Il percorso di valutazione di conformità CRA determina costi, tempistiche e dipendenze esterne. Una scelta errata fa perdere mesi e migliaia di euro. La scelta corretta apre una via chiara verso la marcatura CE.
Questa guida aiuta a selezionare il modulo di valutazione di conformità corretto e a capire cosa comporta ciascuno.
Sintesi
- Modulo A (autovalutazione): disponibile per prodotti Default e per Classe I Importante solo quando norme armonizzate, specifiche comuni o schemi europei di certificazione della cibersicurezza pertinenti sono applicati integralmente
- Modulo B+C (terze parti): obbligatorio per Classe II Importante, opzionale per gli altri
- Modulo H (QA completa): alternativa al B+C per organizzazioni con più prodotti
- La classificazione del prodotto determina quali opzioni sono disponibili
- Differenza di costo: Modulo A (circa EUR 5.000-20.000 interno), B+C (circa EUR 30.000-100.000+), H (circa EUR 50.000+ di setup più costi continuativi)
Fonti: Articolo 13(13) del CRA (periodo di conservazione); banca dati NANDO, registro UE degli organismi notificati (stato delle designazioni); dati indicati in questa guida. Il «~90%» dei prodotti Default è una stima basata sulla ristrettezza degli Allegato III/Allegato IV, non un valore stabilito dal CRA.
Panoramica della valutazione di conformità
La valutazione di conformità è il modo in cui si dimostra che il prodotto soddisfa i requisiti del CRA. La dichiarazione UE di conformità (DoC) che il fabbricante firma attesta che il prodotto è conforme, ma occorre disporre di prove a supporto di tale dichiarazione.
Il CRA offre tre moduli di valutazione di conformità. L'albero decisionale sopra mappa ogni categoria di prodotto ai percorsi consentiti. Il Modulo A è un'autovalutazione del fabbricante. Il Modulo B+C combina un esame UE del tipo da parte di un organismo notificato (B) con una fase di conformità alla produzione gestita dal fabbricante (C). Il Modulo H è un percorso unico in cui un organismo notificato approva il sistema di gestione della qualità e lo sorveglia su base continuativa.
Quando è possibile usare l'autovalutazione con il Modulo A?
Autovalutazione. Il fabbricante valuta il proprio prodotto rispetto ai requisiti del CRA.
Quando il Modulo A è disponibile
- Prodotti Default: sempre disponibile
- Classe I Importante: solo se norme armonizzate, specifiche comuni o schemi europei di certificazione della cibersicurezza pertinenti (con livello di affidabilità almeno sostanziale) sono applicati integralmente
Cosa si intende per copertura completa
Per l'autovalutazione di Classe I Importante, il Modulo A resta disponibile solo quando le norme armonizzate, le specifiche comuni o gli schemi europei di certificazione della cibersicurezza pertinenti:
- coprano i requisiti essenziali dell'Allegato I
- siano disponibili per il prodotto e il percorso
- siano applicati integralmente, non parzialmente
Se tale copertura non esiste o viene applicata solo in parte, usare il Modulo B+C o il Modulo H per i requisiti interessati.
Le norme armonizzate per il CRA sono ancora in fase di sviluppo. Monitorare le pubblicazioni nella Gazzetta Ufficiale dell'UE.
Processo del Modulo A
| Fase | Cosa fare | Perché interessa ai team CRA | Ancora |
|---|---|---|---|
| Progettazione | Applicare la sicurezza by design, svolgere la valutazione del rischio, documentare l'architettura di sicurezza e applicare le norme armonizzate pertinenti. | Qui si crea la base probatoria, invece di ricostruirla alla fine. | Requisiti dell'Allegato I. |
| Documentazione | Creare il fascicolo tecnico con descrizione del prodotto, risultati della valutazione del rischio, documentazione di progettazione, norme applicate, risultati dei test e SBOM. Preparare la dichiarazione UE di conformità. | Anche il Modulo A richiede evidenze. Autovalutazione non significa nessun fascicolo. | Fascicolo Allegato VII. |
| Controlli di produzione | Garantire che la produzione mantenga la conformità, documentare i controlli qualità e verificare le unità quando applicabile. | La dichiarazione firmata deve restare vera per la serie immessa sul mercato. | Produzione in serie. |
| Finalizzazione | Firmare la dichiarazione UE di conformità, apporre la marcatura CE e conservare la documentazione per almeno 10 anni, o il periodo di supporto se più lungo. | È il passaggio dalla creazione delle evidenze all'immissione sul mercato. | DoC, CE, conservazione. |
Requisiti documentali del Modulo A
Il fascicolo tecnico dell'Allegato VII previsto dal Modulo A deve coprire le sei aree seguenti.
