Conformità CRA: autovalutazione o organismo notificato

Il percorso di valutazione della conformità CRA determina costi, tempistiche e dipendenze esterne. Una scelta errata fa perdere mesi e migliaia di euro. La scelta corretta apre un percorso chiaro verso la marcatura CE.

Questa guida aiuta a selezionare il corretto modulo di valutazione della conformità e a capire cosa comporta ciascuno.

~90%
Prodotti Default
idonei all'autovalutazione con Modulo A
0
Organismi notificati designati
per il CRA a maggio 2026
10 yr
Conservazione del fascicolo tecnico
richiesta dall'Articolo 13(13) del CRA
5 mm
Altezza minima marcatura CE
per ogni prodotto con marcatura CRA

Fonti: Articolo 13(13) del CRA (periodo di conservazione); banca dati NANDO, registro UE degli organismi notificati (stato delle designazioni); dati indicati in questa guida. Il «~90 %» dei prodotti Default è una stima basata sulla ristrettezza degli Allegati III/IV, non un valore stabilito dal RCC.

Sintesi

  • Modulo A (Autovalutazione): disponibile per prodotti Default e Classe I Importante (se si applicano integralmente gli standard armonizzati)
  • Modulo B+C (Terze parti): obbligatorio per Classe II Importante, opzionale per gli altri
  • Modulo H (QA completa): alternativa al B+C per organizzazioni con più prodotti
  • La classificazione del prodotto determina quali opzioni sono disponibili
  • Differenza di costo: Modulo A (circa EUR 5.000-20.000 interno), B+C (circa EUR 30.000-100.000+), H (circa EUR 50.000+ di setup più costi continuativi)
Albero decisionale della valutazione della conformità CRA che mappa ogni categoria di prodotto ai moduli consentiti
Modulo di conformità CRA per categoria di prodotto. Il Modulo A (autovalutazione) è disponibile per i prodotti Default e per la Classe I Importante solo se gli standard armonizzati sono applicati integralmente. La Classe II Importante e i prodotti Critici richiedono un organismo notificato.

Panoramica della valutazione della conformità

La valutazione della conformità è il modo in cui si dimostra che il prodotto soddisfa i requisiti del CRA. La dichiarazione UE di conformità (DoC) firmata attesta che il prodotto è conforme, ma occorre disporre di prove a supporto di tale dichiarazione.

Il CRA offre tre moduli di valutazione della conformità. L'albero decisionale sopra mappa ogni categoria di prodotto ai percorsi consentiti. Il Modulo A è un'autovalutazione del fabbricante. Il Modulo B+C combina un esame UE del tipo da parte di un organismo notificato (B) con una fase di conformità alla produzione gestita dal fabbricante (C). Il Modulo H è un percorso unico in cui un organismo notificato approva il sistema di gestione della qualità e lo sorveglia su base continuativa.

Quando è possibile usare l'autovalutazione con il Modulo A?

Autovalutazione. Il fabbricante valuta il proprio prodotto rispetto ai requisiti del CRA.

Quando il Modulo A è disponibile

  • Prodotti Default: sempre disponibile
  • Classe I Importante: solo se si applicano integralmente gli standard armonizzati pertinenti

Cosa si intende per «standard armonizzati»

Per l'autovalutazione Classe I Importante, è necessario applicare standard armonizzati che:

  • coprano i requisiti essenziali dell'Allegato I
  • siano pubblicati nella Gazzetta Ufficiale dell'UE
  • siano applicati integralmente (non parzialmente)

Se non esiste uno standard armonizzato per il tipo di prodotto in questione, i prodotti Classe I Importante devono usare il Modulo B+C o H.

Gli standard armonizzati per il CRA sono ancora in fase di sviluppo. Monitorare le pubblicazioni nella Gazzetta Ufficiale dell'UE.

