Valutazione di Conformità CRA: Guida alla Scelta tra Modulo A, B+C e H
Come scegliere il giusto percorso di valutazione della conformità per il tuo prodotto. Copre l'idoneità all'autovalutazione, i requisiti degli Organismi Notificati e l'implementazione pratica per ogni modulo.
In questo articolo
- Sintesi
- Panoramica della Valutazione di Conformità
- Quando È Possibile Usare l'Autovalutazione del Modulo A?
- Quando il CRA Richiede un Organismo Notificato?
- Modulo H: Assicurazione Qualità Completa
- Framework Decisionale
- Dichiarazione di Conformità UE
- Marcatura CE
- Errori Comuni
- Domande Frequenti
- Prossimi Passi
Il percorso di valutazione della conformità CRA determina costi, tempistiche e dipendenze esterne. Scegli male e perderai mesi e migliaia di euro. Scegli bene e avrai un percorso chiaro verso la marcatura CE.
Questa guida ti aiuta a selezionare il corretto modulo di valutazione della conformità e a capire cosa comporta ciascuno.
Sintesi
- Modulo A (Autovalutazione): Disponibile per prodotti Default e Classe I Importante (se si utilizzano standard armonizzati)
- Modulo B+C (Terze Parti): Richiesto per Classe II Importante, opzionale per gli altri
- Modulo H (QA Completa): Alternativa al B+C per organizzazioni con più prodotti
- La classificazione del prodotto determina quali opzioni sono disponibili
- Differenza di costo: Modulo A (~€5-20K interno), B+C (~€30-100K+), H (~€50K+ setup + continuativo)
Suggerimento: Circa il 90% dei prodotti rientra nella categoria Default e può utilizzare il Modulo A (autovalutazione). Questo è il percorso più rapido e meno costoso verso la marcatura CE.
Panoramica della Valutazione di Conformità
La valutazione della conformità è il modo in cui dimostri che il tuo prodotto soddisfa i requisiti CRA. La Dichiarazione di Conformità UE (DoC) che firmi dichiara che il tuo prodotto è conforme, ma devi avere prove a supporto di tale affermazione.
Il CRA offre tre moduli di valutazione della conformità:
OPZIONI DI MODULO PER CATEGORIA DI PRODOTTO
┌─────────────────────────────────────────────────────────────┐
│ PRODOTTI DEFAULT │
│ (~90% dei prodotti) │
├─────────────────────────────────────────────────────────────┤
│ Modulo A (Autovalutazione) ✓ Consentito │
│ Modulo B+C (Terze Parti) ✓ Consentito (opzionale) │
│ Modulo H (QA Completa) ✓ Consentito (opzionale) │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ PRODOTTI IMPORTANT CLASS I │
│ (Allegato III, Parte I) │
├─────────────────────────────────────────────────────────────┤
│ Modulo A (Autovalutazione) ✓ SE standard armonizzati│
│ Modulo B+C (Terze Parti) ✓ Consentito │
│ Modulo H (QA Completa) ✓ Consentito │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ PRODOTTI IMPORTANT CLASS II │
│ (Allegato III, Parte II) │
├─────────────────────────────────────────────────────────────┤
│ Modulo A (Autovalutazione) ✗ NON Consentito │
│ Modulo B+C (Terze Parti) ✓ RICHIESTO │
│ Modulo H (QA Completa) ✓ Consentito │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ PRODOTTI CRITICI │
│ (Allegato IV) │
├─────────────────────────────────────────────────────────────┤
│ Modulo A (Autovalutazione) ✗ NON Consentito │
│ Modulo B+C (Terze Parti) ✓ RICHIESTO + EUCC │
│ Modulo H (QA Completa) ✓ Consentito + EUCC │
└─────────────────────────────────────────────────────────────┘
Quando È Possibile Usare l'Autovalutazione del Modulo A?
Autovalutazione. Valuti il tuo prodotto rispetto ai requisiti CRA.
Quando il Modulo A È Disponibile
- Prodotti Default: Sempre disponibile
- Classe I Importante: Solo se applichi completamente gli standard armonizzati pertinenti
Cosa Significa "Standard Armonizzati"
Per l'autovalutazione Classe I Importante, devi applicare standard armonizzati che:
- Coprano i requisiti essenziali dell'Allegato I
- Siano pubblicati nella Gazzetta Ufficiale dell'UE
- Siano applicati completamente (non parzialmente)
Se non esiste uno standard armonizzato per il tuo tipo di prodotto, i prodotti Classe I Importante devono usare il Modulo B+C o H.