| Area | Cosa deve contenere il fascicolo | Perché interessa ai team CRA | Ancora |
|---|---|---|---|
| Descrizione generale | Identificazione del prodotto, destinazione d'uso, versioni coperte e istruzioni utente fornite. | Le autorità devono vedere esattamente quale prodotto e release sono coperti dalle evidenze. | Ambito del prodotto. |
| Valutazione del rischio | Rischi di cibersicurezza identificati, minacce e scenari di attacco considerati, e decisioni di trattamento del rischio. | È la logica che collega il modello di minaccia ai controlli. | Evidenze di rischio. |
| Documentazione di progettazione | Architettura del sistema, misure di sicurezza implementate e modo in cui ogni requisito è soddisfatto. | Il fascicolo deve mostrare come il design del prodotto soddisfa i requisiti di cibersicurezza. | Allegato I mapping. |
| Norme e test | Norme, specifiche o schemi applicati con dettagli di versione, piani e risultati di test, e prova di piena applicazione per la Classe I Importante. | Una copertura parziale può cambiare la rotta di conformità disponibile. | Evidenze sul percorso. |
| SBOM | Componenti inclusi e vulnerabilità note al momento della valutazione. | La SBOM collega inventario dei componenti e gestione delle vulnerabilità. | Inventario componenti. |
| Produzione | Come la produzione mantiene la conformità e quali controlli qualità si applicano. | La conformità deve restare valida oltre il prototipo valutato. | Controlli di serie. |
Derivano da regimi di marcatura CE analoghi (Direttiva Apparecchi Radio, Regolamento sui dispositivi medici) e dai prezzi iniziali della consulenza CRA. Non costituiscono un'indagine di mercato specifica per il CRA. Nessun organismo notificato ha pubblicato un tariffario CRA: NANDO registra zero designazioni CRA a giugno 2026. Usare i dati per la pianificazione. Confermare con preventivi reali una volta avvenute le designazioni.
Costi del Modulo A
| Voce di costo | Intervallo tipico | Note |
|---|---|---|
| Valutazione del rischio | EUR 5.000-15.000 | Interno o consulente |
| Documentazione tecnica | EUR 5.000-20.000 | Dipende dalla complessità |
| Test | EUR 2.000-10.000 | Interno o laboratorio |
| Strumenti SBOM | EUR 0-5.000 | Gli strumenti potrebbero già esistere |
| Tempo del personale interno | Variabile | Spesso la voce più alta |
Intervallo totale tipico: EUR 15.000-50.000 (costi interni)
Tempistiche del Modulo A
| Fase | Durata |
|---|---|
| Valutazione del rischio | 2-4 settimane |
| Documentazione | 4-8 settimane |
| Test | 2-4 settimane |
| Revisione e finalizzazione | 1-2 settimane |
Tempistica totale tipica: 2-4 mesi
Quando il CRA richiede un organismo notificato?
Valutazione di terze parti. Un organismo notificato esamina il progetto del prodotto.
Quando è richiesto un organismo notificato
- Classe II Importante: usare il Modulo B+C, il Modulo H oppure uno schema europeo di certificazione della cibersicurezza approvato con livello «sostanziale».
- Prodotti Critici: usare il percorso europeo di certificazione quando la Commissione lo attiva per quella categoria di prodotto. Fino ad allora, usare gli stessi percorsi di terze parti come ripiego: Modulo B+C, Modulo H o uno schema approvato.
- Classe I Importante: usare il Modulo B+C o il Modulo H solo quando le norme armonizzate, le specifiche comuni o gli schemi di certificazione pertinenti non esistono o non sono applicati integralmente.