Processo Modulo A

  1. Fase di progettazione. Applicare i principi di security-by-design, condurre una valutazione dei rischi rispetto all'Allegato I, documentare l'architettura di sicurezza e applicare gli standard armonizzati se il prodotto è Classe I Importante.
  2. Documentazione. Creare il fascicolo tecnico dell'Allegato VII che copra descrizione del prodotto, risultati della valutazione dei rischi, documentazione di progettazione, standard applicati, risultati dei test e SBOM. Preparare la dichiarazione UE di conformità.
  3. Controlli di produzione. Assicurarsi che la produzione mantenga la conformità, documentare i controlli di qualità e verificare ogni unità ove applicabile.
  4. Finalizzazione. Firmare la dichiarazione UE di conformità, apporre la marcatura CE e conservare la documentazione per 10 anni.

Requisiti documentali del Modulo A

Il fascicolo tecnico dell'Allegato VII del Modulo A deve coprire le sei aree seguenti.

Descrizione generale
  • Identificazione del prodotto e destinazione d'uso
  • Versioni coperte
  • Istruzioni per l'utente fornite
Valutazione dei rischi
  • Rischi di cibersicurezza identificati
  • Minacce e scenari di attacco considerati
  • Decisioni di trattamento del rischio
Documentazione di progettazione
  • Architettura del sistema
  • Misure di sicurezza attuate
  • Come viene soddisfatto ciascun requisito dell'Allegato I
Standard e test
  • Standard applicati (con numeri di versione)
  • Piani di test e risultati
  • Verifica dell'applicazione integrale degli standard (per la Classe I)
SBOM
  • Componenti inclusi
  • Vulnerabilità note al momento della valutazione
Produzione
  • Come la produzione mantiene la conformità
  • Misure di controllo della qualità
Questi intervalli di costo sono stime

Derivano da regimi CE analoghi (Direttiva Apparecchi Radio, Regolamento sui dispositivi medici) e da prezzi iniziali di consulenza CRA. Non costituiscono un'indagine di mercato specifica per il CRA. Nessun organismo notificato ha pubblicato un tariffario CRA: NANDO registra zero designazioni CRA a maggio 2026. Usare i dati per la pianificazione. Confermare con preventivi reali una volta avvenute le designazioni.

Costi del Modulo A

Elemento di costo Intervallo tipico Note
Valutazione dei rischi EUR 5.000-15.000 Interno o consulente
Documentazione tecnica EUR 5.000-20.000 Dipende dalla complessità
Test EUR 2.000-10.000 Interno o laboratorio
Strumenti SBOM EUR 0-5.000 Strumenti potrebbero già esistere
Tempo del personale interno Variabile Spesso il costo più elevato

Intervallo totale tipico: EUR 15.000-50.000 (costi interni)

Tempistiche del Modulo A

Fase Durata
Valutazione dei rischi 2-4 settimane
Documentazione 4-8 settimane
Test 2-4 settimane
Revisione e finalizzazione 1-2 settimane

Timeline totale tipica: 2-4 mesi

Quando il CRA richiede un organismo notificato?

Valutazione di terze parti. Un organismo notificato esamina il design del prodotto.

Quando è richiesto un organismo notificato

  • Classe II Importante: B+C, H oppure uno schema ex Articolo 27(9) con livello di affidabilità «sostanziale» (Articolo 32(3)).
  • Prodotti Critici (Allegato IV): uno schema europeo di certificazione della cibersicurezza ai sensi dell'Articolo 8(1) una volta applicato l'atto delegato della Commissione (ad es. EUCC con livello «sostanziale»), oppure, in assenza di tale atto delegato, le procedure di cui all'Articolo 32(3) (B+C, H o schema ex Articolo 27(9)). L'EUCC non si somma al B+C o H; è un percorso alternativo.
  • Classe I Importante: B+C o H se gli standard armonizzati, le specifiche comuni o gli schemi ex Articolo 27 non sono applicati o sono applicati solo parzialmente (Articolo 32(2)).

