Il Fascicolo Tecnico CRA: Cosa Contiene Ogni Sezione (Dettaglio dell'Allegato VII)
Una guida sezione per sezione sui requisiti di documentazione tecnica del CRA. Include template, esempi e errori comuni da evitare per la conformità all'Allegato VII.
In questo articolo
- Sintesi
- Cos'è il fascicolo tecnico?
- Panoramica della Struttura dell'Allegato VII
- Sezione 1: Descrizione Generale
- Sezione 2: Progettazione e Sviluppo
- Sezione 3: Valutazione dei Rischi di Cybersicurezza
- Sezione 4: Mappatura Requisiti Essenziali
- Sezione 5: Norme Applicate
- Sezione 6: Distinta dei Materiali Software
- Sezione 7: Risultati dei Test
- Sezione 9: Procedure di Gestione delle Vulnerabilità
- Errori Comuni
- Domande frequenti
- Prossimi passi
Il fascicolo tecnico è il tuo pacchetto di prove per la conformità CRA. Le autorità di sorveglianza del mercato lo richiederanno. Gli Organismi Notificati lo esamineranno. Senza un fascicolo tecnico completo, non puoi legalmente immettere il tuo prodotto sul mercato dell'UE.
Questa guida dettaglia l'Allegato VII sezione per sezione, spiegando cosa richiede ciascuna e come prepararla.
Sintesi
- Il fascicolo tecnico documenta come il tuo prodotto soddisfa i requisiti essenziali del CRA
- Deve essere preparato prima dell'immissione sul mercato, conservato per 10 anni dopo
- Contiene: descrizione prodotto, valutazione rischi, documentazione di progettazione, SBOM, risultati test, prove di conformità
- Le autorità possono richiederlo in qualsiasi momento , fascicoli incompleti significano non conformità
- Inizia presto: costruire un fascicolo tecnico adeguato richiede mesi, non settimane
Cos'è il fascicolo tecnico?
Il fascicolo tecnico (anche chiamato "documentazione tecnica") è il pacchetto completo di prove che dimostra che il tuo prodotto è conforme ai requisiti CRA.
Non è:
- Documentazione marketing
- Solo manuali utente
- Un esercizio di spunta caselle
È:
- Prove tecniche complete
- Documentazione vivente (aggiornata per tutta la vita del prodotto)
- La tua difesa nelle indagini di sorveglianza del mercato
- Richiesto per la valutazione di conformità
Importante: Il fascicolo tecnico deve essere preparato PRIMA dell'immissione sul mercato e conservato per 10 anni dopo l'ultima unità immessa sul mercato. Le autorità possono richiederlo in qualsiasi momento.
Panoramica della Struttura dell'Allegato VII
L'Allegato VII del CRA specifica i requisiti della documentazione tecnica:
STRUTTURA FASCICOLO TECNICO (Allegato VII)
1. DESCRIZIONE GENERALE
└── Identificazione prodotto e scopo previsto
2. PROGETTAZIONE E SVILUPPO
└── Come la sicurezza è stata integrata
3. VALUTAZIONE DEI RISCHI DI CYBERSICUREZZA
└── Rischi identificati e affrontati
4. REQUISITI ESSENZIALI
└── Come sono soddisfatti i requisiti dell'Allegato I
5. NORME APPLICATE
└── Norme utilizzate e deviazioni
6. DISTINTA DEI MATERIALI SOFTWARE
└── Componenti e dipendenze
7. RISULTATI DEI TEST
└── Prove di verifica
8. DICHIARAZIONE UE DI CONFORMITÀ
└── O copia della stessa
9. GESTIONE DELLE VULNERABILITÀ
└── Processi di sicurezza post-market
Sezione 1: Descrizione Generale
Scopo: Stabilire cos'è il prodotto e a cosa serve.
Contenuto Richiesto
CHECKLIST DESCRIZIONE GENERALE
Identificazione Prodotto:
[ ] Nome e numero modello del prodotto
[ ] Versione(i) hardware
[ ] Versione(i) software/firmware
[ ] Formato o range numeri di serie
[ ] Identificatore unico del prodotto
Scopo Previsto:
[ ] Descrizione funzione principale
[ ] Utenti/ambiente target
[ ] Casi d'uso previsti
[ ] Usi non previsti (esclusioni)
Categoria Prodotto:
[ ] Classificazione CRA (Default/Importante/Critico)
[ ] Giustificazione della classificazione
[ ] Regolamenti prodotto correlati (se presenti)
Informazioni Mercato:
[ ] Data prima immissione sul mercato UE
[ ] Stati membri target
[ ] Canali di distribuzione
Esempio
DESCRIZIONE GENERALE
Nome Prodotto: SmartSense Pro Sensore Industriale
Numero Modello: SSP-3000
Versione Hardware: Rev C (PCB v3.2)
Versione Firmware: 2.4.1
SCOPO PREVISTO:
SmartSense Pro è un sensore ambientale industriale
progettato per il monitoraggio degli impianti di produzione.
Misura temperatura, umidità e qualità dell'aria, trasmettendo
i dati via WiFi verso cloud o server locali.
UTENTI TARGET:
- Responsabili impianti
- Integratori automazione industriale
- Responsabili conformità ambientale
AMBIENTE PREVISTO:
- Impianti industriali interni
- Temperatura operativa: -10°C a +60°C
- Rete: WiFi 802.11 b/g/n
NON PREVISTO PER:
- Applicazioni mediche o di sicurezza delle persone
- Installazione esterna
- Atmosfere esplosive
- Uso consumer/residenziale
CLASSIFICAZIONE CRA:
Prodotto default. Non elencato nell'Allegato III o IV.
Giustificazione: Sensore generico senza funzioni
di sicurezza o applicazione infrastruttura critica.
IMMISSIONE SUL MERCATO UE:
Prima immissione sul mercato: 15 marzo 2027
Mercati target: Tutti gli Stati membri dell'UE
Distribuzione: Vendite dirette e distributori autorizzati
Sezione 2: Progettazione e Sviluppo
Scopo: Documentare come la sicurezza è stata incorporata nella progettazione del prodotto.
Contenuto Richiesto
CHECKLIST DOCUMENTAZIONE PROGETTAZIONE
Architettura:
[ ] Diagramma architettura sistema
[ ] Diagramma interazione componenti
[ ] Diagramma flusso dati
[ ] Confini di fiducia identificati
Progettazione Sicurezza:
[ ] Descrizione architettura sicurezza
[ ] Implementazioni crittografiche
[ ] Meccanismi di autenticazione
[ ] Modello di autorizzazione
[ ] Protocolli comunicazione sicura
[ ] Misure protezione dati
Processo di Sviluppo:
[ ] Descrizione ciclo sviluppo sicuro
[ ] Tracciabilità requisiti sicurezza
[ ] Procedure revisione codice
[ ] Test sicurezza in sviluppo
[ ] Gestione configurazione
Gestione Modifiche:
[ ] Procedure controllo versione
[ ] Valutazione impatto modifiche
[ ] Revisione sicurezza per modifiche
Sezione 3: Valutazione dei Rischi di Cybersicurezza
Scopo: Documentare i rischi identificati e come sono affrontati.
Formato Valutazione Rischi
VALUTAZIONE RISCHI CYBERSICUREZZA
Prodotto: SmartSense Pro (SSP-3000)
Versione: 2.4.1
Data Valutazione: Gennaio 2027
Valutatore: [Nome, Team Sicurezza]
METODOLOGIA:
Basata su ISO 27005 adattata per sicurezza prodotto.
Rischio = Probabilità × Impatto
Scala: Basso (1-4), Medio (5-9), Alto (10-16), Critico (17-25)
─────────────────────────────────────────────────────────────
ID RISCHIO: R-001
MINACCIA: Modifica non autorizzata del firmware
VULNERABILITÀ: Firmware non firmato potrebbe essere installato
IMPATTO: Alto (5) - Compromissione dispositivo, violazione dati
PROBABILITÀ: Media (3) - Richiede accesso fisico
RISCHIO INERENTE: 15 (Alto)
CONTROLLO: Verifica firma firmware
IMPLEMENTAZIONE: Firma ECDSA P-256 verificata prima dell'installazione
RISCHIO RESIDUO: 3 (Basso) - Attacco crittografico improbabile
STATO: Mitigato
─────────────────────────────────────────────────────────────
RIEPILOGO RISCHI:
Totale rischi identificati: 23
Critico: 0
Alto: 3 (tutti mitigati a Basso/Medio)
Medio: 8 (tutti mitigati a Basso)
Basso: 12 (accettati o mitigati)
ACCETTAZIONE RISCHIO RESIDUO:
Tutti i rischi residui sono entro la tolleranza accettabile.
Firmato: [Responsabile Sicurezza], [Data]
Sezione 4: Mappatura Requisiti Essenziali
Scopo: Dimostrare come ogni requisito dell'Allegato I è soddisfatto.
Requisiti Allegato I, Parte I
MATRICE CONFORMITÀ REQUISITI ESSENZIALI
ALLEGATO I, PARTE I - REQUISITI DI SICUREZZA
═══════════════════════════════════════════════════════════
1. PROGETTATO SENZA VULNERABILITÀ SFRUTTABILI NOTE
Stato: CONFORME
Prove:
- Rapporto scansione vulnerabilità (Trivy): 0 critico/alto
- Analisi dipendenze: Tutti i componenti alle ultime versioni sicure
- Rapporto test penetrazione: Nessuna vulnerabilità sfruttabile trovata
Riferimento: Rapporto Test TR-2027-001, pagine 15-23
2. CONFIGURAZIONE SICURA PER DEFAULT
Stato: CONFORME
Prove:
- Documento revisione configurazione default
- Nessuna password default (credenziali uniche richieste al setup)
- Servizi non necessari disabilitati per default
- Protocolli sicuri abilitati per default (TLS, non HTTP)
Riferimento: Documento Progettazione DD-004, Sezione 3.2
[Continua per tutti i requisiti Allegato I...]
Sezione 5: Norme Applicate
Scopo: Documentare quali norme sono state utilizzate e come.
Formato Documentazione Norme
NORME APPLICATE
NORME ARMONIZZATE (presunzione di conformità):
─────────────────────────────────────────────────────────────
Norma: EN 303 645 (quando armonizzata per il CRA)
Titolo: Cybersicurezza per IoT Consumer
Stato: Applicata integralmente
Pubblicazione: GUUE [riferimento quando pubblicata]
Prove: Rapporto Conformità Norme SCR-001
─────────────────────────────────────────────────────────────
ALTRE NORME APPLICATE:
─────────────────────────────────────────────────────────────
Norma: IEC 62443-4-1:2018
Titolo: Sicurezza per Automazione Industriale - Sviluppo Sicuro
Stato: Applicata (requisiti selezionati)
Clausole Applicate: 5, 6, 7, 8, 10
Prove: Documentazione SDL SLD-001
─────────────────────────────────────────────────────────────
DEVIAZIONI:
─────────────────────────────────────────────────────────────
Norma: EN 303 645
Clausola: 5.3-2 (Credenziali uniche per dispositivo)
Deviazione: Credenziali uniche per dispositivo ma non pre-provviste
Giustificazione: Il dispositivo richiede setup utente; credenziali
create durante la prima configurazione
Misura Alternativa: Requisiti password forti applicati,
blocco account dopo tentativi falliti
Valutazione Rischio: Rischio residuo accettabile (vedi R-015)
─────────────────────────────────────────────────────────────
Suggerimento: Automatizza la generazione del tuo SBOM in CI/CD. La creazione manuale di SBOM è soggetta a errori e non scala tra le versioni del prodotto.
Sezione 6: Distinta dei Materiali Software
Scopo: Fornire trasparenza sui componenti per il tracciamento delle vulnerabilità.
Documentazione SBOM
DISTINTA DEI MATERIALI SOFTWARE
Prodotto: SmartSense Pro (SSP-3000)
Versione Firmware: 2.4.1
Formato SBOM: CycloneDX 1.5
Generato: 2027-01-15
Strumento: Trivy + syft
FILE SBOM:
sbom-ssp3000-v2.4.1.json (allegato)
RIEPILOGO COMPONENTI:
─────────────────────────────────────────────────────────────
Totale Componenti: 127
Dipendenze Dirette: 23
Dipendenze Transitive: 104
Per Tipo:
Librerie: 98
Framework: 12
Sistema Operativo: 1 (FreeRTOS)
Moduli Firmware: 16
Per Licenza:
MIT: 45
Apache 2.0: 38
BSD: 15
LGPL: 8
Proprietario: 21 (componenti interni)
─────────────────────────────────────────────────────────────
STATO VULNERABILITÀ ALLA VALUTAZIONE:
─────────────────────────────────────────────────────────────
Data Scansione: 2027-01-15
Scanner: Trivy v0.48.0
Critico: 0
Alto: 0
Medio: 2 (accettati - vedi sotto)
Basso: 5 (accettati)
VULNERABILITÀ ACCETTATE:
CVE-2026-XXXXX (Medio): Componente xyz v1.2.3
Stato: Non sfruttabile nella nostra configurazione
Giustificazione: Funzionalità non abilitata, percorso codice non raggiungibile
Data Revisione: 2027-04-15
─────────────────────────────────────────────────────────────
IMPEGNO AGGIORNAMENTO SBOM:
Il SBOM sarà aggiornato con ogni rilascio firmware e reso
disponibile ai clienti su richiesta.
Sezione 7: Risultati dei Test
Scopo: Fornire prove che i requisiti sono effettivamente soddisfatti.
Formato Risultati Test
RIEPILOGO RISULTATI TEST
Prodotto: SmartSense Pro (SSP-3000) v2.4.1
Periodo Test: Dicembre 2026 - Gennaio 2027
Responsabile Test: [Nome]
═══════════════════════════════════════════════════════════
CAMPAGNA TEST: TC-2027-001
═══════════════════════════════════════════════════════════
1. TEST FUNZIONALI SICUREZZA
Ambito: Autenticazione, autorizzazione, crittografia, avvio sicuro
Casi Test: 85
Superati: 85
Falliti: 0
Riferimento: Rapporto Test TR-FUNC-001
2. SCANSIONE VULNERABILITÀ
Strumento: Trivy v0.48.0 + Nessus Professional
Ambito: Firmware, servizi di rete, interfaccia web
Risultati:
Critico: 0
Alto: 0
Medio: 2 (accettati con giustificazione)
Basso: 5 (accettati)
Riferimento: Rapporto Scansione SR-VULN-001
3. TEST DI PENETRAZIONE
Fornitore: [Nome società terza]
Ambito: Test black-box del dispositivo deployato
Durata: 5 giorni
Risultati:
Critico: 0
Alto: 0
Medio: 1 (rimediato prima del rilascio)
Basso: 3 (accettati)
Riferimento: Rapporto Pentest PT-2027-001
═══════════════════════════════════════════════════════════
VALUTAZIONE COMPLESSIVA: SUPERATO
Tutti i risultati critici e alti rimediati.
Risultati Medio/Basso accettati con giustificazione documentata.
═══════════════════════════════════════════════════════════
Sezione 9: Procedure di Gestione delle Vulnerabilità
Scopo: Documentare i processi di sicurezza post-market.
Documentazione Gestione Vulnerabilità
PROCEDURE DI GESTIONE DELLE VULNERABILITÀ
1. METODI DI CONTATTO
Principale: security@azienda.com
Modulo Web: https://azienda.com/sicurezza/segnala
security.txt: https://azienda.com/.well-known/security.txt
Politica CVD: https://azienda.com/sicurezza/politica-divulgazione
2. IMPEGNI DI RISPOSTA
Conferma ricezione: Entro 3 giorni lavorativi
Valutazione Iniziale: Entro 10 giorni lavorativi
Aggiornamenti stato: Ogni 14 giorni
Obiettivo Risoluzione: 90 giorni (critico: 7 giorni)
3. REPORTING ENISA
Trigger: Sfruttamento attivo rilevato
Tempistica: Allerta precoce 24h, rapporto dettagliato 72h
Responsabile: Responsabile Team Sicurezza
Processo: Vedi PD-ENISA-001
4. STORICO
Vulnerabilità gestite (ultimi 24 mesi): 3
Tempo medio risoluzione: 45 giorni
Rapporti ENISA inviati: 0
Nota: "10 anni dall'ultima unità immessa sul mercato" significa che se vendi prodotti fino al 2030, la conservazione si estende fino al 2040. Pianifica di conseguenza lo storage dei tuoi documenti.
Errori Comuni
Avvertenza: Un fascicolo tecnico che descrive solo la versione 1.0 quando il tuo prodotto è alla versione 2.3 è considerato non conforme. Aggiorna la documentazione con ogni rilascio.
Valutazione Rischi Incompleta
Problema: Valutazione rischi che non copre tutte le minacce o manca di dettagli sul trattamento.
Correzione: Usare metodologia strutturata. Mappare ogni rischio identificato a un controllo o decisione di accettazione.
SBOM Mancante
Problema: Nessun SBOM o SBOM che non include le dipendenze transitive.
Correzione: Generare SBOM usando strumenti appropriati. Includere l'albero completo delle dipendenze.
Documentazione Obsoleta
Problema: Il fascicolo tecnico descrive la versione 1.0 ma il prodotto è alla versione 2.3.
Correzione: Aggiornare la documentazione con ogni rilascio. Tracciare le versioni esplicitamente.
Nessuna Tracciabilità dei Requisiti
Problema: Dichiara conformità ma non mostra come ogni requisito è soddisfatto.
Correzione: Creare mappatura esplicita da ogni requisito dell'Allegato I alle prove.
Domande frequenti
Quali documenti sono obbligatori nel fascicolo tecnico CRA ai sensi dell'Allegato VII?
L'Allegato VII richiede otto sezioni: (1) una descrizione generale del prodotto, comprensiva della finalità prevista, delle versioni del software che incidono sulla conformità, di fotografie per i prodotti hardware e delle informazioni destinate all'utente; (2) una descrizione della progettazione, dello sviluppo e della produzione del prodotto, unitamente alle procedure di gestione delle vulnerabilità; (3) una valutazione dei rischi di cybersicurezza a norma dell'articolo 13; (4) le informazioni utilizzate per determinare il periodo di supporto a norma dell'articolo 13, paragrafo 8; (5) l'elenco delle norme armonizzate applicate in tutto o in parte; (6) i rapporti delle prove effettuate per verificare la conformità; (7) una copia della Dichiarazione UE di Conformità; e (8) ove applicabile, la distinta dei materiali software (SBOM), fornita su richiesta motivata di un'autorità di vigilanza del mercato.
Ogni versione del firmware richiede il proprio fascicolo tecnico?
Il fascicolo tecnico deve rispecchiare la versione corrente del prodotto. Ogni rilascio firmware che modifica comportamenti rilevanti per la sicurezza richiede un aggiornamento della documentazione, almeno nelle sezioni SBOM, valutazione dei rischi e risultati dei test. Non è necessario ricostruire il fascicolo da zero, ma deve restare accurato e specifico per versione.
Per quanto tempo va conservato il fascicolo tecnico dopo il ritiro del prodotto?
Il CRA richiede una conservazione di 10 anni dalla data in cui l'ultima unità è stata immessa sul mercato. Se vendi unità fino al 2030, tutta la documentazione deve essere mantenuta fino al 2040.
Il fascicolo tecnico va inviato alle autorità in modo proattivo?
No. Il fabbricante detiene il fascicolo tecnico e lo mette a disposizione su richiesta delle autorità di sorveglianza del mercato. Le autorità possono richiedere l'accesso in qualsiasi momento, ma non esiste l'obbligo di trasmettere il fascicolo al momento dell'immissione sul mercato.
Il fascicolo tecnico può fare riferimento a documenti esterni oppure tutto deve stare in un unico posto?
I riferimenti a documenti esterni sono accettabili, a condizione che i documenti siano accessibili e tracciabili. Il fascicolo può rimandare a rapporti di test, documenti di progettazione o certificati di conformità agli standard conservati separatamente, purché i riferimenti siano precisi e i documenti disponibili su richiesta.
Qual è la differenza tra il fascicolo tecnico e la Dichiarazione di Conformità?
La Dichiarazione di Conformità è un documento pubblico sintetico che attesta che il prodotto soddisfa i requisiti CRA. Il fascicolo tecnico è il pacchetto di prove completo che lo dimostra, contenendo tutta la documentazione, i risultati dei test e le valutazioni a sostegno di quella dichiarazione. La Dichiarazione fa riferimento al fascicolo tecnico; il fascicolo tecnico è la sostanza che la supporta.
Prossimi passi
Gestisci la conformità CRA per più prodotti? CRA Evidence traccia le prove del tuo fascicolo tecnico, gli aggiornamenti SBOM e il mapping dei requisiti dell'Allegato I per ogni versione del prodotto.
Una volta completata la valutazione dei rischi e la documentazione di progettazione, completa la Sezione 6 con la nostra guida ai requisiti SBOM. Consulta la guida alla valutazione della conformità per confermare quale modulo si applica prima di finalizzare la tua Dichiarazione di conformità.
Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato.
Articoli correlati
Il CRA si applica al tuo prodotto?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.