Modulo B: esame UE del tipo
Un organismo notificato esamina un campione rappresentativo (tipo) del prodotto e rilascia un certificato.
| Elemento | Dettagli |
|---|---|
| Domanda | Selezionare un organismo notificato e presentare la domanda con campioni del prodotto, documentazione tecnica e modulo di domanda. Versare le tariffe iniziali. |
| Esame | L'organismo notificato verifica la documentazione, testa il campione del prodotto, controlla la conformità ai requisiti essenziali di cibersicurezza e può richiedere informazioni o test aggiuntivi. |
| Decisione | Se conforme, l'organismo notificato rilascia il certificato di esame UE del tipo. Se vengono rilevate carenze, si procede alla loro correzione e si ripresenta la domanda. |
| Certificato | Valido per il tipo valutato, con eventuali condizioni indicate nel certificato. Modifiche che possono incidere sulla conformità richiedono un aggiornamento del certificato con l'organismo notificato. Il CRA non prescrive un intervallo fisso di riesame. |
Modulo C: conformità al tipo
Dopo il Modulo B, occorre garantire che la produzione sia conforme al tipo certificato.
| Elemento | Dettagli |
|---|---|
| Controlli di produzione | Assicurarsi che ogni unità sia conforme al tipo certificato, documentare i processi di produzione e mantenere i controlli di qualità. |
| Dichiarazione | Fare riferimento al certificato di esame UE del tipo, firmare la dichiarazione UE di conformità e apporre la marcatura CE. |
| Continuativo | Mantenere la conformità al tipo certificato, segnalare all'organismo notificato le modifiche che incidono sul tipo e ricertificare in caso di modifiche sostanziali. |
Selezione dell'organismo notificato
Considerazioni nella scelta di un organismo notificato:
| Fattore | Considerazione |
|---|---|
| Ambito | L'organismo notificato è designato per il CRA e per il tipo di prodotto? |
| Capacità | Dispone di disponibilità? (Fase iniziale CRA = capacità limitata) |
| Sede | Logistica più semplice se in prossimità |
| Esperienza | Familiarità con il tipo di prodotto |
| Costo | Le tariffe variano significativamente |
| Tempistiche | Con quale rapidità può pianificare l'esame? |
Come trovare gli organismi notificati: consultare la banca dati NANDO (registro ufficiale UE degli organismi notificati) una volta pubblicate le designazioni CRA.
Le tariffe degli organismi notificati vanno tipicamente da EUR 30.000 a EUR 100.000 o più, e i tempi di attesa possono raggiungere 4-16 settimane. Pianificare budget e tempistiche di conseguenza.
Costi del Modulo B+C
| Voce di costo | Intervallo tipico | Note |
|---|---|---|
| Tariffa di domanda dell'organismo notificato | EUR 2.000-5.000 | Non rimborsabile |
| Tariffa di esame dell'organismo notificato | EUR 15.000-50.000 | Dipende dalla complessità |
| Preparazione dei campioni | EUR 1.000-5.000 | Campioni del prodotto per i test |
| Documentazione tecnica | EUR 10.000-30.000 | Deve soddisfare i requisiti dell'organismo notificato |
| Viaggio e logistica | EUR 1.000-5.000 | Se sono richieste visite in loco |
| Correzione delle carenze (se necessaria) | Variabile | Test ripetuti, correzioni alla documentazione |
Intervallo totale tipico: EUR 30.000-100.000+
Tempistiche del Modulo B+C
| Fase | Durata |
|---|---|
| Selezione dell'organismo notificato e domanda | 2-4 settimane |
| Preparazione della documentazione | 4-8 settimane |
| Tempo di attesa dell'organismo notificato | 4-16 settimane (varia significativamente) |
| Esame | 4-8 settimane |
| Emissione del certificato | 2-4 settimane |
Tempistica totale tipica: 4-10 mesi
Modulo H: garanzia di qualità totale
Approccio del sistema di gestione della qualità. L'organismo notificato approva il SGQ per progettazione, produzione e test.