Modulo B: esame UE del tipo

Un organismo notificato esamina un campione rappresentativo (tipo) del prodotto e rilascia un certificato.

  1. Domanda. Selezionare un organismo notificato e presentare domanda con campioni del prodotto, documentazione tecnica e il modulo di domanda. Versare le tariffe iniziali.
  2. Esame. L'organismo notificato verifica la documentazione, testa il campione del prodotto, verifica la conformità all'Allegato I e può richiedere informazioni o test aggiuntivi.
  3. Decisione. Se conforme, l'organismo notificato rilascia il Certificato di Esame UE del Tipo. Se vengono rilevate carenze, si procede alla remediation e si ripresenta la domanda.
  4. Certificato. Valido per il tipo valutato, con eventuali condizioni indicate nel certificato. Modifiche che possono incidere sulla conformità richiedono un'aggiunta al certificato originale (Allegato VIII Parte II, punti 6-7). Il RCC non prescrive un intervallo fisso di riesame.

Modulo C: conformità al tipo

Dopo il Modulo B, si assicura che la produzione sia conforme al tipo certificato.

  1. Controlli di produzione. Assicurarsi che ogni unità sia conforme al tipo certificato, documentare i processi di produzione e mantenere i controlli di qualità.
  2. Dichiarazione. Fare riferimento al Certificato di Esame UE del Tipo, firmare la dichiarazione UE di conformità e apporre la marcatura CE.
  3. Continuativo. Mantenere la conformità al tipo certificato, segnalare all'organismo notificato le modifiche che influenzano il tipo e ricertificare se si verificano modifiche sostanziali.

Selezione dell'organismo notificato

Considerazioni nella scelta di un organismo notificato:

Fattore Considerazione
Ambito L'ON è designato per il CRA e per il tipo di prodotto specifico?
Capacità Dispone di disponibilità? (Fase iniziale CRA = capacità limitata)
Sede Logistica più semplice se in prossimità
Esperienza Familiarità con il tipo di prodotto
Costo Le tariffe variano significativamente
Tempistiche Con quale rapidità può pianificare l'esame?

Come trovare gli ON: consultare la banca dati NANDO (registro ufficiale UE degli organismi notificati) una volta pubblicate le designazioni CRA.

Avvertenza

Le tariffe degli organismi notificati vanno tipicamente da EUR 30.000 a EUR 100.000 o più, e i tempi di attesa possono raggiungere 4-16 settimane. Pianificare budget e tempistiche di conseguenza.

Costi del Modulo B+C

Elemento di costo Intervallo tipico Note
Tariffa di domanda ON EUR 2.000-5.000 Non rimborsabile
Tariffa di esame ON EUR 15.000-50.000 Dipende dalla complessità
Preparazione campioni EUR 1.000-5.000 Campioni del prodotto per i test
Documentazione tecnica EUR 10.000-30.000 Deve soddisfare i requisiti ON
Viaggio/logistica EUR 1.000-5.000 Se sono richieste visite in loco
Remediation (se necessaria) Variabile Re-test, correzioni documentazione

Intervallo totale tipico: EUR 30.000-100.000+

Tempistiche del Modulo B+C

Fase Durata
Selezione ON e domanda 2-4 settimane
Preparazione documentazione 4-8 settimane
Tempo di attesa ON 4-16 settimane (varia significativamente)
Esame 4-8 settimane
Emissione del certificato 2-4 settimane

Timeline totale tipica: 4-10 mesi

Modulo H: assicurazione qualità completa

Approccio del sistema di gestione della qualità. L'organismo notificato approva il SGQ per progettazione, produzione e test.

