Come è nata CRA Evidence

È iniziato nel 2025, quando Joan Romero ha sentito parlare del Regolamento sulla ciberresilienza per la prima volta.

Da quel momento ha iniziato a collegarlo a tutta la sua carriera come Cloud Engineer e SRE. Stiamo costruendo e distribuendo più prodotti che mai, ma non ci prendiamo cura della cybersicurezza. Gli incidenti continuano a crescere.

Il Regolamento sulla ciberresilienza esiste proprio per questo. L'Europa ha visto il problema e ha deciso di agire. Joan ha deciso di aiutare i team ad affrontarlo e ha iniziato a costruire CRA Evidence.

Questo è diventato realtà nel 2026. Il primo capitolo è passato attraverso CEEI, il Centro Europeo delle Imprese e dell'Innovazione del Principato delle Asturie. Con il loro aiuto, l'azienda ha preso il via.

Da Oviedo, Spagna Aiutiamo i team prodotto a trasformare gli obblighi CRA in evidenze che possano davvero mantenere.
Certificazione startup spagnola L'azienda dietro CRA Evidence ha ottenuto lo status di startup innovativa ai sensi della legge spagnola sulle startup, un riconoscimento che dà alle aziende certificate accesso al quadro spagnolo per le startup. Lo status è rilasciato da Enisa spagnola (Empresa Nacional de Innovación, l'agenzia pubblica spagnola per l'innovazione, non l'agenzia UE per la cibersicurezza ENISA). Verifica nel registro pubblico cercando SENDA TECH SOLUTIONS S.L.
Madrid Barcelona Lisbona Oviedo Asturias SPAGNA Portogallo Francia Baleari 200 km 0 200 N
The problem we solve

Perché è stata costruita CRA Evidence

Ogni anno arrivano in Europa più prodotti digitali, dai controllori industriali ai dispositivi domestici, e il Regolamento sulla cibersicurezza (Cyber Resilience Act) è il primo regolamento che richiede a ciascuno di essi di portare prove concrete di sicurezza per l'intero ciclo di vita. Volevamo supportare i team impegnati in quel lavoro.

Nessuno aveva una chiara responsabilità sul Regolamento sulla cibersicurezza. Non l'ingegneria, non il legale, non il prodotto. Abbiamo costruito CRA Evidence affinché quel lavoro abbia una sede: tracciato, corretto e pronto per gli audit nell'arco dei dieci anni richiesti dal Regolamento.

Scopra come lavoriamo con i team

Ogni prodotto con elementi digitali venduto nell'UE deve essere progettato, prodotto e mantenuto con prove concrete di cibersicurezza lungo l'intero ciclo di vita, e conservato per almeno dieci anni.

Regolamento (UE) 2024/2847, articoli 13–14 · parafrasato

È questo il lavoro per cui esistiamo.

A chi ci rivolgiamo

Il CRA si applica in modo diverso a ciascun ruolo. Ci adattiamo a ognuno.

Produttori, importatori e distributori hanno obblighi diversi ai sensi del regolamento. CRA Evidence fornisce il workflow giusto per ciascuno.

Produttori

CRA Articolo 13

Costruite prodotti con elementi digitali. Gli obblighi CRA più pesanti ricadono su di Voi.

  • Validazione SBOM rispetto a BSI TR-03183
  • Monitoraggio continuo delle vulnerabilità con nuove CVE rilevate entro 15 minuti
  • Generatore di Dichiarazione di Conformità UE
  • Generatore di informazioni e istruzioni per l'utente (UII)
  • Tracciamento della conformità a livello di versione
Il produttore medio ha oltre 200 dipendenze per prodotto. Non potete tracciare tutto in un foglio di calcolo.

Importatori

CRA Articolo 19

Introducete prodotti nel mercato UE. Dovete verificare la conformità del produttore prima di vendere.

  • Liste di verifica Articolo 19
  • Richieste di documentazione al produttore
  • Archiviazione delle prove con traccia di audit
  • Registri per la sorveglianza del mercato
Se un prodotto che importate non soddisfa i requisiti CRA, siete responsabili. CRA Evidence Vi aiuta a verificare prima di impegnarVi.

Distributori

CRA Articolo 20

Vendete prodotti nell'UE ma non li producete né li importate. Obblighi più leggeri.

  • Flussi di lavoro per la verifica della conformità
  • Accesso alla documentazione del prodotto
  • Orientamento Articolo 20
  • Percorsi di escalation degli incidenti
Obblighi più leggeri, ma avete comunque bisogno di un sistema. CRA Evidence lo mantiene semplice.

Le domande che continuiamo a sentire

Ogni team che si sta preparando al CRA affronta le stesse basi:

  • In che formato dovrebbe essere il mio SBOM?
  • Come traccio le vulnerabilità su 300 dipendenze?
  • Cosa va esattamente in un fascicolo tecnico?
  • Come dimostro la conformità a un'autorità di sorveglianza del mercato?

Il regolamento è già abbastanza complesso. I tuoi strumenti non devono esserlo.

Con sede nell'Unione Europea
Riconoscimento

Riconoscimento indipendente

Segnali di terze parti che puoi verificare in autonomia. Leggi gli annunci completi nella sala stampa.

Startup innovativa, Enisa spagnola

Agenzia nazionale per l'innovazione della Spagna

Membro di Cluster TIC Asturias

Cluster regionale del settore TIC
Visita la sala stampa →

Pronti a semplificare la conformità CRA?

Mappi gli obblighi, generi prove e rimanga pronto per gli audit su tutte le versioni del prodotto entro l'11 dicembre 2027.

Inizia la prova gratuita Vedi i prezzi