Guida alla conformità CRA Classe I: router, modem e switch

Pubblicato 28 maggio 2026 Aggiornato 30 maggio 2026

Riepilogo

Un router Wi-Fi domestico, un router-modem, un modem internet, un nodo mesh o uno switch dovrebbe normalmente essere pianificato come prodotto Classe I Importante. L'eccezione è la funzione principale: un router commercializzato soprattutto come firewall, IDS/IPS, gateway VPN o apparecchio di gestione di rete può richiedere un'analisi di categoria diversa.

La prima azione di evidenza è un memorandum di classificazione e perimetro per il CPE o il dispositivo di rete esatto. Deve identificare hardware, firmware, interfaccia WAN, stack wireless, interfaccia di amministrazione LAN, app mobile, cloud ISP o del fornitore, canale di gestione remota, meccanismo di aggiornamento, inventario dei componenti, periodo di supporto e ogni modifica del firmware in white-label o ISP.

Variante di prodotto	Classe CRA probabile	Perché
Router Wi-Fi di consumo	Classe I Importante	La connettività internet e l'instradamento sono la funzione principale
Router-modem ISP o CPE	Classe I Importante	Il prodotto collega i clienti a internet
Modem standalone cavo, DSL o fibra / ONT	Classe I Importante quando previsto per la connessione internet	La funzione di modem internet è la funzione principale del prodotto
Kit Wi-Fi mesh	Classe I Importante	I nodi mesh formano il prodotto router o la famiglia di prodotti
Hotspot mobile 4G/5G	Classe I Importante	La WAN cellulare è comunque connettività internet
Switch gestito	Classe I Importante	La commutazione più un piano di gestione rientrano nella funzione di prodotto di rete e ampliano il perimetro di evidenza
Switch non gestito o non configurabile	Caso specifico	Verifichi se è un prodotto con elementi digitali e se esiste un piano di gestione, una via di aggiornamento del firmware, una funzione cloud/app o un'altra funzione connessa prima di trattarlo come apparato di rete gestito
Router VPN	Caso specifico, di solito Classe I Importante	La VPN può essere la funzione più specifica se commercializzata come tale
Router commercializzato come firewall, UTM o IPS	Caso specifico, possibile Classe II Importante	Il firewall o la prevenzione possono diventare la funzione principale
Firmware di router commerciale venduto standalone	Caso specifico	Il prodotto software può essere esso stesso il prodotto router
CPE a marchio ISP con hardware OEM	Classe I Importante, sensibile al ruolo	Il marchio in white-label o le modifiche al firmware possono spostare gli obblighi del fabbricante

Base di classificazione

Diagramma di decisione di classificazione per un router, modem o switch. Una domanda iniziale sulla funzione principale commercializzata si dirama in tre vie. Ramo A, evidenziato: un router, modem internet o switch gestito è Classe I voce 12 perché instradamento e connettività internet sono la funzione principale. Ramo B: una scatola commercializzata principalmente come firewall o sistema di rilevamento e prevenzione delle intrusioni solleva la questione della Classe II voce 2. Ramo C: uno switch non gestito o non configurabile, oppure un'immagine firmware open-source commerciale, richiede una verifica caso per caso. Una nota a piè di pagina ricorda che filtri di pacchetto, controlli parentali o un client VPN non spostano da soli un router nella Classe II. — La prima domanda di instradamento è la funzione principale commercializzata: un router o modem resta Classe I voce 12; una scatola firewall-first solleva la questione della Classe II voce 2.

Il CRA tratta router, modem internet e switch come prodotti Classe I Importante, che non è la stessa cosa dello status Classe II del firewall. Le funzioni di sicurezza aggiuntive non spostano un router nella Classe II finché instradamento e connettività internet restano la sua funzione principale commercializzata.

Il prodotto non è Critico solo perché si trova al margine della rete. L'elenco Critico è più ristretto e non include i router di consumo o i CPE ISP nel loro insieme.

Cosa costituisce il prodotto router?

Un prodotto router, modem o switch può includere più della scatola di plastica:

bootloader, sistema operativo, kernel, driver wireless, stack WAN e servizi LAN;
silicio modem, ONT, switch Ethernet, comportamento della VLAN di gestione e controllo PoE dove presente;
interfaccia di amministrazione web, abbinamento dell'app mobile e portale di configurazione locale;
TR-069, USP/TR-369 o altro canale di gestione remota;
cloud del fornitore o ISP usato per accesso remoto, controlli parentali, telemetria, coordinamento mesh o orchestrazione degli aggiornamenti;
servizio di aggiornamento del firmware, chiavi di firma, immagine di ripristino e processo di supporto.

Il fascicolo di evidenza deve registrare anche cosa resta fuori dal prodotto: l'account ISP del cliente, dispositivi smart-home di terzi, regole di rete create dall'utente, il modem dell'utente se venduto separatamente e i sistemi a valle dell'operatore non forniti dal fabbricante.

Quale percorso di conformità deve pianificare il fabbricante?

Classe I Importante non significa automaticamente che ogni router richieda una valutazione da terza parte, ma il controllo interno non va dato per scontato. Se il fabbricante può usare il percorso generale di controllo interno e ha applicato pienamente le norme armonizzate pertinenti, specifiche comuni o uno schema europeo di certificazione di cibersicurezza appropriato almeno al livello di affidamento sostanziale per i requisiti essenziali applicabili, esso può essere disponibile. Se quei riferimenti non esistono, sono applicati solo in parte, non sono applicati o non coprono tutti i requisiti pertinenti, pianifichi un esame UE del tipo più controllo della produzione interno o garanzia di qualità completa. La meccanica del percorso generale e cosa deve contenere la dichiarazione UE di conformità si trovano nelle guide conformity-assessment e declaration-of-conformity; questa pagina copre solo la scelta specifica del router.

Se la stessa variante hardware è commercializzata anche come firewall, gateway VPN, apparecchio di gestione di rete o piattaforma di sicurezza gestita, crei un memorandum di classificazione separato per quello SKU.

Come si mappa la scadenza RED cibersicurezza sul CRA?

La maggior parte dei router e dei modem connessi a internet contiene una radio (Wi-Fi, un modem cellulare o simile), e quel sottoinsieme dotato di radio ha già superato una porta di cibersicurezza prima dell'arrivo del CRA. Dal 1° agosto 2025 i requisiti di cibersicurezza della Direttiva sulle apparecchiature radio (RED Articolo 3.3 punti d, e ed f, fissati dal Regolamento delegato (UE) 2022/30) si applicano alle apparecchiature radio connesse a internet come router Wi-Fi, nodi mesh, router-modem e gateway cellulari. Un dispositivo puramente cablato, come un router solo Ethernet o un semplice modem DSL, cavo o fibra senza radio, si colloca fuori dall'ambito di cibersicurezza della RED, ma ciascuno di essi resta un prodotto con elementi digitali ai sensi del CRA. Gli obblighi di segnalazione del CRA partono l'11 settembre 2026 e il CRA diventa pienamente applicabile l'11 dicembre 2027, quando l'abrogazione da parte della Commissione del Regolamento delegato RED cibersicurezza attraverso il Regolamento delegato (UE) 2026/339 produce effetti, così che i due regimi non si sovrappongano.

Linea temporale che mappa la scadenza di cibersicurezza per apparecchiature radio sul CRA. Dal 1° agosto 2025 le apparecchiature radio connesse a internet soddisfano i requisiti di cibersicurezza della RED (punti d, e ed f). Il Regolamento delegato RED cibersicurezza è poi abrogato dal Regolamento delegato (UE) 2026/339, e il CRA diventa pienamente applicabile l'11 dicembre 2027, con gli obblighi di segnalazione che partono l'11 settembre 2026. Una corsia parallela delle norme mostra la serie EN 18031 per la fase RED, ETSI EN 304 627 come norma router CRA in bozza e le bozze orizzontali EN 40000. — I costruttori di router superano una porta di cibersicurezza per apparecchiature radio da agosto 2025; gli stessi obblighi si spostano sotto il CRA da dicembre 2027.