Quando il Modulo H è conveniente

Il Modulo H è vantaggioso quando:

  • si gestiscono più prodotti che richiedono valutazione di terze parti
  • esiste già un SGQ maturo (ISO 9001, ISO 27001)
  • si preferisce una relazione continuativa con l'ON rispetto all'esame per singolo prodotto
  • si rilasciano aggiornamenti frequenti

Processo Modulo H

  1. Istituzione del SGQ. Progettare un sistema di qualità che copra il processo di progettazione, i controlli di produzione, le procedure di test e la gestione della documentazione, allineato ai requisiti del CRA.
  2. Valutazione dell'organismo notificato. Presentare la documentazione del SGQ, ospitare l'audit dell'organismo notificato, verificare l'allineamento al CRA e ricevere il certificato di approvazione del SGQ.
  3. Progettazione del prodotto (per prodotto). Seguire il SGQ approvato per la progettazione, condurre un esame di progettazione, documentare la conformità e consentire gli audit dell'organismo notificato sul processo di progettazione.
  4. Produzione. Seguire il SGQ approvato per la produzione, documentare la conformità e accettare gli audit di sorveglianza dell'organismo notificato.
  5. Dichiarazione (per prodotto). Firmare la dichiarazione UE di conformità, fare riferimento al certificato SGQ e apporre la marcatura CE.
  6. Continuativo. Mantenere il SQM e sottoporsi ad audit di sorveglianza periodici dell'Organismo Notificato (Allegato VIII Parte IV, punti 4.1-4.3). Il RCC non prescrive una frequenza di sorveglianza né un ciclo di ricertificazione; la cadenza è stabilita nel piano di audit.

Requisiti del SGQ per il Modulo H

Il sistema di gestione della qualità deve coprire quattro aree in parallelo. Lacune in una qualsiasi delle aree bloccano la certificazione.

Qualità della progettazione
  • Controlli del processo di progettazione
  • Metodologia di valutazione dei rischi
  • Procedure di revisione della progettazione
  • Gestione della configurazione
  • Verifica e validazione della progettazione
Qualità della produzione
  • Controlli del processo di produzione
  • Test di controllo della qualità
  • Gestione delle non conformità
  • Tracciabilità
  • Taratura delle apparecchiature
Qualità della documentazione
  • Requisiti del fascicolo tecnico
  • Controllo dei documenti
  • Conservazione dei registri
  • Gestione delle modifiche
Integrazione della cibersicurezza
  • Ciclo di vita dello sviluppo sicuro
  • Gestione delle vulnerabilità
  • Processi di aggiornamento
  • Gestione degli incidenti

Costi del Modulo H

Elemento di costo Intervallo tipico Note
Sviluppo/aggiornamento SGQ EUR 20.000-50.000 Se si parte da zero
Audit iniziale ON EUR 15.000-30.000 Certificazione SGQ
Sorveglianza annuale EUR 5.000-15.000 Continuativa
Revisione progettazione per prodotto EUR 5.000-15.000 Varia per complessità

Setup iniziale: EUR 40.000-100.000 Costo annuo continuativo: EUR 10.000-30.000

Decisione Modulo H vs B+C

Fattore Modulo B+C Modulo H
Numero di prodotti 1-3 prodotti 4+ prodotti
SGQ esistente Nessun SGQ maturo SGQ maturo disponibile
Frequenza aggiornamenti Aggiornamenti poco frequenti Rilasci frequenti
Dimensione organizzazione Piccola/media Media/grande
Costo iniziale Più basso Più alto
Costo per prodotto Più alto Più basso
Costo continuativo Più basso Più alto (sorveglianza)
Consiglio

Il Modulo H diventa conveniente a partire da 4 prodotti. Se è disponibile un SGQ maturo (ISO 9001, ISO 27001), rappresenta spesso il miglior investimento a lungo termine.

Regola pratica: il Modulo H diventa conveniente con 4 o più prodotti, o quando si renderebbe necessario un riesame frequente.

Framework decisionale

Passo 1: determinare la classificazione del prodotto

Usare la guida alla classificazione dei prodotti per determinare: Default, Classe I Importante, Classe II Importante o Critico.