Quando il Modulo H è conveniente
Il Modulo H è vantaggioso quando:
- si gestiscono più prodotti che richiedono una valutazione di terze parti
- esiste già un SGQ maturo (ISO 9001, ISO 27001)
- si preferisce una relazione continuativa con l'organismo notificato rispetto all'esame per singolo prodotto
- si rilasciano aggiornamenti frequenti
Processo del Modulo H
| Elemento | Dettagli |
|---|---|
| Istituzione del SGQ | Progettare un sistema di qualità che copra il processo di progettazione, i controlli di produzione, le procedure di test e la gestione della documentazione, allineato ai requisiti del CRA. |
| Valutazione dell'organismo notificato | Presentare la documentazione del SGQ, ospitare l'audit dell'organismo notificato, verificare l'allineamento al CRA e ricevere il certificato di approvazione del SGQ. |
| Progettazione del prodotto (per prodotto) | Seguire il SGQ approvato per la progettazione, condurre un esame di progettazione, documentare la conformità e consentire gli audit dell'organismo notificato sul processo di progettazione. |
| Produzione | Seguire il SGQ approvato per la produzione, documentare la conformità e accettare gli audit di sorveglianza dell'organismo notificato. |
| Dichiarazione (per prodotto) | Firmare la dichiarazione UE di conformità, fare riferimento al certificato del SGQ e apporre la marcatura CE. |
| Continuativo | Mantenere il SGQ e sottoporsi ad audit di sorveglianza periodici dell'organismo notificato. Il CRA non prescrive una frequenza di sorveglianza né un ciclo di ricertificazione; la cadenza è stabilita nel piano di audit. |
Requisiti del SGQ per il Modulo H
Il sistema di gestione della qualità deve coprire quattro aree in parallelo. Lacune in una qualsiasi delle aree bloccano la certificazione.
| Elemento | Dettagli |
|---|---|
| Qualità della progettazione |
|
| Qualità della produzione |
|
| Qualità della documentazione |
|
| Integrazione della cibersicurezza |
|
Costi del Modulo H
| Voce di costo | Intervallo tipico | Note |
|---|---|---|
| Sviluppo o aggiornamento del SGQ | EUR 20.000-50.000 | Se si parte da zero |
| Audit iniziale dell'organismo notificato | EUR 15.000-30.000 | Certificazione del SGQ |
| Sorveglianza annuale | EUR 5.000-15.000 | Continuativa |
| Revisione di progettazione per prodotto | EUR 5.000-15.000 | Varia per complessità |
Setup iniziale: EUR 40.000-100.000 Costo annuo continuativo: EUR 10.000-30.000
Decisione Modulo H vs B+C
| Fattore | Modulo B+C | Modulo H |
|---|---|---|
| Numero di prodotti | 1-3 prodotti | 4+ prodotti |
| SGQ esistente | Nessun SGQ maturo | SGQ maturo disponibile |
| Frequenza degli aggiornamenti | Aggiornamenti poco frequenti | Rilasci frequenti |
| Dimensione dell'organizzazione | Piccola/media | Media/grande |
| Costo iniziale | Più basso | Più alto |
| Costo per prodotto | Più alto | Più basso |
| Costo continuativo | Più basso | Più alto (sorveglianza) |
Il Modulo H diventa conveniente a partire da 4 prodotti. Con un SGQ maturo (ISO 9001, ISO 27001), è spesso il miglior investimento a lungo termine.
Regola pratica: il Modulo H diventa conveniente con 4 o più prodotti o quando si renderebbero necessari riesami frequenti.
Framework decisionale
Passo 1: determinare la classificazione del prodotto
Usare la guida alla classificazione dei prodotti per determinare: Default, Classe I Importante, Classe II Importante o Critico.
Passo 2: identificare le opzioni disponibili
L'albero decisionale in cima alla guida mostra la mappatura completa. La tabella seguente riassume gli stessi percorsi in forma testuale.
| Categoria | Moduli disponibili | Percorso consigliato |
|---|---|---|
| Default | A, B+C, H | Modulo A salvo si desideri una validazione di terze parti |
| Classe I Importante, norme, specifiche o schema pertinenti applicati integralmente | A, B+C, H | Modulo A con copertura completa |
| Classe I Importante, copertura assente o parziale | B+C, H | Modulo B+C salvo presenza di più prodotti |
| Classe II Importante | B+C, H oppure uno schema di certificazione applicabile con livello di affidabilità almeno sostanziale | Modulo B+C salvo presenza di più prodotti o di un SGQ maturo |
| Critico | EUCC o altro percorso europeo di certificazione obbligatorio oppure B+C / H / schema approvato come ripiego | Dipende dal fatto che la Commissione abbia attivato il percorso di certificazione per quella categoria |
Passo 3: considerare i fattori operativi
Il Passo 3 aiuta a scegliere solo tra i moduli lasciati disponibili dal Passo 2. Le regole di percorso rendono il Modulo A non disponibile per la Classe I Importante quando norme, specifiche o schemi pertinenti mancano o sono applicati solo in parte, per la Classe II Importante e per i prodotti Critici. Le due tabelle seguenti si suddividono in base a tale vincolo, in modo che ogni riga abbia una risposta raggiungibile sul proprio percorso.
