Cos'è un prodotto con elementi digitali ai sensi del CRA?

Un prodotto con elementi digitali è hardware o software immesso sul mercato dell'UE il cui uso previsto o ragionevolmente prevedibile comporta una connessione dati diretta o indiretta a un altro dispositivo o a una rete. Tre condizioni lo decidono: la forma del prodotto, l'immissione commerciale sul mercato e la connessione. La connessione è il test che i team sottovalutano di più. Questa pagina esamina ciascuna condizione, i casi specifici dei servizi cloud e i settori che restano fuori dall'ambito del CRA.

  • L'ambito è definito dalla connessione. Hardware o software immesso sul mercato dell'UE rientra nell'ambito quando la finalità prevista o l'uso ragionevolmente prevedibile include una connessione dati a un altro dispositivo o a una rete.
  • Il regolamento elenca quattro forme. Prodotti software, prodotti hardware, componenti immessi sul mercato separatamente e soluzioni di elaborazione dati da remoto fornite dal fabbricante.
  • Si applicano tre tipi di connessione. Logica, fisica e indiretta. La clausola della connessione indiretta è la più ampia e raggiunge qualsiasi prodotto che si colleghi a una rete attraverso un sistema più grande.
  • Alcuni settori sono esclusi. Dispositivi medici, veicoli a motore, prodotti dell'aviazione civile certificati, equipaggiamento marittimo, pezzi di ricambio e prodotti per la sicurezza nazionale o la difesa restano fuori; la pagina Chi deve rispettare il CRA indica il regolamento applicabile per ciascun settore.
Connessione
Il test di ambito
Diretta o indiretta, a un dispositivo o a una rete
4
Forme in ambito
Software, hardware, componente, elaborazione dati da remoto
3
Tipi di connessione
Logica, fisica, indiretta
6+
Settori esclusi
Medico, auto, aviazione, marittimo, difesa, pezzi di ricambio

L'ambito del CRA in quattro numeri: il test che fa rientrare un prodotto, le forme riconosciute, i tre modi in cui una connessione conta e i settori che restano fuori.

Cos'è un prodotto con elementi digitali?

In termini semplici, ci si pongano tre domande. Il prodotto rientra nell'ambito del CRA solo se tutte e tre le risposte sono affermative.

  1. Si tratta di un prodotto software, un prodotto hardware, un componente immesso sul mercato separatamente o una soluzione di elaborazione dati da remoto? Sono le quattro forme coperte, descritte in dettaglio nella sezione successiva.
  2. Sarà immesso sul mercato dell'UE nel quadro di un'attività commerciale? Sia la fornitura a pagamento sia quella gratuita rientrano nell'ambito, purché l'attività sia commerciale.
  3. La finalità prevista o l'uso ragionevolmente prevedibile include una connessione dati diretta o indiretta a un altro dispositivo o a una rete? I tipi di connessione sono trattati nel test della connessione dati più avanti.

In termini semplici, la definizione copre prodotti software, prodotti hardware, componenti software o hardware commercializzati separatamente e i servizi di elaborazione remota che il fabbricante fornisce come parte del prodotto.

Il CRA è il Regolamento (UE) 2024/2847. Per il contesto più ampio (cosa copre il regolamento, le date chiave e le sanzioni), si veda Cos'è il Cyber Resilience Act.

Forme di un prodotto con elementi digitali

Il regolamento riconosce quattro forme. Ciascuna di esse può applicarsi al prodotto.