Passo 2: identificare le opzioni disponibili

L'albero decisionale in cima a questa guida mostra la mappatura completa. La tabella seguente riassume gli stessi percorsi in forma testuale.

CategoriaModuli disponibiliPercorso consigliato
DefaultA, B+C, HModulo A salvo si desideri validazione di terze parti
Classe I Importante, standard armonizzati applicati integralmenteA, B+C, HModulo A con standard
Classe I Importante, nessuno standard armonizzatoB+C, HModulo B+C salvo presenza di più prodotti
Classe II ImportanteB+C, HModulo B+C salvo presenza di più prodotti o SGQ maturo
Critico (Allegato IV)Schema EUCC (art. 8(1)) o B+C / H / schema art. 27(9) (ripiego art. 32(3))Dipende dall'adozione di un atto delegato ai sensi dell'articolo 8(1)

Passo 3: considerare i fattori operativi

Il Passo 3 aiuta a scegliere tra i moduli lasciati disponibili dal Passo 2. L'Allegato VIII del CRA rende il Modulo A legalmente irraggiungibile per la Classe I Importante senza standard armonizzati, per la Classe II Importante e per i prodotti Critici. Le due tabelle seguenti si suddividono in base a tale vincolo, in modo che ogni riga abbia una risposta raggiungibile sul proprio percorso.

Quando i Moduli A, B+C e H sono tutti disponibili

Si applica ai prodotti Default e alla Classe I Importante con standard armonizzati applicati integralmente.

FattoreModulo AModulo B+CModulo H
Budget limitato
Tempi ristretti
Necessità di validazione esterna
Prodotto singolo
Più prodotti
Aggiornamenti frequenti
Nessun SGQ esistente
SGQ maturo (ISO 9001, ISO 27001)
Il cliente richiede un organismo notificato

Quando sono disponibili solo i Moduli B+C e H

Si applica alla Classe I Importante senza standard armonizzati, alla Classe II Importante e ai prodotti Critici. Il Modulo A non è un'opzione legale per queste categorie, indipendentemente da vincoli di budget o tempistiche.

FattoreModulo B+CModulo H
Prodotto singolo
Più prodotti
Aggiornamenti frequenti
Nessun SGQ esistente
SGQ maturo (ISO 9001, ISO 27001)

Questa seconda sezione rispecchia la tabella «Decisione Modulo H vs B+C» presente in precedenza nella guida. Dove le due si sovrappongono, trattarle come la stessa decisione da due angolazioni: la tabella precedente è ponderata per costo, questa per idoneità operativa.

Passo 4: calcolare i costi

Scenario: 5 prodotti Classe II Importante, nessun SGQ esistente, orizzonte temporale di 5 anni con 2 aggiornamenti per prodotto.

Voce di costoModulo B+CModulo H
Setup iniziale
Implementazione SGQ e certificazione iniziale ON		n/dEUR 75.000
EUR 50.000 SGQ + EUR 25.000 ON
Valutazione per prodotto (× 5)
Esame UE del tipo (B+C) o revisione progettazione (H)		EUR 250.000
EUR 50.000 × 5		EUR 50.000
EUR 10.000 × 5
Valutazione per aggiornamento (× 10)
Riesame completo (B+C) o revisione delta (H)		EUR 250.000
EUR 25.000 × 10		EUR 50.000
EUR 5.000 × 10
Sorveglianza annuale (× 5 anni)n/dEUR 60.000
EUR 12.000 × 5
Totale 5 anniEUR 500.000EUR 235.000
Decisione

In questo scenario il Modulo H fa risparmiare EUR 265.000 su 5 anni. Il punto di pareggio dipende dalla combinazione di numero di prodotti e frequenza degli aggiornamenti. I valori per prodotto e per aggiornamento sono illustrativi (cfr. la nota sulle stime vicino alla tabella dei costi del Modulo A). Eseguire il calcolo con preventivi reali prima di impegnarsi in un budget.

