Il Fascicolo Tecnico CRA: Cosa Contiene Ogni Sezione (Dettaglio dell'Allegato VII)

Il fascicolo tecnico è il tuo pacchetto di prove per la conformità CRA. Le autorità di sorveglianza del mercato lo richiederanno. Gli Organismi Notificati lo esamineranno. Senza un fascicolo tecnico completo, non puoi legalmente immettere il tuo prodotto sul mercato dell'UE.

Questa guida dettaglia l'Allegato VII sezione per sezione, spiegando cosa richiede ciascuna e come prepararla.

Cos'è il Fascicolo Tecnico?

Il fascicolo tecnico (anche chiamato "documentazione tecnica") è il pacchetto completo di prove che dimostra che il tuo prodotto è conforme ai requisiti CRA.

Non è:

• Documentazione marketing
• Solo manuali utente
• Un esercizio di spunta caselle

È:

• Prove tecniche complete
• Documentazione vivente (aggiornata per tutta la vita del prodotto)
• La tua difesa nelle indagini di sorveglianza del mercato
• Richiesto per la valutazione di conformità

Panoramica della Struttura dell'Allegato VII

L'Allegato VII del CRA specifica i requisiti della documentazione tecnica:

STRUTTURA FASCICOLO TECNICO (Allegato VII)

1. DESCRIZIONE GENERALE
   └── Identificazione prodotto e scopo previsto

2. PROGETTAZIONE E SVILUPPO
   └── Come la sicurezza è stata integrata

3. VALUTAZIONE DEI RISCHI DI CYBERSICUREZZA
   └── Rischi identificati e affrontati

4. REQUISITI ESSENZIALI
   └── Come sono soddisfatti i requisiti dell'Allegato I

5. NORME APPLICATE
   └── Norme utilizzate e deviazioni

6. DISTINTA DEI MATERIALI SOFTWARE
   └── Componenti e dipendenze

7. RISULTATI DEI TEST
   └── Prove di verifica

8. DICHIARAZIONE UE DI CONFORMITÀ
   └── O copia della stessa

9. GESTIONE DELLE VULNERABILITÀ
   └── Processi di sicurezza post-market

Sezione 1: Descrizione Generale

Scopo: Stabilire cos'è il prodotto e a cosa serve.

Contenuto Richiesto

CHECKLIST DESCRIZIONE GENERALE

Identificazione Prodotto:
[ ] Nome e numero modello del prodotto
[ ] Versione(i) hardware
[ ] Versione(i) software/firmware
[ ] Formato o range numeri di serie
[ ] Identificatore unico del prodotto

Scopo Previsto:
[ ] Descrizione funzione principale
[ ] Utenti/ambiente target
[ ] Casi d'uso previsti
[ ] Usi non previsti (esclusioni)

Categoria Prodotto:
[ ] Classificazione CRA (Default/Importante/Critico)
[ ] Giustificazione della classificazione
[ ] Regolamenti prodotto correlati (se presenti)

Informazioni Mercato:
[ ] Data prima immissione sul mercato UE
[ ] Stati membri target
[ ] Canali di distribuzione

Esempio

DESCRIZIONE GENERALE

Nome Prodotto: SmartSense Pro Sensore Industriale
Numero Modello: SSP-3000
Versione Hardware: Rev C (PCB v3.2)
Versione Firmware: 2.4.1

SCOPO PREVISTO:
SmartSense Pro è un sensore ambientale industriale
progettato per il monitoraggio degli impianti di produzione.
Misura temperatura, umidità e qualità dell'aria, trasmettendo
i dati via WiFi verso cloud o server locali.

UTENTI TARGET:
- Responsabili impianti
- Integratori automazione industriale
- Responsabili conformità ambientale

AMBIENTE PREVISTO:
- Impianti industriali interni
- Temperatura operativa: -10°C a +60°C
- Rete: WiFi 802.11 b/g/n

NON PREVISTO PER:
- Applicazioni mediche o di sicurezza delle persone
- Installazione esterna
- Atmosfere esplosive
- Uso consumer/residenziale

CLASSIFICAZIONE CRA:
Prodotto default. Non elencato nell'Allegato III o IV.
Giustificazione: Sensore generico senza funzioni
di sicurezza o applicazione infrastruttura critica.