Quando i Moduli A, B+C e H sono tutti disponibili
Si applica ai prodotti Default e alla Classe I Importante quando norme, specifiche o schemi pertinenti sono applicati integralmente.
| Fattore | Modulo A | Modulo B+C | Modulo H |
|---|---|---|---|
| Budget limitato | ✓ | ||
| Tempi ristretti | ✓ | ||
| Necessità di validazione esterna | ✓ | ✓ | |
| Prodotto singolo | ✓ | ✓ | |
| Più prodotti | ✓ | ||
| Aggiornamenti frequenti | ✓ | ||
| Nessun SGQ esistente | ✓ | ✓ | |
| SGQ maturo (ISO 9001, ISO 27001) | ✓ | ||
| Il cliente richiede un organismo notificato | ✓ | ✓ |
Quando sono disponibili solo i Moduli B+C e H
Si applica alla Classe I Importante quando norme, specifiche o schemi pertinenti mancano o sono applicati solo in parte, alla Classe II Importante e ai prodotti Critici. Il Modulo A non è un'opzione legale per queste categorie, indipendentemente da vincoli di budget o tempistica.
| Fattore | Modulo B+C | Modulo H |
|---|---|---|
| Prodotto singolo | ✓ | |
| Più prodotti | ✓ | |
| Aggiornamenti frequenti | ✓ | |
| Nessun SGQ esistente | ✓ | |
| SGQ maturo (ISO 9001, ISO 27001) | ✓ |
Questa seconda sezione rispecchia la tabella «Decisione Modulo H vs B+C» presente in precedenza nella guida. Dove le due si sovrappongono, trattarle come la stessa decisione vista da due angolazioni: la tabella precedente è ponderata per costo, questa per idoneità operativa.
Passo 4: calcolare i costi
Scenario: 5 prodotti di Classe II Importante, nessun SGQ esistente, orizzonte temporale di 5 anni con 2 aggiornamenti per prodotto.
| Voce di costo | Modulo B+C | Modulo H |
|---|---|---|
| Setup iniziale Implementazione del SGQ e certificazione iniziale dell'organismo notificato | n/d | EUR 75.000 EUR 50.000 SGQ + EUR 25.000 certificazione |
| Valutazione per prodotto (× 5) Esame UE del tipo (B+C) o revisione di progettazione (H) | EUR 250.000 EUR 50.000 × 5 | EUR 50.000 EUR 10.000 × 5 |
| Valutazione per aggiornamento (× 10) Riesame completo (B+C) o revisione delta della progettazione (H) | EUR 250.000 EUR 25.000 × 10 | EUR 50.000 EUR 5.000 × 10 |
| Sorveglianza annuale (× 5 anni) | n/d | EUR 60.000 EUR 12.000 × 5 |
| Totale a 5 anni | EUR 500.000 | EUR 235.000 |
In questo scenario il Modulo H fa risparmiare EUR 265.000 su 5 anni. Il punto di pareggio è la combinazione di numero di prodotti e frequenza degli aggiornamenti. Gli input per prodotto e per aggiornamento sono illustrativi (vedi la nota sulle stime vicino alla tabella dei costi del Modulo A). Eseguire il calcolo con preventivi propri prima di impegnarsi su un budget.
Dichiarazione UE di conformità
Indipendentemente dal modulo scelto, occorre emettere una dichiarazione UE di conformità.
Contenuti obbligatori della DoC
La dichiarazione UE di conformità per il Cyber Resilience Act è il Regolamento (UE) 2024/2847. Ogni DoC deve contenere gli otto campi seguenti, seguiti dal blocco del firmatario.