Per un costruttore di router la lettura pratica è:

Fra il 1° agosto 2025 e il 10 dicembre 2027, le apparecchiature radio applicabili soddisfano i requisiti di cibersicurezza della RED; il percorso armonizzato passa per la serie EN 18031, con ETSI EN 303 645 come riferimento di consumo su cui si basa.
Dall'11 dicembre 2027 gli stessi obblighi di cibersicurezza si collocano sotto il CRA, con i suoi obblighi più ampi di ciclo di vita: configurazione sicura per impostazione predefinita, processo di gestione delle vulnerabilità, dichiarazione del periodo di supporto e obblighi di segnalazione che partono già l'11 settembre 2026.
Un router già immesso sul mercato prima dell'11 dicembre 2027 rientra sotto il CRA solo se è sostanzialmente modificato dopo tale data. L'unica eccezione è l'obbligo di segnalazione, che si applica a ogni prodotto rientrante nell'ambito, comprese le unità già vendute.
La norma armonizzata CRA specifica per i router in preparazione è ETSI EN 304 627 (Routers, Modems and Switches), che si mappa sulla Classe I voce 12 e sui requisiti essenziali di cibersicurezza. È ancora in bozza, quindi pianifichi il percorso di conformità sulle norme effettivamente citate al momento e riutilizzi i controlli costruiti per la RED (impostazioni predefinite sicure, aggiornamenti firmati, controllo degli accessi) come base del fascicolo CRA invece di avviare un progetto separato.

Quali evidenze devono essere pronte?

Area di evidenza	Cosa registrare per un router o router-modem	Perché conta
Finalità prevista	Router domestico, CPE ISP, modem, ONT, sistema mesh, hotspot mobile, switch, router VPN, switch gestito	La classe segue la variante effettiva e le affermazioni di prodotto
Superficie d'attacco WAN	DHCP, PPPoE, IPv6, proxy DNS, NAT, impostazioni firewall predefinite, postura di amministrazione remota	Il lato WAN riceve traffico non attendibile prima che l'utente abbia configurato qualsiasi cosa
Amministrazione LAN	Interfaccia web, API locale, portale di configurazione, politica delle password, recupero account, controlli di accesso	La maggior parte degli errori di configurazione e proprietà avviene qui
Wireless	Predefinite WPA2/WPA3, decisione su WPS, isolamento ospiti, onboarding SSID/password, firmware del chip Wi-Fi	Le impostazioni wireless predefinite diventano le impostazioni di sicurezza della casa
Gestione remota	TR-069, USP/TR-369, cloud del fornitore, cloud ISP, accesso remoto dell'app mobile	Spesso è la differenza fra una scatola e un prodotto gestito a flotta
Percorso di aggiornamento	Firmware firmato, protezione dal rollback, rilasci spinti dall'ISP, partizione di ripristino, avviso di aggiornamento	Gli aggiornamenti del router devono coprire il periodo di supporto e sopravvivere ai rami OEM/ISP
Evidenza dei fornitori	SDK del SoC, fornitore Wi-Fi/baseband, bootloader, kernel, stack TLS, servizi DNS/DHCP	I costruttori di router ereditano una vasta superficie di componenti di terzi
Evidenza dei ruoli	Responsabilità di OEM, ISP, importatore, distributore e white-label	I CPE a marchio e i fork firmware possono cambiare chi possiede il fascicolo CRA

Quali dettagli di architettura del router non vanno tralasciati?

L'evidenza del router deve seguire il dispositivo di rete effettivamente spedito. Un router Wi-Fi retail, un router-modem ISP, un ONT PON, un modem cavo, un hotspot mobile, un nodo mesh e uno switch gestito hanno esposizione WAN, gestione remota e rischi di ramo firmware differenti.

Le componenti interne di un router gateway disegnate come quattro bande orizzontali di piano. Il piano dati contiene la porta WAN, lo switch LAN, la radio Wi-Fi e l'offload hardware. Il piano di controllo, in esecuzione sulla CPU del SoC, contiene instradamento e NAT, il firewall, DHCP e DNS, e l'autenticazione Wi-Fi. Il piano di gestione contiene la console di amministrazione web, SSH, SNMP, l'agente TR-069 e USP, e il client di aggiornamento over-the-air. Il livello di piattaforma contiene il secure boot, i banchi firmware A e B, e flash più DRAM. Ogni piano è un gruppo distinto di componenti che appartiene al fascicolo di prodotto del costruttore. — Il router si suddivide in quattro piani: inoltro dei dati, software di controllo sulla CPU, accesso di gestione e piattaforma che avvia e conserva tutto. Tutti e quattro appartengono al fascicolo di prodotto.

Una mappa hub-and-spoke di chi parla con il router. Il router siede al centro all'interno di un perimetro tratteggiato del fascicolo di prodotto. Sul lato della casa: un dispositivo locale di amministrazione e la LAN domestica con dispositivi IoT. Sul lato operatore e internet: l'internet non attendibile, il server di auto-configurazione dell'ISP o operatore, il server di aggiornamento firmware e il cloud del fornitore. Sette flussi etichettati attraversano il perimetro: uplink WAN, traffico LAN, associazione Wi-Fi, amministrazione locale, gestione remota, aggiornamento firmato del firmware e telemetria del fornitore. — Ogni flusso qui attraversa il perimetro del fascicolo di prodotto: l'uplink WAN, LAN e Wi-Fi verso la casa, l'amministrazione locale, la gestione remota dell'operatore, gli aggiornamenti firmati e la telemetria cloud. Il fascicolo deve renderne conto integralmente.

Punto di controllo di architettura	Domanda di evidenza per router, modem o switch
Catena di avvio e ripristino	Identifichi boot ROM, bootloader, stato del secure boot, immagine A/B o a banco singolo, innesco di ripristino, contatore anti-rollback e comportamento al ripristino di fabbrica. Conservi i test di abuso di downgrade e ripristino.
WAN e provisioning	WAN Ethernet separata, PPPoE, DHCP, IPv6, provisioning DOCSIS/PON/cellulare e profili operatore. Mostri quali servizi analizzano input WAN non autenticato prima che esista l'interfaccia di amministrazione.
Livello Wi-Fi e baseband	Tracci i blob firmware Wi-Fi, la configurazione del dominio normativo, i fork hostapd/wpa_supplicant, la decisione su WPS e l'onboarding mesh. Il firmware del fornitore appartiene al monitoraggio degli avvisi.
Gestione remota	Per TR-069/CWMP, USP/TR-369, cloud del fornitore o cloud ISP, registri identità del controllore, fiducia nei certificati, comportamento di richiesta di connessione, ambito dei comandi e auditabilità.
Controllo di switch e mesh	Interfaccia degli switch gestiti, SNMP/API, VLAN, mirroring delle porte, PoE, controller EasyMesh o mesh proprietari richiedono controlli di esposizione del piano di gestione propri. Per switch non gestiti o non configurabili, verifichi prima se esiste una superficie di gestione digitale o di aggiornamento.
Rami ISP e white-label	Mantenga una matrice di rami che mostri build OEM, fork ISP, profilo operatore, approvazione OTA, titolare del periodo di supporto e via di avviso all'utente.
Produzione e reso	Registri segreti per dispositivo, credenziali stampate, politica della shell di debug, stato di UART/JTAG, cancellazione RMA e disassociazione dal cloud.

Il lato WAN è dove il dispositivo analizza per la prima volta input non autenticato, e quel lato cambia con la tecnologia di accesso. Un router retail con WAN Ethernet, un router-modem cavo, un ONT in fibra e un hotspot cellulare non condividono lo stesso canale di provisioning né lo stesso peer a monte.

Varianti di tecnologia di accesso WAN per un dispositivo di margine internet. Un modem DSL si collega a un DSLAM in centrale; un modem cavo si collega a un CMTS su un collegamento cifrato e autenticato tramite certificato con BPI+ o SEC; un ONT in fibra si collega tramite uno splitter passivo a un OLT; una porta WAN Ethernet si collega a uno switch a monte; un modulo cellulare si collega a una rete mobile. Ogni variante nota cosa cambia al confine di fiducia WAN: il peer di accesso, il canale di provisioning e l'input non autenticato che raggiunge per primo il dispositivo. — Il confine WAN differisce per tecnologia di accesso: DSL, cavo, fibra, Ethernet o cellulare cambiano ciascuno il peer di accesso e il primo input non autenticato.

Come si presenta un modello di minaccia reale di un router?

Lo usi come esempio della profondità attesa in un modello di minaccia del fascicolo tecnico. Il fabbricante deve comunque condurre la valutazione contro il router reale, il chipset modem, lo stack wireless, il canale di gestione remota, gli SDK dei fornitori, la titolarità degli aggiornamenti, le affermazioni di vendita e la promessa del periodo di supporto.

Profilo di prodotto di esempio

Prodotto di esempio: ExampleCo HomeRouter R1, un router Wi-Fi 7 domestico venduto nell'UE attraverso canali retail e white-label ISP. Ha WAN Ethernet, quattro porte LAN, Wi-Fi ospiti, un'interfaccia di amministrazione web locale, onboarding tramite app mobile, gestione remota ISP opzionale, firmware OTA firmato, controlli automatici di aggiornamento, servizi DNS/DHCP, profili di controllo parentale e un'immagine di ripristino.

Il perimetro del prodotto include l'hardware del router, il bootloader, il kernel, i driver Wi-Fi, i servizi WAN, i servizi LAN, le impostazioni predefinite del firewall, l'interfaccia web locale, l'abbinamento dell'app mobile, il cloud del fornitore per l'accesso remoto, l'agente opzionale di gestione remota ISP, il servizio OTA, l'immagine di ripristino, il sito di supporto, l'intake di divulgazione coordinata e il processo di avviso. Esclude il modem del cliente quando venduto separatamente, l'abbonamento ISP, dispositivi smart-home di terzi, il provider di identità dell'utente e i sistemi a valle OSS/BSS dell'ISP a meno che lo stesso operatore economico li fornisca come parte del prodotto.

Ciclo di vita di provisioning per il router di esempio dalla fabbrica al reso. Fase uno, fabbrica: identità per dispositivo, credenziali uniche, certificati e un SSID predefinito. Fase due, attacco WAN: Ethernet, PPPoE, DOCSIS, PON o cellulare determina il primo input non autenticato. Fase tre, provisioning: l'operatore o il fornitore associa un profilo ACS o USP e l'ambito dei comandi. Fase quattro, onboarding: cambio password forzato, isolamento ospiti e decisione su WPS. Fase cinque, firmware: una baseline firmata che rifiuta i downgrade. Fase sei, ripristino, rivendita o RMA: disassociazione dal cloud, revoca dei token e azzeramento dell'appartenenza al mesh. Una striscia inferiore elenca i test negativi che devono passare a ogni transizione. — Ogni fase del ciclo di vita nomina cosa cambia e il controllo che prova che l'attore errato non possa impadronirsi del router.

Perimetro di evidenza HomeRouter R1 Il fascicolo del router deve collegare hardware, firmware, wireless, gestione cloud, varianti ISP e operazioni del periodo di supporto.

Maggiore dipendenza dall'operatore

Ambiente del cliente e dell'ISP Ipotesi di installazione

Account ISP Modem separato Dispositivi smart-home Endpoint domestici Strumenti OSS dell'ISP

Evidenza

Documenti le ipotesi sull'uso domestico atteso, sul provisioning ISP, sulla titolarità dell'amministrazione e sulle modalità di installazione non supportate.

Dove inizia il prodotto del costruttore del router

Hardware del router Immesso sul mercato dell'UE

WAN Switch LAN Radio Wi-Fi SoC Pulsante di ripristino Slot di ripristino

Evidenza

Firmware e servizi Superficie d'attacco da valutare

Bootloader Kernel DNS/DHCP Amministrazione web TR-069 / USP Agente OTA

Evidenza

Inventario dei componenti | inventario dei servizi | test sulle impostazioni wireless predefinite | test di aggiornamento sicuro | revisione della gestione remota

Livello fornitori Diligenza sui componenti del router

SDK SoC Firmware Wi-Fi Driver Ethernet Libreria TLS Servizio DNS SDK mobile

Evidenza

Avvisi del fornitore, registro delle versioni SDK, titolarità del ramo firmware, triage dei CVE dei componenti ed evidenza della propagazione delle patch.

Durante il periodo di supporto

Flotta CPE viva Aggiornamenti e trasferimento dei ruoli

Correzioni firmware OEM Merge dei rami ISP Avvisi di sicurezza Notifiche all'utente Segnalazione di sfruttamenti

Evidenza

Mantenga la matrice dei rami, il registro dei rilasci di aggiornamento, la traccia di approvazione ISP, il registro degli avvisi e il registro delle decisioni di segnalazione per vulnerabilità attivamente sfruttate o incidenti gravi di sicurezza del prodotto.

I CPE a marchio ISP richiedono evidenza speciale perché il prodotto può ripartire progettazione, branding, approvazione del firmware, gestione remota e supporto all'utente fra operatori economici diversi.

Finestra di esposizione al primo avvio per il router di esempio. Una linea temporale corre dall'accensione, dove le impostazioni predefinite di fabbrica sono attive, fino all'onboarding, dove le impostazioni predefinite sono sostituite e la finestra è chiusa. Fra le due una finestra di esposizione resta aperta e quattro cose possono già raggiungere il router prima che l'utente cambi alcunché: input WAN da DSL, DOCSIS, PON o cellulare analizzato prima del login; SSID e password predefiniti spediti; un server TR-069 o USP dell'operatore che può associare un profilo; e endpoint del cloud del fornitore, abbinamento mobile e OTA. Una striscia elenca cosa chiude la finestra all'onboarding: cambio password forzato, baseline firmware firmata, gestione remota a perimetro limitato e isolamento della rete ospiti. — Question answered: prima che la casa cambi qualsiasi impostazione, quale input WAN, profilo operatore e servizio predefinito può già raggiungere il router?

Confine dei comandi di gestione remotaTR-069/CWMP, USP/TR-369, cloud del fornitore e cloud ISP vanno definiti come percorsi di controllo di flotta.

Area di comando

Azione tipica

Domanda di rischio

Evidenza da conservare

Configurazione

DNS, Wi-Fi, firewall, port forwarding o modalità bridge.

Il controllore può cambiare più di quanto il profilo valutato consenta?

Matrice dell'ambito dei comandi e campione di audit.

Diagnostica

Log, contatori di pacchetti, statistiche di linea o pacchetto di supporto.

L'esportazione fa trapelare SSID, token, identificatori del cliente o topologia?

Test di redazione e inventario dei dati.

Firmware

Aggiornamento approvato dall'operatore, immagine di ripristino o cambio di ramo.

Si può spingere una build vecchia o di regione errata?

Manifesto firmato, mappa dei rami e rifiuto del rollback.

Proprietà

Abbinamento cloud, migrazione ISP, reso del dispositivo o rivendita.

Il proprietario precedente, l'ISP o il token dell'app possono ancora controllare la scatola?

Test di ripristino, disassociazione e migrazione.

Porta di evidenza: la gestione remota è un percorso di controllo di flotta, non solo una funzione dell'operatore. Il fascicolo di rilascio deve legare ogni identità di controllore all'ambito dei comandi e al ramo firmware. Artifact: revisione del profilo TR-069/USP, inventario dei certificati del controllore e campione di audit dei comandi.

Question answered: quale comando di gestione remota può cambiare DNS, firewall, firmware o stato di proprietà, e chi ha approvato tale ambito?

Matrice dei rami firmware OEM, ISP e white-labelLo stesso hardware può essere spedito con titolari di supporto, endpoint cloud e tempi di patch differenti.

Base OEMFirmware di riferimento e inventario dei componenti

Ramo sorgente, versione SDK, firmware Wi-Fi, kernel e chiave di firma sono la baseline di partenza.

Fork ISPProfilo operatore e porta di rilascio

Endpoint ACS/USP, branding, configurazione predefinita, flusso di approvazione e titolare dell'avviso all'utente sono documentati.

SKU retailCloud del fornitore e abbinamento dell'app

App mobile, abbinamento cloud, servizio mesh e dichiarazione del periodo di supporto restano sotto il processo di rilascio del fornitore.

Merge di patchPropagazione delle correzioni di sicurezza

Tracci se i rami OEM, ISP e white-label hanno ricevuto la stessa correzione di sicurezza o un'eccezione documentata.

Porta delle patch: la promessa del periodo di supporto segue il ramo firmware che gli utenti ricevono effettivamente. Evidence: matrice dei rami, diff dell'inventario dei componenti per ramo, traccia di approvazione ISP, titolare del rilascio white-label ed eccezione documentata quando un ramo non può prendere la stessa correzione.

Question answered: quando l'OEM corregge una vulnerabilità del router, in che modo ciascun ramo ISP, retail e white-label dimostra che la correzione è arrivata ai suoi utenti?

Inventario degli asset

Asset	Perché conta	Dove si trova
Controllo del traffico WAN-LAN	Controlla l'esposizione della casa a internet	NAT, impostazioni firewall predefinite, networking del kernel
Account e sessioni di amministrazione del router	Concede il controllo su DNS, Wi-Fi, port forwarding, aggiornamenti e ripristino	Interfaccia web, app mobile, archivio locale dei token, account cloud
Credenziali Wi-Fi e isolamento ospiti	Impostazioni predefinite deboli espongono la rete domestica e i dispositivi connessi	Configurazione Wi-Fi, flusso di onboarding, regole della rete ospiti
Credenziale di gestione remota	Una credenziale di controllo di flotta può colpire molti router	Agente TR-069/USP, archivio dei certificati, ACS/cloud ISP
Anchor di fiducia per la firma del firmware	Protegge il canale di aggiornamento del router	Bootloader, archivio sicuro, servizio OTA
Configurazione DNS/DHCP	Può reindirizzare gli utenti o interrompere la connettività	Servizi locali, interfaccia di amministrazione, provisioning ISP
Stato di gestione dello switch	VLAN, isolamento delle porte, PoE e accesso di gestione possono esporre reti a valle	Interfaccia dello switch gestito, CLI, SNMP/API, configurazione dell'ASIC dello switch
Stato di provisioning del modem/ONT	Registrazione, modalità bridge/router e credenziali di gestione incidono sul margine internet	Firmware del modem, profilo operatore, agente di gestione remota
Log di supporto e diagnostica	Possono rivelare SSID, seriali, IP, link agli account dei clienti e dati di crash	Log del dispositivo, app mobile, portale di supporto
Stato del ramo firmware	La deriva di ramo ISP/OEM può lasciare vulnerabilità non corrette	Sistema Git/release OEM, fork ISP, repository OTA
Stato del secure boot e anti-rollback	Protegge il percorso di ripristino e impedisce il ritorno di immagini con vulnerabilità note	Bootloader, stato di eFuse/RPMB/TPM, registri di produzione
Firmware Wi-Fi/baseband	Il firmware radio può incidere su autenticazione, disponibilità ed esposizione di rete	Chip Wi-Fi, blob firmware, SDK del fornitore, immagine di produzione

Confini di fiducia

Ambiente	Esposizione attesa	Conseguenza di rischio
Interfaccia WAN	Esposta in continuo a traffico di rete non attendibile	Bug del parser e servizi esposti possono compromettere il dispositivo
LAN e rete di configurazione	Condivisa con endpoint domestici e dispositivi IoT	Attaccanti locali possono colpire amministrazione, scoperta e impostazioni predefinite deboli
Interfaccia wireless	Raggiungibile da prossimità fisica	WPS, onboarding debole o falle nell'isolamento ospiti espongono la LAN
Piano di gestione dello switch	Raggiungibile dalla VLAN di amministrazione, dalla LAN o dagli strumenti dell'operatore a seconda della configurazione	Impostazioni predefinite deboli possono esporre VLAN, controllo PoE o porte di mirror
Percorso di gestione remota	Raggiunge il dispositivo dall'infrastruttura del fornitore o dell'ISP	Fuga di credenziali o compromissione dell'ACS possono scalare su molti router
Percorso OTA e di ripristino	Riceve immagini firmware privilegiate	Firma debole o rollback annullano tutte le correzioni di sicurezza
Ramo ISP/white-label	Può alterare firmware, endpoint cloud e periodo di supporto	Gli obblighi possono spostarsi quando un marchio controlla le decisioni di rilascio e supporto

Scenari di minaccia

ID	Scenario di minaccia	Asset a rischio	Punto di ingresso
R1	L'endpoint di amministrazione WAN è abilitato per impostazione predefinita o dal profilo ISP	Account di amministrazione, configurazione del router	WAN
R2	La password al primo uso è condivisa, prevedibile o stampata in modo da essere riutilizzata fra lotti	Account di amministrazione, credenziali Wi-Fi	Onboarding
R3	Un difetto del parser DHCP, IPv6, DNS o PPPoE può essere innescato prima dell'autenticazione	Integrità del router, disponibilità	Servizi WAN
R4	La credenziale TR-069 o USP fa fuga e consente modifiche di configurazione remote	Credenziale di gestione remota, DNS, canale firmware	Gestione ISP/fornitore
R5	Il ripristino OTA accetta firmware non firmato o più vecchio	Integrità del firmware	OTA / ripristino
R6	Il Wi-Fi ospiti può instradare verso dispositivi LAN o l'interfaccia di amministrazione	Endpoint domestici, amministrazione del router	Wireless / LAN
R7	WPS o onboarding QR possono essere abusati dopo la configurazione iniziale	Credenziale Wi-Fi	Onboarding wireless
R8	Shell di debug, telnet, SSH o UART resta accessibile in produzione	Integrità del router, segreti	Firmware / fisico
R9	Il fork firmware a marchio ISP manca una correzione di sicurezza OEM	Stato del ramo firmware	Processo di rilascio
R10	Il token di accesso remoto dell'app mobile resta valido dopo il trasferimento del router o il ripristino di fabbrica	Account di amministrazione, proprietà	Cloud / app
R11	Un guasto del cloud DNS o di controllo parentale crea un comportamento di fallback non sicuro	Integrità DNS, disponibilità	Dipendenza dal cloud
R12	Una vulnerabilità del fornitore nello SDK SoC, nel firmware Wi-Fi o in un daemon di rete incluso non viene triagiata durante il supporto	Integrità del router, disponibilità	Componente del fornitore
R13	L'interfaccia o l'SNMP/API dello switch gestito è esposta sulla LAN dell'utente con credenziali predefinite deboli	Stato di gestione dello switch, integrità VLAN	LAN / piano di gestione
R14	Il profilo di provisioning del modem o ONT abilita l'amministrazione remota o un comportamento in modalità bridge al di fuori dello stato di rilascio valutato	Stato di provisioning modem/ONT, esposizione WAN	Provisioning dell'operatore
R15	La modalità di ripristino, l'avvio con reset tenuto premuto o il ripristino TFTP accettano un'immagine non autenticata o downgradata	Integrità del firmware, stato del secure boot	Bootloader / ripristino
R16	Il firmware Wi-Fi, l'onboarding mesh o il comportamento WPS differiscono fra revisioni hardware senza evidenza di rilascio	Credenziali Wi-Fi, isolamento ospiti	Wireless / SDK del fornitore
R17	L'ambito dei comandi USP/TR-369 o TR-069 consente più di quanto previsto dal profilo operatore	Credenziale di gestione remota, DNS, OTA	Gestione ISP/fornitore
R18	L'abbinamento dell'app o il token di proprietà cloud sopravvive al ripristino di fabbrica o al reso ISP	Account di amministrazione, proprietà	Ripristino / account cloud

Registro dei rischi iniziale

ID	Probabilità	Impatto	Decisione iniziale	Motivazione
R1	Bassa	Alto	Trattare prima del rilascio	L'esposizione dell'amministrazione remota dà controllo diretto ed è facile da scansionare
R2	Media	Alto	Trattare prima del rilascio	Gli utenti domestici spesso mantengono le impostazioni predefinite a meno che l'onboarding non forzi il cambio
R3	Media	Alto	Trattare prima del rilascio	I parser WAN sono esposti prima dell'autenticazione
R4	Media	Severo	Trattare prima del rilascio	I guasti di gestione remota possono scalare su una flotta ISP
R5	Bassa	Severo	Trattare prima del rilascio	Il rollback del firmware può tenere in vita build con vulnerabilità note
R6	Media	Medio	Trattare prima del rilascio	L'isolamento ospiti è un'aspettativa fondamentale dell'utente
R7	Media	Medio	Trattare prima del rilascio	Gli attacchi a prossimità fisica sono realistici in appartamenti e spazi condivisi
R8	Media	Alto	Trattare prima del rilascio	L'accesso di debug è una via ricorrente di fuga dalla produzione
R9	Media	Alto	Trattare prima del rilascio	La deriva fra rami è prevedibile quando OEM e ISP separano i rilasci
R10	Media	Alto	Trattare prima del rilascio	I flussi di rivendita del router e reso ISP sono prevedibili
R11	Bassa	Medio	Trattare prima del rilascio	I controlli dipendenti dal cloud necessitano di un comportamento di fallback sicuro
R12	Media	Alto	Trattare prima del rilascio	Gli stack di componenti del router ricevono vulnerabilità lungo tutto il supporto
R13	Media	Alto	Trattare prima del rilascio	La configurazione dello switch gestito può incidere su molti dispositivi a valle
R14	Bassa	Alto	Trattare prima del rilascio	La deriva di provisioning può esporre il margine internet su scala di flotta
R15	Media	Severo	Trattare prima del rilascio	Il ripristino è un percorso privilegiato che attaccanti e team di servizio possono raggiungere
R16	Media	Alto	Trattare prima del rilascio	Il comportamento radio e mesh spesso cambia con gli SDK dei fornitori e le revisioni hardware
R17	Media	Severo	Trattare prima del rilascio	Errori nell'ambito di gestione remota possono incidere sulle flotte
R18	Media	Alto	Trattare prima del rilascio	Resi del router, rivendite e swap ISP sono eventi normali del ciclo di vita