IMMISSIONE SUL MERCATO UE:
Prima immissione sul mercato: 15 marzo 2027
Mercati target: Tutti gli Stati membri dell'UE
Distribuzione: Vendite dirette e distributori autorizzati

Sezione 2: Progettazione e Sviluppo

Scopo: Documentare come la sicurezza è stata incorporata nella progettazione del prodotto.

Contenuto Richiesto

CHECKLIST DOCUMENTAZIONE PROGETTAZIONE

Architettura:
[ ] Diagramma architettura sistema
[ ] Diagramma interazione componenti
[ ] Diagramma flusso dati
[ ] Confini di fiducia identificati

Progettazione Sicurezza:
[ ] Descrizione architettura sicurezza
[ ] Implementazioni crittografiche
[ ] Meccanismi di autenticazione
[ ] Modello di autorizzazione
[ ] Protocolli comunicazione sicura
[ ] Misure protezione dati

Processo di Sviluppo:
[ ] Descrizione ciclo sviluppo sicuro
[ ] Tracciabilità requisiti sicurezza
[ ] Procedure revisione codice
[ ] Test sicurezza in sviluppo
[ ] Gestione configurazione

Gestione Modifiche:
[ ] Procedure controllo versione
[ ] Valutazione impatto modifiche
[ ] Revisione sicurezza per modifiche

Sezione 3: Valutazione dei Rischi di Cybersicurezza

Scopo: Documentare i rischi identificati e come sono affrontati.

Formato Valutazione Rischi

VALUTAZIONE RISCHI CYBERSICUREZZA

Prodotto: SmartSense Pro (SSP-3000)
Versione: 2.4.1
Data Valutazione: Gennaio 2027
Valutatore: [Nome, Team Sicurezza]

METODOLOGIA:
Basata su ISO 27005 adattata per sicurezza prodotto.
Rischio = Probabilità × Impatto
Scala: Basso (1-4), Medio (5-9), Alto (10-16), Critico (17-25)

─────────────────────────────────────────────────────────────
ID RISCHIO: R-001
MINACCIA: Modifica non autorizzata del firmware
VULNERABILITÀ: Firmware non firmato potrebbe essere installato
IMPATTO: Alto (5) - Compromissione dispositivo, violazione dati
PROBABILITÀ: Media (3) - Richiede accesso fisico
RISCHIO INERENTE: 15 (Alto)

CONTROLLO: Verifica firma firmware
IMPLEMENTAZIONE: Firma ECDSA P-256 verificata prima dell'installazione
RISCHIO RESIDUO: 3 (Basso) - Attacco crittografico improbabile

STATO: Mitigato
─────────────────────────────────────────────────────────────

RIEPILOGO RISCHI:
Totale rischi identificati: 23
Critico: 0
Alto: 3 (tutti mitigati a Basso/Medio)
Medio: 8 (tutti mitigati a Basso)
Basso: 12 (accettati o mitigati)

ACCETTAZIONE RISCHIO RESIDUO:
Tutti i rischi residui sono entro la tolleranza accettabile.
Firmato: [Responsabile Sicurezza], [Data]

Sezione 4: Mappatura Requisiti Essenziali

Scopo: Dimostrare come ogni requisito dell'Allegato I è soddisfatto.

Requisiti Allegato I, Parte I

MATRICE CONFORMITÀ REQUISITI ESSENZIALI

ALLEGATO I, PARTE I - REQUISITI DI SICUREZZA
═══════════════════════════════════════════════════════════

1. PROGETTATO SENZA VULNERABILITÀ SFRUTTABILI NOTE
   Stato: CONFORME
   Prove:
   - Rapporto scansione vulnerabilità (Trivy): 0 critico/alto
   - Analisi dipendenze: Tutti i componenti alle ultime versioni sicure
   - Rapporto test penetrazione: Nessuna vulnerabilità sfruttabile trovata
   Riferimento: Rapporto Test TR-2027-001, pagine 15-23

2. CONFIGURAZIONE SICURA PER DEFAULT
   Stato: CONFORME
   Prove:
   - Documento revisione configurazione default
   - Nessuna password default (credenziali uniche richieste al setup)
   - Servizi non necessari disabilitati per default
   - Protocolli sicuri abilitati per default (TLS, non HTTP)
   Riferimento: Documento Progettazione DD-004, Sezione 3.2

[Continua per tutti i requisiti Allegato I...]