| Elemento | Dettagli |
|---|---|
| Identificazione del prodotto | Nome, tipo, lotto e numero o numeri di serie del prodotto, con un dettaglio sufficiente per la tracciabilità. |
| Nome e indirizzo del fabbricante | Entità legale responsabile della dichiarazione. Dettagli del mandatario, se applicabile. |
| Dichiarazione di responsabilità | «La presente dichiarazione di conformità è rilasciata sotto la responsabilità esclusiva del fornitore.» |
| Oggetto della dichiarazione | Descrizione del prodotto sufficiente per la tracciabilità, inclusa fotografia o disegno se il prodotto è fisico. |
| Legislazione dell'Unione applicabile | Elencare ogni regolamento a cui il prodotto è conforme, a partire dal Regolamento (UE) 2024/2847 (Cyber Resilience Act) e aggiungendo qualsiasi altra legislazione orizzontale applicabile (RED, EMC, Regolamento Macchine, ecc.). |
| Norme armonizzate o specifiche applicate | Elencare ciascuna norma con il numero di versione. Se nessuna norma armonizzata copre parte dell'Allegato I, fare riferimento alla specifica o alla specifica comune utilizzata. |
| Blocco dell'organismo notificato (Modulo B+C o H) | Nome dell'organismo notificato, numero di identificazione a quattro cifre, riferimento del certificato, modulo eseguito e numero del certificato rilasciato. Omettere interamente questo campo per il Modulo A. |
| Informazioni supplementari | Data di fine del periodo di supporto, punto di contatto per le segnalazioni di vulnerabilità e qualsiasi altra informazione richiesta dal CRA o dalla legislazione applicabile. |
Chiudere la DoC con il nome e la funzione del firmatario, il luogo e la data di rilascio, e la firma. Una DoC priva di firma datata da una persona identificata per nome e ruolo non è una DoC valida.
Marcatura CE
Dopo la valutazione di conformità, apporre la marcatura CE. La forma visiva del marchio è fissa. Ciò che varia è se accanto ad esso compare il numero a quattro cifre dell'organismo notificato.
Requisiti della marcatura CE
| Tema | Cosa cambia | Perché interessa ai team CRA | Ancora |
|---|---|---|---|
| Visibilità | Visibile, leggibile e indelebile dopo l'apposizione. | Un marchio non leggibile o non verificabile può far fallire il controllo del prodotto. | Marcatura CE leggibile. |
| Altezza minima | Minimo generale 5 mm, misurati dal basso all'alto del glifo C. L'art. 30(2) ammette una marcatura più piccola quando la natura del prodotto lo giustifica. | Vale qualunque sia la rotta di conformità, anche se i prodotti piccoli possono recare una marcatura inferiore a 5 mm ai sensi dell'art. 30(2). | Minimo generale 5 mm; deroga dell'art. 30(2). |
| Proporzioni | Usare le proporzioni CE fisse. | Non ridisegnare, allungare o adattare il marchio per packaging o interfaccia. | Regulation (EC) No 765/2008 Annex II. |
| Posizione | Sul prodotto. Sul packaging solo se la marcatura del prodotto non è praticabile. | La sola marcatura sul packaging è una soluzione di ripiego, non la regola. | Prima il prodotto. |
| Numero dell'organismo notificato | Obbligatorio accanto al marchio solo se è stato usato il Modulo H (garanzia totale di qualità). | Il numero mostra quale organismo notificato ha partecipato alla rotta valutata. | CE più quattro cifre. |
Posizionamento della marcatura CE
| Elemento | Dettagli |
|---|---|
| Prodotto fisico |
|
| Software |
|
| Con organismo notificato |
|
Errori comuni
Autovalutarsi (Modulo A) quando il prodotto è di Classe II Importante costituisce una valutazione di conformità non valida. Il prodotto non può essere legalmente immesso sul mercato dell'UE.
Ciascuno dei cinque errori seguenti ha la stessa struttura: una scorciatoia allettante, una conseguenza grave e una misura preventiva specifica.
| Elemento | Dettagli |
|---|---|
| 1 · Autovalutazione quando non consentita | Problema. Scegliere il Modulo A per un prodotto di Classe II Importante. Conseguenza. Valutazione di conformità non valida. Il prodotto non può essere legalmente immesso sul mercato. Prevenzione. Verificare sempre la classificazione del prodotto prima di scegliere il percorso di valutazione. |
| 2 · Applicazione parziale delle norme | Problema. Richiedere il Modulo A per la Classe I Importante quando norme, specifiche o schemi pertinenti sono applicati solo in parte. Conseguenza. Il Modulo A non è disponibile senza copertura completa. Prevenzione. Se non è possibile applicare integralmente il percorso pertinente, usare il Modulo B+C o H. |
| 3 · Documentazione inadeguata | Problema. Il fascicolo tecnico manca dei contenuti richiesti per il modulo scelto. Conseguenza. Impossibile dimostrare la conformità. La DoC non è valida. Prevenzione. Usare le checklist. Rivedere i requisiti documentali del modulo specifico prima di firmare. |
| 4 · Scoperta tardiva dell'organismo notificato | Problema. Scoprire tardi che il prodotto richiede la valutazione di un organismo notificato. Conseguenza. Ingresso ritardato sul mercato. I tempi di attesa degli organismi notificati possono essere di mesi. Prevenzione. Classificare i prodotti con anticipo. Contattare proattivamente gli organismi notificati. |
| 5 · DoC prima della valutazione | Problema. Firmare la DoC prima di completare la valutazione di conformità. Conseguenza. Dichiarazione falsa. Responsabilità legale. Prevenzione. La DoC è il passo finale, dopo il completamento di tutte le attività di valutazione. |
Checklist della valutazione di conformità
Completare prima la scheda di pre-valutazione. Poi completare solo le schede relative al modulo applicabile al prodotto. Ogni prodotto termina sulla scheda di Finalizzazione.