Mappatura di controlli ed evidenze

Minacce	Controllo di progettazione	Evidenza che il fabbricante deve conservare
R1, R8	Amministrazione WAN disabilitata per impostazione predefinita, inventario dei servizi di produzione, regole firewall per la gestione, nessun telnet o shell di fabbrica	Scansioni di esposizione, checklist dell'immagine di produzione, diff dell'elenco dei servizi
R2, R7	Segreto di configurazione unico o creazione forzata delle credenziali, finestra di accoppiamento breve, WPS disabilitato o giustificato, limiti di velocità	Test di onboarding, evidenza di generazione delle credenziali, revisione della configurazione wireless
R3	Hardening del parser, fuzzing, separazione dei privilegi dei servizi, postura WAN default-drop	Report di fuzzing, progetto di isolamento dei servizi, triage dei crash
R4	Autenticazione mutua, rotazione dei certificati, provisioning a privilegio minimo, revisione del profilo ACS/USP	Revisione di sicurezza della gestione remota, registro del ciclo di vita dei certificati
R5	Secure boot, firmware firmato, contatore di versione monotono, controlli della firma dell'immagine di ripristino	Report di test OTA, rifiuto del downgrade, test di ripristino
R6	Isolamento della rete ospiti, interfaccia di amministrazione non raggiungibile dagli ospiti, test di regressione fra nodi mesh	Test di isolamento della rete, test di roaming mesh
R9	Matrice dei rami OEM/ISP, politica di merge delle patch, approvazione dei rilasci, allineamento fine supporto	Matrice dei rami, registro della propagazione delle patch, traccia di approvazione ISP
R10	Flusso di trasferimento della proprietà, disassociazione cloud al ripristino, revoca dei token, cancellazione dei dispositivi resi	Test di ripristino, test di trasferimento della proprietà, checklist RMA
R11	Comportamento di fallback DNS locale, modalità di guasto sicura del controllo parentale, avviso chiaro all'utente	Test della modalità di guasto, evidenza di notifica all'utente
R12	Monitoraggio dell'inventario dei componenti, intake degli avvisi dei fornitori, titolare del componente firmware, tracciabilità delle note di rilascio	Diff dell'inventario dei componenti, log degli avvisi, registro delle decisioni sui componenti
R13	Vincolo del piano di gestione, configurazione amministrativa unica, SNMP/API disabilitati o irrobustiti per impostazione predefinita, test di isolamento VLAN	Scansione di esposizione, test di configurazione predefinita, revisione della gestione dello switch
R14	Profilo di provisioning valutato, restrizioni di amministrazione remota, controllo delle modifiche dell'operatore, rollback e traccia di audit	Registro del profilo di provisioning, audit della configurazione di flotta, traccia di approvazione dell'operatore
R15	Ripristino autenticato, immagine di ripristino firmata, stato anti-rollback, avviso di ripristino fisico dove pertinente	Test di abuso del ripristino, registro della catena di avvio, rifiuto del downgrade
R16	Matrice delle revisioni hardware, inventario del firmware Wi-Fi, test di regressione WPS/mesh, revisione del dominio normativo	Matrice delle revisioni, registro del firmware radio, test di configurazione wireless
R17	Profilo di gestione remota a privilegio minimo, inventario dei certificati del controllore, audit e approvazione dei comandi	Revisione del profilo TR-069/USP, registro del ciclo di vita dei certificati, campione di audit
R18	Flusso di trasferimento della proprietà, disassociazione cloud al ripristino, cancellazione al reso ISP, revoca dei token	Test di ripristino, checklist dei dispositivi resi, evidenza di disassociazione cloud

Rischio residuo dopo i controlli

Area residua	Perché resta	Evidenza operativa
Deriva di ramo ISP	L'approvazione dei rilasci OEM e ISP può muoversi a velocità diverse	Matrice dei rami, percorso di escalation, revisione del delta di rilascio
Compromissione di endpoint domestici	Malware su un client LAN può comunque colpire amministrazione locale o impostazioni DNS	Controlli di autenticazione locale, revoca dei token, avvisi di amministrazione
Nuove vulnerabilità WAN	Il codice rivolto verso la WAN continua a ricevere traffico ostile durante il periodo di supporto	Monitoraggio degli sfruttamenti, cadenza di fuzzing, processo di aggiornamento di emergenza
Ritardo del firmware del fornitore	I fornitori Wi-Fi e SoC possono rilasciare correzioni con tempistiche proprie	Registro SLA del fornitore, note di mitigazione, processo di avviso al cliente

Come dovrebbero funzionare supporto, aggiornamenti e segnalazione?

Per l'esempio HomeRouter R1, il fascicolo CRA pratico deve includere il modello operativo del periodo di supporto, non solo l'evidenza di rilascio pre-mercato.

Area operativa	Evidenza da predisporre
Periodo di supporto	Una motivazione del periodo di supporto per lo SKU retail e per lo SKU a marchio ISP, con la data di fine mese/anno visibile all'acquisto e nell'interfaccia del router dove tecnicamente fattibile. Salvo che l'uso atteso sia inferiore, pianifichi almeno cinque anni.
Disponibilità degli aggiornamenti di sicurezza	Le correzioni firmware di sicurezza e i pacchetti di aggiornamento di sicurezza restano recuperabili per almeno 10 anni dall'emissione, o per la durata residua del periodo di supporto se più lungo. Le immagini di ripristino, gli hash, le note di rilascio e le decisioni di rollback dovrebbero essere conservati come evidenza, ma non ogni pacchetto non di sicurezza dovrebbe essere descritto come una rivendicazione legale di disponibilità decennale.
Matrice dei rami OEM e ISP	Quale ramo firmware è valutato, chi lo firma, chi approva il rilascio, chi possiede le correzioni di emergenza e come le correzioni di sicurezza a monte raggiungono le build white-label.
Contatto unico per le vulnerabilità	Un contatto diretto di segnalazione vulnerabilità per il fabbricante di riferimento, non solo il supporto agli abbonati o un chatbot esclusivamente automatico. Se un ISP è fabbricante per uno SKU a marchio, possiede una via di intake per le segnalazioni di sicurezza del prodotto.
Diligenza sui componenti	Monitoraggio dell'inventario dei componenti per kernel, firmware wireless, servizi DNS/DHCP, stack TLS, SDK mobile e agente di gestione remota, con triage degli avvisi dei fornitori, notifica a monte e condivisione delle correzioni dove appropriato.
Flusso di sfruttamento attivo	Segnalazione attraverso la piattaforma unica di segnalazione al CSIRT designato come coordinatore e a ENISA: preallarme entro 24 ore, notifica di follow-up entro 72 ore, rapporto finale di vulnerabilità entro 14 giorni dopo che una misura correttiva o mitigante è disponibile, e avviso agli utenti impattati o istruzioni di mitigazione dove appropriato.
Flusso di incidente grave di sicurezza del prodotto	Segnalazione attraverso la stessa piattaforma e ai medesimi destinatari: preallarme entro 24 ore, notifica di follow-up entro 72 ore, rapporto finale di incidente entro un mese dalla notifica dell'incidente, e coordinamento cliente/ISP compresa la notifica all'utente dove appropriato.
Indice del fascicolo tecnico	Identità del prodotto, diagramma del perimetro, asset WAN/LAN/wireless, modello di minaccia, registro del rischio, controlli, evidenza di test, inventario dei componenti, processo di aggiornamento, processo di vulnerabilità, motivazione del periodo di supporto, istruzioni, dichiarazione e registro del percorso di conformità.

Quali porte di validazione si chiudono prima del rilascio?