  • Prodotto software. Sistemi operativi, firewall, gestori di password, suite antivirus, browser, estensioni del browser, app mobile scaricabili e librerie per sviluppatori distribuite commercialmente.
  • Prodotto hardware. Router, sensori IoT, telecamere intelligenti, PLC industriali, dispositivi per la casa connessa e fitness tracker. Qualsiasi dispositivo che comunica tramite Wi-Fi, Bluetooth, Ethernet, rete cellulare o bus di campo industriale.
  • Componente immesso sul mercato separatamente. Software o hardware spedito autonomamente per l'integrazione in un altro sistema. Il firmware venduto come prodotto separato, le librerie software fornite agli OEM e i moduli embedded rientrano tutti in questa categoria.
  • Soluzione di elaborazione dati da remoto. Servizi cloud o remoti che il fabbricante progetta e fornisce come parte del prodotto, quando l'assenza del servizio impedirebbe al prodotto di svolgere una delle sue funzioni. L'esempio canonico è il cloud di un fabbricante di dispositivi per la casa connessa che consente agli utenti di controllare il dispositivo da remoto. Un SaaS cloud puro senza un prodotto collegato resta in generale fuori dal regolamento; SaaS, PaaS e IaaS in quanto tali ricadono sotto la Direttiva (UE) 2022/2555 (NIS2).

Il test decisivo è la connessione dati, non il fattore di forma.

Il test della connessione dati

Uno qualsiasi dei tre tipi di connessione è sufficiente per far rientrare un prodotto nell'ambito, purché la finalità prevista o l'uso ragionevolmente prevedibile del prodotto includa quella connessione.

Tipo di connessione Significato pratico Esempio reale
Logica Percorso dati virtuale tramite un'interfaccia software Chiamata REST API tra un microservizio e un backend
Fisica Collegamento tramite interfacce elettriche, ottiche o meccaniche, cavi o radio Cavo Ethernet, pairing Bluetooth, bus industriale RS-485
Indiretta Connessione che raggiunge un dispositivo o una rete tramite un sistema più ampio che è direttamente connettibile Sensore che raggiunge internet solo tramite un hub locale

La clausola della connessione indiretta è quella più spesso sottovalutata. Un sensore che comunica solo con un gateway locale rientra nell'ambito se il gateway raggiunge internet, anche se il sensore stesso non ha uno stack IP.

Quando un servizio cloud rientra nell'ambito del CRA

Un componente cloud o SaaS rientra nell'ambito della conformità CRA del prodotto solo quando si verificano tutte e tre le condizioni seguenti. La bozza di orientamenti della Commissione di marzo 2026 (Communication Ares(2026)2319816) accompagna i fabbricanti attraverso queste condizioni passo dopo passo.

  1. La soluzione elabora dati a distanza? Se il servizio cloud non elabora effettivamente dati da remoto, non è una soluzione di elaborazione dati da remoto.
  2. Il prodotto non sarebbe in grado di svolgere una delle sue funzioni senza questa soluzione? Un backend opzionale o che aggiunge solo funzionalità non porta il cloud nell'ambito; l'assenza del servizio deve impedire al prodotto di erogare una funzione che dichiara.
  3. La soluzione è progettata dal fabbricante o sotto la sua responsabilità? Un SaaS di terze parti già pronto che il prodotto usa casualmente non è una soluzione di elaborazione dati da remoto. Un servizio su misura sviluppato sotto la responsabilità del fabbricante può esserlo.

Un «no» a una sola di queste domande esclude il componente cloud dall'ambito RDPS.

Restare fuori dall'RDPS non significa restare fuori dagli obblighi. Anche quando un servizio cloud non si qualifica come soluzione di elaborazione dati da remoto, il fabbricante conserva obblighi di due diligence sui componenti se il servizio è integrato nel prodotto. L'obbligo di sicurezza passa dalla valutazione della conformità alla gestione dei componenti; non scompare.

La Commissione illustra il test con cinque scenari concreti: un'app bancaria, un termostato intelligente, un e-Reader, un robot industriale e un dispositivo per reti cellulari. Gli orientamenti restano in bozza in attesa di finalizzazione in tutte le versioni linguistiche dell'UE. Tratta anche il backend di app mobile gestito dal fabbricante e il cloud per la casa connessa come esempi di confine utili.