| Elemento | Dettagli |
|---|---|
| Pre-valutazione |
|
| Modulo A · Autovalutazione |
|
| Modulo B · Esame UE del tipo |
|
| Modulo C · Conformità al tipo |
|
| Modulo H · QA completa |
|
| Finalizzazione · Tutti i moduli |
|
Domande frequenti
Un prodotto della categoria Default può sempre usare l'autovalutazione con il Modulo A?
Sì. I prodotti Default possono sempre usare l'autovalutazione con il Modulo A. Il fabbricante conduce la valutazione, la documenta nel fascicolo tecnico, firma la dichiarazione UE di conformità e appone la marcatura CE. Nessun organismo notificato è coinvolto. Il «circa 90%» è una stima basata sulla ristrettezza dell'ambito dei prodotti Importanti e Critici, non un valore stabilito dal CRA.
Quando un organismo notificato è obbligatorio per i prodotti di Classe I Importante?
Solo quando non è possibile applicare integralmente le norme armonizzate pertinenti, le specifiche comuni o uno schema europeo di certificazione della cibersicurezza con livello «sostanziale». Se uno di questi percorsi copre i requisiti essenziali di cibersicurezza del tipo di prodotto ed è applicato integralmente, l'autovalutazione con il Modulo A resta disponibile. Se non esiste alcun percorso applicabile, o se lo si applica solo in parte, occorre usare il Modulo B+C o H.
Esistono già organismi notificati designati per il CRA?
A giugno 2026 nessun organismo notificato è stato designato per il CRA. Le designazioni vengono pubblicate nella banca dati NANDO. I fabbricanti di prodotti di Classe II Importante e di prodotti Critici non possono completare la valutazione di terze parti fino alla pubblicazione delle designazioni. Tenere conto di questo ritardo nella pianificazione.
In cosa consiste la valutazione di conformità con il Modulo B+C?
Il Modulo B è l'esame del tipo di prodotto eseguito da un organismo notificato, che verifica la documentazione tecnica, testa un campione rappresentativo e rilascia il certificato di esame UE del tipo. Il Modulo C è la fase di conformità alla produzione gestita dal fabbricante: ogni unità deve essere conforme al tipo certificato, e la dichiarazione UE di conformità fa riferimento al numero del certificato.
Le norme armonizzate possono sostituire la valutazione di un organismo notificato?
Solo per i prodotti di Classe I Importante. Applicando integralmente norme armonizzate, specifiche comuni o uno schema europeo di certificazione della cibersicurezza pertinenti che coprano ogni requisito essenziale di cibersicurezza, è possibile autovalutarsi con il Modulo A senza organismo notificato. Per i prodotti di Classe II Importante, la valutazione di terze parti è obbligatoria a prescindere dalle norme applicate. I prodotti Critici seguono un percorso a parte: certificazione quando la Commissione la attiva, oppure il ripiego Modulo B+C / H / schema approvato.
Qual è il costo di una valutazione di conformità con un organismo notificato?
Prevedere da EUR 30.000 a EUR 100.000 o più per le tariffe di esame dell'organismo notificato, più una tariffa di domanda di EUR 2.000-5.000 e una preparazione dei campioni di EUR 1.000-5.000. I tempi di attesa attualmente vanno da 4 a 16 settimane: oltre al costo, va considerato anche il rischio di ritardo sul calendario. (Le cifre sono stime tratte da regimi analoghi (RED, MDR) e dai prezzi della consulenza CRA iniziale, non valori stabiliti dal CRA.)