Sezione 5: Norme Applicate

Scopo: Documentare quali norme sono state utilizzate e come.

Formato Documentazione Norme

NORME APPLICATE

NORME ARMONIZZATE (presunzione di conformità):
─────────────────────────────────────────────────────────────
Norma: EN 303 645 (quando armonizzata per il CRA)
Titolo: Cybersicurezza per IoT Consumer
Stato: Applicata integralmente
Pubblicazione: GUUE [riferimento quando pubblicata]
Prove: Rapporto Conformità Norme SCR-001
─────────────────────────────────────────────────────────────

ALTRE NORME APPLICATE:
─────────────────────────────────────────────────────────────
Norma: IEC 62443-4-1:2018
Titolo: Sicurezza per Automazione Industriale - Sviluppo Sicuro
Stato: Applicata (requisiti selezionati)
Clausole Applicate: 5, 6, 7, 8, 10
Prove: Documentazione SDL SLD-001
─────────────────────────────────────────────────────────────

DEVIAZIONI:
─────────────────────────────────────────────────────────────
Norma: EN 303 645
Clausola: 5.3-2 (Credenziali uniche per dispositivo)
Deviazione: Credenziali uniche per dispositivo ma non pre-provviste
Giustificazione: Il dispositivo richiede setup utente; credenziali
               create durante la prima configurazione
Misura Alternativa: Requisiti password forti applicati,
                   blocco account dopo tentativi falliti
Valutazione Rischio: Rischio residuo accettabile (vedi R-015)
─────────────────────────────────────────────────────────────

Sezione 6: Distinta dei Materiali Software

Scopo: Fornire trasparenza sui componenti per il tracciamento delle vulnerabilità.

Documentazione SBOM

DISTINTA DEI MATERIALI SOFTWARE

Prodotto: SmartSense Pro (SSP-3000)
Versione Firmware: 2.4.1
Formato SBOM: CycloneDX 1.5
Generato: 2027-01-15
Strumento: Trivy + syft

FILE SBOM:
sbom-ssp3000-v2.4.1.json (allegato)

RIEPILOGO COMPONENTI:
─────────────────────────────────────────────────────────────
Totale Componenti: 127
  Dipendenze Dirette: 23
  Dipendenze Transitive: 104

Per Tipo:
  Librerie: 98
  Framework: 12
  Sistema Operativo: 1 (FreeRTOS)
  Moduli Firmware: 16

Per Licenza:
  MIT: 45
  Apache 2.0: 38
  BSD: 15
  LGPL: 8
  Proprietario: 21 (componenti interni)
─────────────────────────────────────────────────────────────

STATO VULNERABILITÀ ALLA VALUTAZIONE:
─────────────────────────────────────────────────────────────
Data Scansione: 2027-01-15
Scanner: Trivy v0.48.0

Critico: 0
Alto: 0
Medio: 2 (accettati - vedi sotto)
Basso: 5 (accettati)

VULNERABILITÀ ACCETTATE:
CVE-2026-XXXXX (Medio): Componente xyz v1.2.3
  Stato: Non sfruttabile nella nostra configurazione
  Giustificazione: Funzionalità non abilitata, percorso codice non raggiungibile
  Data Revisione: 2027-04-15
─────────────────────────────────────────────────────────────

IMPEGNO AGGIORNAMENTO SBOM:
Il SBOM sarà aggiornato con ogni rilascio firmware e reso
disponibile ai clienti su richiesta.

Sezione 7: Risultati dei Test

Scopo: Fornire prove che i requisiti sono effettivamente soddisfatti.