Cosa NON è un prodotto con elementi digitali

Due soglie mettono un prodotto fuori dal CRA prima ancora che si ponga la questione settoriale:

  • Prodotti privi di software, firmware e connessione dati. Un dispositivo puramente meccanico senza componenti elettronici resta fuori ambito già alla prima verifica. Un semplice termostato analogico, un cavo passivo o uno strumento manuale non elettronico non sarebbero raggiunti.
  • Servizi puramente cloud senza un prodotto collegato. Un SaaS, PaaS o IaaS autonomo che non è la soluzione di elaborazione dati da remoto di un prodotto resta fuori dal CRA; questi modelli di servizi cloud sono disciplinati dalla Direttiva (UE) 2022/2555 (NIS2). I siti web che non supportano le funzionalità di un prodotto con elementi digitali sono anch'essi fuori dal CRA. Il regolamento raggiunge un servizio cloud solo quando il fabbricante lo fornisce come parte di un prodotto e l'assenza del servizio impedirebbe al prodotto di funzionare.

Domande frequenti

Il mio dispositivo solo Bluetooth rientra nell'ambito del CRA?

Sì. Il Bluetooth è una connessione fisica tramite onde radio, e un dispositivo che può accoppiarsi con un telefono, un hub o un altro host Bluetooth soddisfa il test di ambito. Anche se il dispositivo non raggiunge mai direttamente internet, la clausola della connessione indiretta lo include non appena l'host accoppiato raggiunge una rete.

SaaS, PaaS o IaaS rientrano nell'ambito del CRA?

In generale no. Software as a Service, Platform as a Service e Infrastructure as a Service sono disciplinati dalla Direttiva (UE) 2022/2555 (NIS2), non dal CRA. Un servizio cloud rientra nel CRA solo quando è progettato e fornito dal fabbricante di un prodotto con elementi digitali e l'assenza del servizio impedirebbe al prodotto di svolgere una delle sue funzioni. L'esempio canonico in ambito è il cloud di un fabbricante di dispositivi per la casa connessa che consente agli utenti di controllare il dispositivo da remoto.

Il backend API della nostra app mobile rientra nell'ambito del CRA?

Sì, se il fabbricante dell'app progetta e sviluppa il backend e l'app ne ha bisogno per funzionare. Un'applicazione mobile che richiede l'accesso a un'API o a un database fornito dal servizio del fabbricante porta quel servizio nell'ambito del CRA come soluzione di elaborazione dati da remoto.

Il firmware incluso nel nostro hardware conta come componente separato?

No, a meno che non venga immesso sul mercato anche separatamente. Il firmware incluso in un prodotto hardware che si vende è parte di quel prodotto, non un componente autonomo. Se si vende anche il firmware da solo, ad esempio come pacchetto di aggiornamento, SDK per OEM o download autonomo, la versione venduta separatamente può rientrare nell'ambito in modo indipendente.

Un'app mobile scaricabile è un prodotto con elementi digitali?

Sì, quando è fornita nel quadro di un'attività commerciale. Un'app mobile distribuita tramite uno store o come download è un prodotto software messo a disposizione sul mercato. Le app commerciali a pagamento e quelle gratuite rientrano entrambe nell'ambito. Il fatto che uno store distribuisca l'app non trasferisce la responsabilità CRA allo store; il fabbricante è il soggetto che commercializza l'app con il proprio nome o marchio. Il prodotto deve soddisfare anche il test di connessione, che la maggior parte delle app soddisfa per l'uso previsto sulla rete o tramite API del dispositivo.

Da dove iniziare

  1. Esegua la verifica gratuita di applicabilità CRA per un percorso interattivo, oppure confermi manualmente il test di connessione: qualsiasi percorso logico, fisico o indiretto verso un dispositivo o una rete è sufficiente.
  2. Verifichi che non si applichi alcuna esclusione settoriale. La verifica completa dell'ambito è descritta passo dopo passo in Chi deve rispettare il CRA.
  3. Identifichi il proprio ruolo: fabbricante, importatore, distributore o mandatario.
  4. Classifichi il prodotto come Predefinito, Importante o Critico con l'aiuto della guida Classificazione dei prodotti.
  5. Scelga il percorso di valutazione della conformità una volta definita la categoria.
  6. Torni all'hub di conformità CRA e costruisca i quattro artefatti CRA: SBOM, fascicolo tecnico, processo di gestione delle vulnerabilità e dichiarazione di conformità UE.