Processo Modulo A
VALUTAZIONE DI CONFORMITÀ MODULO A
1. FASE DI PROGETTAZIONE
├── Applicare i principi di security-by-design
├── Condurre valutazione dei rischi (requisiti Allegato I)
├── Documentare l'architettura di sicurezza
└── Applicare standard armonizzati (se Class I)
2. DOCUMENTAZIONE
├── Creare il fascicolo tecnico (Allegato VII)
│ ├── Descrizione del prodotto
│ ├── Risultati valutazione dei rischi
│ ├── Documentazione di progettazione
│ ├── Standard applicati
│ ├── Risultati dei test
│ └── SBOM
└── Preparare la Dichiarazione di Conformità UE
3. CONTROLLI DI PRODUZIONE
├── Assicurarsi che la produzione mantenga la conformità
├── Documentare i controlli qualità
└── Verificare ogni unità (dove applicabile)
4. FINALIZZAZIONE
├── Firmare la Dichiarazione di Conformità UE
├── Apporre la marcatura CE
└── Conservare la documentazione (10 anni)
Costi Modulo A
| Elemento di Costo | Range Tipico | Note |
|---|---|---|
| Valutazione dei rischi | €5.000-15.000 | Interno o consulente |
| Documentazione tecnica | €5.000-20.000 | Dipende dalla complessità |
| Test | €2.000-10.000 | Interno o laboratorio |
| Strumenti SBOM | €0-5.000 | Strumenti potrebbero già esistere |
| Tempo personale interno | Variabile | Spesso il costo maggiore |
Range totale tipico: €15.000-50.000 (costi interni)
Tempistiche Modulo A
| Fase | Durata |
|---|---|
| Valutazione dei rischi | 2-4 settimane |
| Documentazione | 4-8 settimane |
| Test | 2-4 settimane |
| Revisione e finalizzazione | 1-2 settimane |
Timeline totale tipica: 2-4 mesi
Quando il CRA Richiede un Organismo Notificato?
Valutazione di terze parti. Un Organismo Notificato esamina il design del tuo prodotto.
Quando il Modulo B+C È Richiesto
- Classe II Importante: Obbligatorio
- Prodotti critici: Obbligatorio (più EUCC)
- Classe I Importante: Se non si usano standard armonizzati
Modulo B: Esame UE del Tipo
Un Organismo Notificato esamina un campione rappresentativo (tipo) del tuo prodotto e rilascia un certificato.
PROCESSO MODULO B
1. DOMANDA
├── Selezionare l'Organismo Notificato
├── Presentare domanda con:
│ ├── Campione/i di prodotto
│ ├── Documentazione tecnica
│ └── Modulo di domanda
└── Pagare le tariffe iniziali
2. ESAME
├── L'ON esamina la documentazione
├── L'ON testa il campione di prodotto
├── L'ON verifica la conformità Allegato I
└── L'ON può richiedere info/test aggiuntivi
3. DECISIONE
├── Conforme → Certificato di Esame UE del Tipo
├── Non conforme → Report delle carenze
└── Se carenze: rimediare e ripresentare
4. CERTIFICATO
├── Valido per il tipo di prodotto valutato
├── Elenca condizioni e limitazioni
└── Soggetto a revisione (tipicamente 5 anni)
Modulo C: Conformità al Tipo
Dopo il Modulo B, assicuri che la produzione sia conforme al tipo certificato.
PROCESSO MODULO C
1. CONTROLLI DI PRODUZIONE
├── Assicurarsi che ogni unità sia conforme al tipo certificato
├── Documentare i processi di produzione
└── Mantenere i controlli qualità
2. DICHIARAZIONE
├── Referenziare il Certificato di Esame UE del Tipo
├── Firmare la Dichiarazione di Conformità UE
└── Apporre la marcatura CE
3. CONTINUATIVO
├── Mantenere la conformità al tipo certificato
├── Segnalare all'ON le modifiche che influenzano il tipo
└── Ricertificare se modifiche sostanziali
Avvertenza: Le tariffe degli Organismi Notificati variano tipicamente da €30.000 a €100.000+, e i tempi di attesa possono raggiungere 4-16 settimane. Pianifica budget e tempistiche di conseguenza.
Costi Modulo B+C
| Elemento di Costo | Range Tipico | Note |
|---|---|---|
| Tariffa domanda ON | €2.000-5.000 | Non rimborsabile |
| Tariffa esame ON | €15.000-50.000 | Dipende dalla complessità |
| Preparazione campioni | €1.000-5.000 | Campioni per test |
| Documentazione tecnica | €10.000-30.000 | Deve soddisfare requisiti ON |
| Viaggio/logistica | €1.000-5.000 | Se richieste visite in loco |
| Remediation (se necessaria) | Variabile | Re-test, correzioni documentazione |
Range totale tipico: €30.000-100.000+
Tempistiche Modulo B+C
| Fase | Durata |
|---|---|
| Selezione ON e domanda | 2-4 settimane |
| Preparazione documentazione | 4-8 settimane |
| Tempo di coda ON | 4-16 settimane (varia significativamente) |
| Esame | 4-8 settimane |
| Emissione certificato | 2-4 settimane |
Timeline totale tipica: 4-10 mesi
Modulo H: Assicurazione Qualità Completa
Approccio del sistema di gestione della qualità. L'ON approva il tuo SGQ per progettazione, produzione e test.