Formato Risultati Test

RIEPILOGO RISULTATI TEST

Prodotto: SmartSense Pro (SSP-3000) v2.4.1
Periodo Test: Dicembre 2026 - Gennaio 2027
Responsabile Test: [Nome]

═══════════════════════════════════════════════════════════
CAMPAGNA TEST: TC-2027-001
═══════════════════════════════════════════════════════════

1. TEST FUNZIONALI SICUREZZA
   Ambito: Autenticazione, autorizzazione, crittografia, avvio sicuro
   Casi Test: 85
   Superati: 85
   Falliti: 0
   Riferimento: Rapporto Test TR-FUNC-001

2. SCANSIONE VULNERABILITÀ
   Strumento: Trivy v0.48.0 + Nessus Professional
   Ambito: Firmware, servizi di rete, interfaccia web
   Risultati:
     Critico: 0
     Alto: 0
     Medio: 2 (accettati con giustificazione)
     Basso: 5 (accettati)
   Riferimento: Rapporto Scansione SR-VULN-001

3. TEST DI PENETRAZIONE
   Fornitore: [Nome società terza]
   Ambito: Test black-box del dispositivo deployato
   Durata: 5 giorni
   Risultati:
     Critico: 0
     Alto: 0
     Medio: 1 (rimediato prima del rilascio)
     Basso: 3 (accettati)
   Riferimento: Rapporto Pentest PT-2027-001

═══════════════════════════════════════════════════════════
VALUTAZIONE COMPLESSIVA: SUPERATO
Tutti i risultati critici e alti rimediati.
Risultati Medio/Basso accettati con giustificazione documentata.
═══════════════════════════════════════════════════════════

Sezione 9: Procedure di Gestione delle Vulnerabilità

Scopo: Documentare i processi di sicurezza post-market.

Documentazione Gestione Vulnerabilità

PROCEDURE DI GESTIONE DELLE VULNERABILITÀ

1. METODI DI CONTATTO
   Principale: security@azienda.com
   Modulo Web: https://azienda.com/sicurezza/segnala
   security.txt: https://azienda.com/.well-known/security.txt
   Politica CVD: https://azienda.com/sicurezza/politica-divulgazione

2. IMPEGNI DI RISPOSTA
   Conferma ricezione: Entro 3 giorni lavorativi
   Valutazione Iniziale: Entro 10 giorni lavorativi
   Aggiornamenti stato: Ogni 14 giorni
   Obiettivo Risoluzione: 90 giorni (critico: 7 giorni)

3. REPORTING ENISA
   Trigger: Sfruttamento attivo rilevato
   Tempistica: Allerta precoce 24h, rapporto dettagliato 72h
   Responsabile: Responsabile Team Sicurezza
   Processo: Vedi PD-ENISA-001

4. STORICO
   Vulnerabilità gestite (ultimi 24 mesi): 3
   Tempo medio risoluzione: 45 giorni
   Rapporti ENISA inviati: 0

Errori Comuni

Valutazione Rischi Incompleta

Problema: Valutazione rischi che non copre tutte le minacce o manca di dettagli sul trattamento.

Correzione: Usare metodologia strutturata. Mappare ogni rischio identificato a un controllo o decisione di accettazione.

SBOM Mancante

Problema: Nessun SBOM o SBOM che non include le dipendenze transitive.

Correzione: Generare SBOM usando strumenti appropriati. Includere l'albero completo delle dipendenze.

Documentazione Obsoleta

Problema: Il fascicolo tecnico descrive la versione 1.0 ma il prodotto è alla versione 2.3.

Correzione: Aggiornare la documentazione con ogni rilascio. Tracciare le versioni esplicitamente.

Nessuna Tracciabilità dei Requisiti

Problema: Dichiara conformità ma non mostra come ogni requisito è soddisfatto.

Correzione: Creare mappatura esplicita da ogni requisito dell'Allegato I alle prove.

Come Aiuta CRA Evidence

CRA Evidence semplifica la creazione del fascicolo tecnico:

• Template strutturati: Costruttore fascicolo tecnico sezione per sezione
• Mappatura requisiti: Tracciare le prove di conformità Allegato I
• Gestione SBOM: Archiviare, analizzare e aggiornare SBOM
• Repository documenti: Archiviazione centralizzata di tutte le prove
• Tracciamento versioni: Mantenere la documentazione attraverso le versioni prodotto
• Capacità di export: Generare bundle completi di fascicolo tecnico

Costruisci il tuo fascicolo tecnico su app.craevidence.com.

Guide Correlate

SBOM: Approfondisci i requisiti SBOM nella nostra guida SBOM.

Valutazione: Scegli il tuo percorso di valutazione di conformità con la nostra guida decisionale sui moduli.

Dichiarazione: Scopri come preparare la tua Dichiarazione UE di Conformità.

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato.