di test allegati
- Tutti i risultati affrontati
- Dichiarazione di conformità inclusa o referenziata
- SBOM in formato leggibile dalla macchina preparato
- Tutti i componenti inclusi
- Stato delle vulnerabilità documentato
- Disponibile per l'autorità di vigilanza su richiesta
- Controllo versioni stabilito
- Procedure di aggiornamento documentate
- Piano di conservazione in essere
Domande frequenti
Quali documenti sono obbligatori in un fascicolo tecnico CRA?
Il fascicolo richiede otto aree di evidenza. Deve coprire descrizione del prodotto, progettazione e produzione, gestione delle vulnerabilità, valutazione dei rischi, motivazione del periodo di supporto, norme applicate o soluzioni alternative, rapporti di prova, dichiarazione UE di conformità e, ove applicabile, l'SBOM per la revisione di vigilanza del mercato. Trattale come aree di evidenza, non come una struttura rigida di cartelle.
Ogni versione del firmware richiede il proprio fascicolo tecnico?
No, ma il fascicolo deve restare accurato per versione. Una release firmware o software che modifica comportamenti rilevanti per la sicurezza deve aggiornare le sezioni interessate, di norma SBOM, valutazione dei rischi, note di progettazione e prove di test. Non serve ricostruire l'intero fascicolo da zero, ma le evidenze devono corrispondere alla versione del prodotto immessa sul mercato o supportata.
Per quanto tempo va conservato il fascicolo tecnico dopo il ritiro del prodotto?
Conservalo per il periodo più lungo tra 10 anni e il periodo di supporto. I 10 anni decorrono dall'immissione sul mercato del prodotto con elementi digitali; se il periodo di supporto è più lungo, la conservazione segue quel periodo più lungo. In pratica, i fabbricanti dovrebbero pianificare lo storage attorno all'ultima data di immissione sul mercato della versione pertinente e conservare le evidenze per ogni impegno di supporto più lungo.
Il fascicolo tecnico va trasmesso alle autorità in modo proattivo?
No. Il fabbricante conserva la documentazione tecnica e la fornisce quando un'autorità di vigilanza del mercato presenta una richiesta motivata. Anche un organismo notificato riesamina la documentazione quando il percorso di valutazione della conformità scelto lo coinvolge, ma il regolamento non richiede un deposito ordinario presso le autorità al momento dell'immissione sul mercato.
Il fascicolo tecnico può fare riferimento a documenti esterni o tutto deve stare in un unico posto?
I riferimenti esterni sono accettabili se sono precisi e recuperabili. Il fascicolo può puntare a documenti di progettazione, rapporti di test, certificati, artefatti SBOM o registri di release conservati altrove, purché il riferimento identifichi documento, versione, proprietario e posizione esatti. Le autorità hanno bisogno di evidenze utilizzabili, non di un indice rotto.
Qual è la differenza tra il fascicolo tecnico e la dichiarazione di conformità?
La dichiarazione è l'affermazione pubblica; il fascicolo tecnico è la prova. La dichiarazione UE di conformità afferma che il prodotto rispetta il CRA. Il fascicolo tecnico contiene la valutazione dei rischi, le evidenze di progettazione, i rapporti di test, la mappatura delle norme, le evidenze SBOM e gli altri registri che giustificano quella dichiarazione.