Un rilascio di router non deve passare su una nota generica di «sicurezza rivista». Elenchi le decisioni specifiche che possono trattenere la spedizione e dia a ciascuna il guasto che presidia, il controllo che la chiude e l'artefatto che dimostra che il controllo funzioni davvero.

Porte di rilascio del router e registri di chiusura Sei decisioni che un costruttore di router deve poter chiudere prima della firma, ciascuna con un artefatto di prova nominato.

G1Credenziali al primo usoBlocca il rilascio
- Guasto
  Una password di amministrazione o Wi-Fi condivisa o prevedibile, oppure un segreto stampato riutilizzato lungo un lotto.
- Controllo
  Segreto unico per dispositivo o creazione forzata delle credenziali; WPS spento o giustificato.
- Prova
  Test di onboarding ed evidenza di generazione delle credenziali.
G2Esposizione WAN dopo il provisioningBlocca il rilascio
- Guasto
  L'amministrazione remota, o un servizio non necessario o non valutato che analizza input WAN non autenticato, è raggiungibile prima che l'utente abbia configurato qualsiasi cosa.
- Controllo
  Amministrazione WAN spenta per impostazione predefinita, postura default-drop, hardening del parser ed elenco minimo dei servizi.
- Prova
  Scansione di esposizione WAN post-provisioning.
G3Wireless e isolamento ospitiBlocca il rilascio
- Guasto
  La rete ospiti può instradare verso dispositivi LAN o raggiungere l'interfaccia di amministrazione.
- Controllo
  Isolamento ospiti per impostazione predefinita; interfaccia di amministrazione non raggiungibile dagli ospiti; regressione fra nodi mesh.
- Prova
  Test di isolamento della rete e di roaming mesh.
G4Percorso di aggiornamento e ripristinoBlocca il rilascio
- Guasto
  L'OTA o il ripristino accettano un'immagine firmware non firmata o più vecchia.
- Controllo
  Secure boot, immagini firmate, contatore di versione monotono e rifiuto del downgrade.
- Prova
  Risultato del test di downgrade fallito e di abuso del ripristino.
G5Ambito della gestione remotaBlocca salvo documentazione
- Guasto
  L'ambito dei comandi TR-069 o USP consente al controllore di cambiare più di quanto previsto dal profilo operatore valutato.
- Controllo
  Profilo a privilegio minimo, inventario dei certificati del controllore, audit dei comandi.
- Prova
  Revisione del profilo e campione di audit dei comandi.
G6Stack del fornitoreSpedisci con monitoraggio
- Guasto
  Una vulnerabilità arriva nello SDK SoC, nel firmware Wi-Fi o in un daemon di rete incluso durante la finestra di supporto.
- Controllo
  Inventario dei componenti con un titolare nominato, monitoraggio degli avvisi e prontezza al backport.
- Prova
  Decisione di triage del componente impattato.

Blocca il rilascioBlocca salvo documentazioneSpedisci con monitoraggio

Ogni porta di rilascio del router accoppia un guasto che blocca la spedizione con il registro che lo chiude.

Chi assume lo sviluppo del router dal concept al supporto?

La proprietà di una release di router cambia mano mentre passa da una definizione di prodotto a una flotta in funzione nelle case dei clienti e sulle reti ISP. La corsia seguente assegna a ogni fase un unico responsabile, il registro che quel responsabile mantiene aggiornato e la porta che deve chiudersi prima che inizi la fase successiva.

Corsia di responsabilità per una release di router lungo sei fasi dal concept al supporto: concept, progettazione, firmware, rilascio, operazioni e supporto. Ogni fase nomina il responsabile principale, il registro mantenuto e la porta di revisione. I marcatori di congelamento si trovano fra le fasi: congela perimetro, congela progettazione, congela candidato, congela decisione, mantieni operativo. Un anello tratteggiato torna dal supporto al concept, segnalando che segnalazioni di vulnerabilità, avvisi ISP e dei fornitori ed esiti di bug sfruttati riaprono il prossimo memorandum di perimetro, l'elenco delle minacce e l'inventario dei componenti. — La corsia di responsabilità assegna a ogni passo di costruzione il titolare del registro, la porta di chiusura e l'innesco della revisione.

Ogni transizione è un punto di congelamento: il perimetro è fissato prima che inizi l'architettura, l'intento progettuale prima del codice, la build prima della verifica e il rilascio prima della spedizione, dopodiché il firmware è mantenuto in esercizio lungo la finestra di supporto. Una segnalazione di vulnerabilità, un avviso ISP o di un fornitore, o un guasto sul campo riaprono il prossimo memorandum di perimetro, l'elenco delle minacce e l'inventario dei componenti invece di quello già spedito.

Quali registri di evidenza entrano nel fascicolo?

Il fascicolo deve permettere a un revisore di seguire la decisione sul router dall'identità del prodotto ai controlli di sicurezza. Ogni riga punta a un registro mantenuto, non a una cartella di schermate scollegate.

Area di evidenza	Cosa registrare per un router, router-modem o switch
Identità del prodotto	Modello, revisioni hardware, SoC e chipset Wi-Fi, tipo di WAN, ramo firmware, versione dell'app mobile, opzioni switch/mesh
Finalità prevista	Router domestico, CPE ISP, modem internet, ONT, kit mesh, hotspot mobile, switch gestito o router VPN, con le varianti retail e a marchio ISP nominate
Fascicolo di ciberresilienza	Esposizione WAN, impostazioni predefinite LAN e wireless, autorità di gestione remota, percorso OTA e di ripristino, elenco delle minacce e piano di trattamento
Inventario dei componenti	Bootloader, kernel, firmware Wi-Fi, stack WAN-PHY/modem, servizio DNS/DHCP, stack TLS, agente di gestione remota, SDK mobile, con titolari nominati e monitoraggio degli avvisi
Impostazioni predefinite sicure	Nessuna credenziale predefinita condivisa, amministrazione WAN spenta per impostazione predefinita, aggiornamenti firmati, rifiuto del downgrade, isolamento ospiti, porte di debug bloccate, inventario dei servizi post-provisioning
Meccanismo di aggiornamento	Firmware firmato, immagine di ripristino, stato anti-rollback, mappa dei rami ISP/OEM, avviso di aggiornamento all'utente
Gestione delle vulnerabilità	Politica di divulgazione, contatto unico, flusso di triage, monitoraggio degli avvisi dei componenti, instradamento degli avvisi ISP/white-label
Istruzioni per l'utente	Onboarding sicuro, configurazione di password e ospiti, impostazioni di aggiornamento, comunicazione di fine supporto, dismissione e ripristino
Tracciabilità e contatto	Informazioni di tipo/lotto/seriale, contatto del costruttore o dell'ISP, data di fine supporto e contatto unico di segnalazione vulnerabilità che non sia solo un bot automatico

Cosa entra in un inventario dei componenti del router?

Il CRA richiede un inventario dei componenti leggibile da macchina che identifichi i componenti del prodotto e copra almeno le dipendenze di primo livello, senza ancora nominare un formato fisso. I costruttori di router scelgono di solito CycloneDX o SPDX. Il dettaglio trasversale sulla meccanica si trova nella guida SBOM dedicata; questa sezione copre l'albero specifico del router.

Una release di router spedisce diversi elementi digitali con cicli di aggiornamento separati, non un unico binario. Due schemi soddisfano il minimo CRA: un inventario di componenti a livello di prodotto con sezioni separate per elemento (bootloader, kernel, firmware Wi-Fi, stack WAN-PHY, daemon di rete, TLS, agente di gestione remota e interfaccia web ciascuno con versione fissata), oppure un inventario per ogni elemento spedito aggiornato a ogni rilascio. L'uno o l'altro vanno bene se è leggibile da macchina e copre le dipendenze di primo livello.

L'inventario dei componenti deve coprire ogni elemento digitale di primo livello, il suo contenuto abituale e l'evidenza di versione fissata.

Cosa verifica la firma di rilascio?

La firma prima del rilascio nell'UE deve poter chiudere quattro cartelle di registro, mostrate come Q1-Q4 di seguito. L'indice completo del fascicolo si trova nella mappa di evidenza più sopra; le quattro domande qui sono solo quelle che bloccano il rilascio quando una cartella è vuota.