Quando il Modulo H Ha Senso
Il Modulo H è vantaggioso quando:
- Hai più prodotti che richiedono valutazione di terze parti
- Hai già un SGQ maturo (ISO 9001, ISO 27001)
- Vuoi una relazione continua con l'ON invece di esame per prodotto
- Rilasci aggiornamenti frequenti
Modulo H vs B+C: Decisione
| Fattore | Modulo B+C | Modulo H |
|---|---|---|
| Numero di prodotti | 1-3 prodotti | 4+ prodotti |
| SGQ esistente | Nessun SGQ maturo | SGQ maturo esiste |
| Frequenza aggiornamenti | Aggiornamenti poco frequenti | Rilasci frequenti |
| Dimensione organizzazione | Piccola/media | Media/grande |
| Costo iniziale | Più basso | Più alto |
| Costo per prodotto | Più alto | Più basso |
| Costo continuativo | Più basso | Più alto (sorveglianza) |
Suggerimento: Il Modulo H diventa conveniente con 4+ prodotti. Se hai un SGQ maturo (ISO 9001, ISO 27001), è spesso il miglior investimento a lungo termine.
Regola pratica: Il Modulo H diventa conveniente con 4+ prodotti o quando servirebbe ri-esame frequente.
Framework Decisionale
Passo 1: Determinare la Classificazione del Prodotto
Usa la guida alla classificazione dei prodotti per determinare: Default, Classe I Importante, Classe II Importante, o Critico.
Passo 2: Identificare le Opzioni Disponibili
SE Default:
Opzioni: A, B+C, H
Raccomandazione: Modulo A (a meno che non si voglia validazione terze parti)
SE Classe I Importante:
SE esistono standard armonizzati E li applichi completamente:
Opzioni: A, B+C, H
Raccomandazione: Modulo A (con standard)
ALTRIMENTI:
Opzioni: B+C, H
Raccomandazione: B+C (a meno di prodotti multipli)
SE Classe II Importante:
Opzioni: B+C, H
Raccomandazione: B+C (a meno di prodotti multipli o SGQ maturo)
SE Critico:
Opzioni: B+C + EUCC, H + EUCC
Raccomandazione: Dipende dalle capacità dell'organizzazione
Dichiarazione di Conformità UE
Indipendentemente dal modulo scelto, devi emettere una Dichiarazione di Conformità UE.
Contenuto Richiesto della DoC
DICHIARAZIONE DI CONFORMITÀ UE
(Cyber Resilience Act - Regolamento (UE) 2024/2847)
1. Identificazione del prodotto:
[Nome prodotto, tipo, lotto, numero/i di serie]
2. Nome e indirizzo del fabbricante:
[Dettagli della tua azienda]
3. La presente dichiarazione di conformità è rilasciata sotto
la responsabilità esclusiva del fabbricante.
4. Oggetto della dichiarazione:
[Descrizione del prodotto, sufficiente per la tracciabilità]
5. L'oggetto della dichiarazione sopra descritto è conforme
alla pertinente legislazione di armonizzazione dell'Unione:
- Regolamento (UE) 2024/2847 (Cyber Resilience Act)
- [Altra legislazione applicabile]
6. Riferimenti alle pertinenti norme armonizzate applicate, o
riferimenti alle specifiche in relazione alle quali è
dichiarata la conformità:
[Elenco standard applicati, con numeri di versione]
7. Ove applicabile, l'organismo notificato:
[Nome ON, numero, riferimento certificato]
ha effettuato: [esame Modulo B/H]
e ha rilasciato: [numero certificato]
8. Informazioni supplementari:
[Periodo di supporto, contatto per segnalazione vulnerabilità, ecc.]
Firmato a nome e per conto di:
[Nome, funzione]
[Luogo e data di rilascio]
[Firma]
Marcatura CE
Dopo la valutazione di conformità, apponi la marcatura CE.
Requisiti della Marcatura CE
- Visibile, leggibile, indelebile
- Altezza minima 5mm
- Proporzioni corrette (come specificato nella legislazione)
- Sul prodotto o sull'imballaggio (se la marcatura sul prodotto non è fattibile)
- Accompagnata dal numero dell'Organismo Notificato se usato Modulo B o H
Errori Comuni
Importante: Autovalutarsi (Modulo A) quando il tuo prodotto è Classe II Importante costituisce una valutazione di conformità non valida. Il prodotto non può essere legalmente immesso sul mercato dell'UE.
Autovalutazione Quando Non Consentita
Problema: Scegliere il Modulo A per un prodotto Classe II Importante.
Conseguenza: Valutazione di conformità non valida. Il prodotto non può essere legalmente immesso sul mercato.
Prevenzione: Verificare sempre la classificazione del prodotto prima di scegliere il percorso di valutazione.
Applicazione Parziale degli Standard
Problema: Rivendicare il Modulo A per Classe I Importante applicando solo parzialmente gli standard armonizzati.
Conseguenza: Il Modulo A non è disponibile senza applicazione completa degli standard.
Prevenzione: Se non puoi applicare completamente gli standard, usa il Modulo B+C o H.
Documentazione Inadeguata
Problema: Il fascicolo tecnico manca del contenuto richiesto per il modulo scelto.
Conseguenza: Impossibile dimostrare la conformità. DoC non valida.
Prevenzione: Usa checklist. Rivedi i requisiti di documentazione per il tuo modulo specifico.
Domande Frequenti
Un prodotto Default può sempre usare il Modulo A?
Sì. Circa il 90% dei prodotti rientra nella categoria Default e può accedere al Modulo A in qualsiasi momento. Non serve uno standard armonizzato specifico né il coinvolgimento di un Organismo Notificato. Il fabbricante conduce l'autovalutazione, prepara il fascicolo tecnico, firma la Dichiarazione di Conformità UE e appone la marcatura CE. È il percorso più rapido e meno oneroso verso la conformità.
Quando è obbligatorio un Organismo Notificato per i prodotti Important Class I?
L'Organismo Notificato è obbligatorio solo quando non esistono standard armonizzati applicabili o non è possibile applicarli integralmente. Se nella Gazzetta Ufficiale dell'UE sono pubblicati standard armonizzati pertinenti e il fabbricante li applica in modo completo, il Modulo A rimane disponibile anche per Important Class I. L'ACN (Agenzia per la Cybersicurezza Nazionale) monitora la pubblicazione degli standard in Italia e pubblica aggiornamenti sullo stato del corpus normativo armonizzato.
A aprile 2026, esistono Organismi Notificati designati per il CRA?
No. Al momento non risulta alcun Organismo Notificato designato per il CRA nella banca dati NANDO della Commissione europea. L'ACN segue l'avanzamento delle procedure di designazione in Italia. I fabbricanti di prodotti Important Class II e Critici che richiedono valutazione di terze parti non possono completare la conformità fino a quando almeno un Organismo Notificato non sarà operativo. Tieni conto di questo ritardo nella pianificazione.
In cosa consiste la valutazione di conformità Modulo B+C?
Il Modulo B prevede che l'Organismo Notificato esamini la documentazione tecnica del prodotto, verifichi un campione rappresentativo e rilasci il Certificato di Esame UE del Tipo. Il Modulo C segue immediatamente: il fabbricante dichiara che la produzione è conforme al tipo certificato, firma la Dichiarazione di Conformità UE con il numero di certificato del Modulo B e appone la marcatura CE.
Gli standard armonizzati possono sostituire la valutazione di un Organismo Notificato?
Solo per Important Class I, e solo se gli standard vengono applicati integralmente. Per Important Class II e prodotti Critici l'Organismo Notificato è obbligatorio indipendentemente dagli standard adottati. L'applicazione parziale degli standard non consente di accedere al Modulo A per nessuna categoria.
Quanto costa una valutazione di conformità con un Organismo Notificato?
Le tariffe variano tra EUR 30.000 e EUR 100.000 o più, a seconda della complessità del prodotto. La tariffa di domanda iniziale, generalmente non rimborsabile, oscilla tra EUR 2.000 e EUR 5.000. I tempi di attesa in coda vanno da 4 a 16 settimane. Questi costi e ritardi devono entrare nella pianificazione fin dalle prime fasi del progetto.
Prossimi Passi
Se gestisci la conformità CRA su più prodotti, CRA Evidence traccia il modulo di valutazione per ciascun prodotto, archivia la documentazione del fascicolo tecnico e monitora lo stato di designazione degli Organismi Notificati man mano che NANDO si aggiorna. Una volta confermato il modulo, costruisci il pacchetto di prove con la guida al fascicolo tecnico Allegato VII. Se la categoria del prodotto non è ancora definita, consulta prima la guida alla classificazione dei prodotti.
Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato.
Articoli correlati
Il CRA si applica al tuo prodotto?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.