Cartella	Domanda di rilascio	Indicatore di evidenza specifico per router
Q1 Memorandum di motivazione della classificazione	Perché il prodotto è classificato così?	Funzione principale (instradamento e connettività internet), uso previsto, affermazioni di vendita, variante retail o ISP e percorso di conformità scelto
Q2 Inventario degli elementi spediti	Cos'è esattamente il prodotto?	Hardware del router, firmware, servizi WAN/LAN/wireless, interfaccia web, agente di gestione remota, servizio OTA, endpoint cloud e i sistemi cliente/ISP esclusi
Q3 Pacchetto di test delle impostazioni predefinite sicure	Cosa è stato reso sicuro per impostazione predefinita e come sarà aggiornato in sicurezza?	Nessuna credenziale predefinita condivisa, amministrazione WAN spenta per impostazione predefinita, aggiornamenti firmati, rifiuto del downgrade, isolamento ospiti, decisione su WPS, porte di debug bloccate, inventario dei servizi post-provisioning
Q4 Processo di gestione delle vulnerabilità	Come saranno gestite vulnerabilità e incidenti gravi dopo la spedizione?	Contatto pubblico, politica di divulgazione, flusso di triage, monitoraggio degli avvisi dei componenti, instradamento degli avvisi ISP/white-label, prontezza alle notifiche di 24 e 72 ore

Scena di firma di rilascio. Quattro cartelle di registro siedono sul tavolo di revisione, etichettate Q1-Q4: Q1 memorandum di motivazione della classificazione, Q2 inventario degli elementi spediti, Q3 pacchetto di test delle impostazioni predefinite sicure e Q4 processo di gestione delle vulnerabilità. Frecce da ciascuna cartella convergono su un sigillo di approvazione del rilascio marcato con una spunta. Una nota elenca i controlli pre-rilascio: file fissati al ramo firmware e alla baseline dei fornitori, un titolare nominato con prontezza alle notifiche di 24 e 72 ore, e un pacchetto di test delle impostazioni predefinite sicure che copre credenziali per dispositivo e postura di amministrazione WAN. Una nota a piè di pagina ripete la porta: se manca un registro, il rilascio non si spedisce. — Prima della firma, il costruttore deve poter puntare a quattro registri: motivazione della classificazione, inventario degli elementi spediti, test sulle impostazioni predefinite sicure e prontezza nella gestione delle vulnerabilità.

Cartelle di firma di rilascio Q1-Q4

Q1 Memorandum di motivazione della classificazione. Perché Classe I voce 12? Funzione principale, uso previsto, affermazioni di vendita, variante retail o ISP e percorso di conformità scelto.
Q2 Inventario degli elementi spediti. Hardware del router, firmware, servizi WAN/LAN/wireless, interfaccia web, agente di gestione remota, servizio OTA, endpoint cloud e sistemi cliente/ISP esclusi.
Q3 Pacchetto di test delle impostazioni predefinite sicure. Nessuna credenziale predefinita condivisa, amministrazione WAN spenta per impostazione predefinita, aggiornamenti firmati, rifiuto del downgrade, isolamento ospiti, decisione su WPS, porte di debug bloccate.
Q4 Processo di gestione delle vulnerabilità. Contatto pubblico, politica di divulgazione, flusso di triage, monitoraggio degli avvisi dei componenti e prontezza alla segnalazione per preallarmi, notifiche e rapporti finali.

Porta di firma: se manca un registro, il rilascio non si firma.

Come si trasferisce il router a importatore, distributore, ISP e operatore?

Trasferimento tra operatori economici per una release di router. Il pacchetto di rilascio del costruttore o OEM viaggia lungo una corsia di flusso attraverso l'accettazione pre-mercato dell'importatore, la diligenza visibile del distributore, il marchio ISP o white-label che può diventare fabbricante e l'operatore o abbonato. Una riga di condizioni di arresto nomina i casi che sospendono spedizione o vendita: mancata coincidenza di pacchetto, tracciabilità, data di supporto o contatto vulnerabilità, oppure un ramo firmware o profilo di gestione remota che differisce dalla build valutata. La verifica laterale A spiega che il mandato del rappresentante autorizzato è opzionale e che un costruttore extra-UE senza mandato usa la cascata importatore, distributore e maggiore base utenti. La verifica laterale B spiega che un importatore o distributore con marchio proprio, o un modificatore sostanziale come un fork firmware a marchio o un nuovo cloud di gestione, diventa fabbricante di quell'offerta. — La mappa del trasferimento mostra chi possiede ciascuna verifica pre-vendita e cosa ferma il router a ogni ruolo.

Trasferimento tra operatori economici: ruoli e verifiche laterali

01 Costruttore / OEM. Possiede il pacchetto di rilascio: dichiarazione, CE, indice del fascicolo, finestra di supporto e contatto per le vulnerabilità.
02 Importatore. Verifica il pacchetto, il CE, l'indice del fascicolo, la data di supporto e il contatto vulnerabilità, e conferma che la build ricevuta sia la build valutata: impostazioni di regione wireless, profili ISP, certificati di gestione remota, abbinamento dell'app ed endpoint OTA. Sospenda la spedizione se qualcuno di questi è dubbio.
03 Distributore. Verifica il CE visibile, i documenti forniti, le affermazioni di supporto e di aggiornamento, e non aggiunge affermazioni come «security gateway», «business firewall» o «managed VPN appliance» che escono dal perimetro valutato. Sospenda la pubblicazione dell'annuncio se esagera il supporto, contraddice la dichiarazione o continua a vendere dopo un problema noto.
04 ISP o marchio white-label. Branding, gestione cloud, titolarità degli aggiornamenti e operazione di gestione remota possono far scattare di per sé obblighi del fabbricante. Mettere il router sotto il proprio nome, o modificarlo sostanzialmente (firmware a marchio, nuovo cloud, nuovo canale di aggiornamento), lo rende fabbricante per quell'offerta, perciò il fascicolo del fornitore non sostituisce un'analisi di ruolo propria.
05 Operatore o abbonato. Riceve avvisi e aggiornamenti e segnala problemi. Non è fabbricante.

Verifica laterale A. Il mandato del rappresentante autorizzato è opzionale, ma dove esiste deve essere scritto e coprire la conservazione di dichiarazione e documentazione disponibili e la cooperazione con le autorità. Un costruttore extra-UE senza mandato usa la cascata: importatore, distributore, poi maggiore base utenti. In assenza di un operatore con sede nell'Unione nella catena di segnalazione, l'endpoint di segnalazione ricade sullo Stato membro in cui si trova il maggior numero di utenti.

Verifica laterale B. Un importatore o distributore con marchio proprio, o qualsiasi modificatore sostanziale, diventa fabbricante per l'offerta interessata.

Domande frequenti

Un router è Classe II perché ha un firewall?

Non per impostazione predefinita. Un router normale è di solito Classe I Importante. Diventa una questione di Classe II quando il firewalling, il rilevamento delle intrusioni o la prevenzione delle intrusioni è la funzione principale del prodotto.

Un router fornito dall'ISP è coperto?

Sì, se è immesso sul mercato dell'UE come prodotto con elementi digitali. Il punto pratico chiave è chi sia il fabbricante per il firmware a marchio, il periodo di supporto, il canale di aggiornamento e il processo di vulnerabilità.

Un router è Critico?

No. I router di consumo, i router-modem ISP e gli switch non sono Critici solo perché sono importanti per l'accesso alla rete.

Il firmware router commerciale open-source cambia la risposta?

Può. Un'immagine firmware fornita commercialmente o una distribuzione appliance può essere essa stessa un prodotto con elementi digitali. Il fabbricante dovrebbe documentare cosa viene immesso sul mercato e chi possiede aggiornamenti e gestione delle vulnerabilità.

Se il software si qualifica realmente come software libero e open-source e ricade in una categoria Importante, il CRA prevede un'opzione di conformità specifica in cui la documentazione tecnica richiesta è pubblica al momento dell'immissione sul mercato. Non applichi quel percorso a un fork firmware ISP privato o a un'appliance commerciale solo perché include pacchetti open-source.

Soddisfare la scadenza RED cibersicurezza significa che un router è già conforme al CRA?

No. Dal 1° agosto 2025 le apparecchiature radio connesse a internet soddisfano i requisiti di cibersicurezza della Direttiva sulle apparecchiature radio, e quei controlli (impostazioni predefinite sicure, integrità degli aggiornamenti, protezione degli accessi) sono la base corretta. Ma il CRA aggiunge un ciclo di vita più ampio: un processo documentato di gestione delle vulnerabilità, una data di fine supporto pubblicata, sicurezza per impostazione predefinita su tutto il prodotto e obblighi di segnalazione. Il Regolamento delegato RED cibersicurezza è abrogato dall'11 dicembre 2027, quando subentra il CRA.

Innesco di rivalutazione: tratti il fascicolo RED come punto di partenza e valuti il divario rispetto ai requisiti essenziali del CRA prima dell'11 dicembre 2027.

Quale norma armonizzata si applica a un router secondo il CRA?

Per la fase delle apparecchiature radio l'insieme armonizzato è la serie EN 18031, basata su ETSI EN 303 645 come riferimento di consumo. La norma CRA specifica per i router in preparazione è ETSI EN 304 627 (Routers, Modems and Switches), che si mappa sulla Classe I voce 12. È ancora in bozza, perciò confermi le norme citate e ogni restrizione di armonizzazione al momento della valutazione.

Registro di conformità: un breve memorandum che nomini le norme su cui si basa, la versione, ogni restrizione che non si adatta al prodotto e il percorso di conformità risultante.

Uno switch gestito è trattato come un router, e uno switch non gestito rientra nell'ambito?

Uno switch gestito ha un piano di gestione (interfaccia web, CLI, SNMP/API, VLAN) e un percorso di aggiornamento del firmware, perciò è normalmente trattato come apparato di rete Classe I Importante con evidenza propria del piano di gestione. Uno switch puramente non gestito e non configurabile senza superficie di gestione, senza aggiornamento firmware e senza funzione connessa necessita di una verifica caso per caso per stabilire se sia un prodotto con elementi digitali o meno.

Registro di perimetro: una nota di una riga per ogni SKU di switch che indichi se esista una superficie di gestione o di aggiornamento.

I kit Wi-Fi mesh sono un prodotto o più prodotti?

I nodi mesh che formano un sistema sono normalmente il prodotto router o la famiglia di prodotti. Valuti il kit come spedito: il nodo controllore, i nodi satellite, il flusso di onboarding e il protocollo di controllo mesh. La fiducia fra nodi e l'handshake di onboarding fanno parte della superficie d'attacco wireless.

Registro di perimetro: nomini i nodi nel kit, il protocollo di controllo mesh e il metodo di onboarding nel memorandum di perimetro.

Un modem o ONT standalone è coperto se fa solo da bridge?

Un modem, un modem cavo o un ONT in fibra previsto per la connessione internet è normalmente Classe I Importante, anche in modalità bridge, perché la funzione di modem internet è la funzione principale del prodotto e il dispositivo ha comunque firmware, un canale di provisioning e spesso un agente di gestione remota. Modalità bridge o router cambia l'esposizione, non la classificazione di base.

Registro di perimetro: registri il canale di provisioning, l'agente di gestione remota e se la modalità bridge o router sia il valore predefinito valutato.

Un hotspot mobile 4G o 5G rientra nell'ambito?

Sì. La WAN cellulare è comunque connettività internet, perciò un hotspot mobile o un router 4G/5G è normalmente Classe I Importante. Il percorso di provisioning cellulare e la gestione SIM/eSIM fanno parte della superficie d'attacco WAN.

Registro di perimetro: nomini il modulo cellulare, il percorso di provisioning e il canale di gestione.

Per quanto deve essere supportato e aggiornato un router?

Il periodo di supporto è di almeno cinque anni salvo che il tempo di uso atteso sia inferiore; molti router e CPE ISP funzionano molto più a lungo, perciò il fascicolo deve nominare una finestra che il costruttore sia in grado di mantenere e mostrare la data di fine prima dell'acquisto. Gli aggiornamenti di sicurezza dovrebbero restare recuperabili per almeno dieci anni dall'emissione, o per la durata residua del periodo di supporto se più lungo. Le regole generali si trovano nelle guide support-period e end-of-support disclosure.

Registro di supporto: una motivazione del periodo di supporto per lo SKU retail e per lo SKU a marchio ISP, con la data di fine visibile all'acquisto e nell'interfaccia del router dove fattibile.

Cosa conta come aggiornamento sicuro per un router?

Un'immagine firmware firmata, verificata attraverso una catena di secure boot, con un contatore di versione monotono in modo che una build vecchia vulnerabile non possa essere reinstallata, e un percorso di ripristino che rifiuti anch'esso immagini non firmate o downgradate. Gli aggiornamenti spinti dall'ISP e quelli OEM devono entrambi seguire questo percorso.

Artefatto di test: un log di verifica dell'aggiornamento firmato, un test di downgrade fallito e un test di abuso del ripristino per la build firmware esatta.

La gestione remota TR-069 o USP cambia il perimetro del prodotto?

Se il costruttore o l'ISP fornisce il canale di gestione remota, esso è dentro il perimetro ed è un percorso di controllo di flotta, non solo una funzione dell'operatore. Il server di auto-configurazione dell'operatore, il meccanismo di richiesta di connessione, l'ambito dei comandi e la fiducia nei certificati appartengono tutti alla valutazione.

Evidenza: un inventario dei certificati del controllore e una matrice dell'ambito dei comandi legata al profilo operatore valutato.

Chi è il fabbricante per un CPE a marchio ISP?

Chiunque immetta il prodotto sul mercato con il proprio nome o marchio, o modifichi sostanzialmente il prodotto valutato. Un ISP che ri-marchia hardware OEM, fa il fork del firmware, gestisce il cloud di gestione o possiede il canale di aggiornamento può assumere obblighi del fabbricante per quello SKU a marchio, incluso il contatto di segnalazione vulnerabilità.

Registro di ruolo: una ripartizione scritta di chi possiede la dichiarazione, il ramo firmware, il canale di aggiornamento, il periodo di supporto e il contatto di segnalazione.

Qual è la prima evidenza che un costruttore di router deve creare?

Un breve memorandum di classificazione e perimetro per lo SKU esatto: router, router-modem, kit mesh, switch, hotspot o router VPN. Nomini il tipo di WAN, lo stack wireless, la superficie di amministrazione LAN, il canale di gestione remota, i servizi cloud, la titolarità degli aggiornamenti, il periodo di supporto e i sistemi esclusi.

Registro di classificazione: un memorandum di una pagina al quale possano fare riferimento la valutazione del rischio, la scelta del percorso di conformità, il pacchetto per l'importatore e la dichiarazione del periodo di supporto.

Cosa succede se viene trovata una vulnerabilità nel firmware del router dopo il rilascio?

Adotti misure correttive immediate e sia pronto alla sequenza di segnalazione: un preallarme di 24 ore per una vulnerabilità attivamente sfruttata, una notifica di 72 ore, un rapporto finale quando è disponibile una misura correttiva o mitigante e la notifica all'utente. Per un router la misura correttiva è di solito un aggiornamento firmato spinto lungo i rami OEM, ISP e white-label, con un'eccezione documentata dove un ramo non possa prendere la stessa correzione. La meccanica generale di segnalazione si trova nelle guide vulnerability-handling e coordinated-vulnerability-disclosure.

Registro dell'azione correttiva: modelli e rami firmware impattati, l'artefatto di aggiornamento firmato, la traccia di propagazione dei rami, il testo dell'avviso all'utente e il riferimento della notifica.

Quando va aggiornata la valutazione del rischio del router?

Ogni volta che un router spedito cambia in modo da spostare un confine di fiducia: un nuovo tipo di WAN, un nuovo profilo di gestione remota, un cambio di SDK Wi-Fi o SoC, una nuova dipendenza cloud, un cambio di onboarding mesh, un cambio di comportamento della porta di debug o un nuovo ramo ISP. Una nota di rilascio non basta se il cambiamento riapre un'esposizione o un percorso di autorità. Gli obblighi di segnalazione si applicano dall'11 settembre 2026, perciò la politica di divulgazione e il contatto unico devono funzionare prima di tale data.

Innesco di rivalutazione: ogni cambiamento all'esposizione WAN, alle impostazioni wireless predefinite, all'ambito di gestione remota, al percorso di aggiornamento, ai componenti del fornitore o al ramo ISP riapre il memorandum di perimetro e la valutazione del rischio.

Passi successivi

Cominci dal memorandum di perimetro a livello di SKU: router, router-modem, kit mesh, switch, router VPN o variante firewall. Poi mappi firmware, stack wireless, gestione remota, servizi cloud, componenti dei fornitori, titolarità degli aggiornamenti e periodo di supporto nel fascicolo tecnico; la struttura trasversale di quel fascicolo si trova nella guida alla documentazione tecnica.