Dichiarazione UE di conformità

Indipendentemente dal modulo scelto, è obbligatorio emettere una dichiarazione UE di conformità.

Contenuto obbligatorio della DoC

La dichiarazione UE di conformità per il Regolamento sulla ciberresilienza è il Regolamento (UE) 2024/2847. Ogni DoC deve contenere gli otto campi seguenti, seguiti dal blocco del firmatario.

  1. Identificazione del prodotto. Nome, tipo, lotto e numero/i di serie del prodotto, con dettagli sufficienti per la tracciabilità.
  2. Nome e indirizzo del fabbricante. Entità legale responsabile della dichiarazione. Dettagli del rappresentante autorizzato, se applicabile.
  3. Dichiarazione di responsabilità. «La presente dichiarazione di conformità è rilasciata sotto la responsabilità esclusiva del fabbricante.»
  4. Oggetto della dichiarazione. Descrizione del prodotto sufficiente per la tracciabilità, inclusa fotografia o disegno se il prodotto è fisico.
  5. Legislazione dell'Unione applicabile. Elencare ogni regolamento a cui il prodotto è conforme, a partire dal Regolamento (UE) 2024/2847 (Regolamento sulla ciberresilienza) e aggiungendo qualsiasi altra legislazione orizzontale applicabile (RED, EMC, Macchine, ecc.).
  6. Standard armonizzati o specifiche applicate. Elencare ogni standard con il numero di versione. Se nessuno standard armonizzato copre parte dell'Allegato I, fare riferimento alla specifica o alla specifica comune utilizzata.
  7. Blocco organismo notificato (Modulo B+C o H). Nome dell'organismo notificato, numero di identificazione a quattro cifre, riferimento del certificato, modulo eseguito e numero del certificato rilasciato. Omettere questo campo per il Modulo A.
  8. Informazioni supplementari. Data di fine del periodo di supporto, punto di contatto per le segnalazioni di vulnerabilità e qualsiasi altra informazione richiesta dal CRA o dalla legislazione applicabile.
Blocco del firmatario

Chiudere la DoC con il nome e la funzione del firmatario, il luogo e la data di rilascio, e la firma. Una DoC priva di firma datata da una persona identificata per nome e ruolo non è una DoC valida.

Marcatura CE

Dopo la valutazione della conformità, apporre la marcatura CE. La forma visiva del marchio è fissa. Ciò che varia è se un numero a quattro cifre dell'organismo notificato lo accompagna.

Marcatura CE in due varianti: autovalutazione (marcatura CE semplice) e percorso con organismo notificato (marcatura CE seguita dal numero di identificazione a quattro cifre dell'organismo notificato)
Il Modulo A (autovalutazione) usa la sola marcatura CE. Il Modulo B+C e il Modulo H aggiungono il numero di identificazione a quattro cifre dell'organismo notificato accanto al marchio. L'altezza minima è 5 mm in entrambi i casi.

Requisiti della marcatura CE

Visibilità
Visibile, leggibile e indelebile una volta apposta.
Altezza minima
5 mm minimi, misurati dal fondo alla sommità del glifo C.
Proporzioni
Come specificato nell'Allegato II del Regolamento (CE) n. 765/2008.
Posizione
Sul prodotto. Sull'imballaggio solo se la marcatura sul prodotto non è fattibile.
Numero ON
Obbligatorio accanto al marchio se è stato usato il Modulo B+C o H.

Posizionamento della marcatura CE

Prodotto fisico
  • Sul prodotto stesso (preferibile)
  • Su una targa di identificazione o etichetta permanente
  • Sull'imballaggio se il prodotto è troppo piccolo
  • Nella documentazione se la marcatura fisica è impossibile
Software
  • Nella schermata «Informazioni» o analoga
  • Nella documentazione allegata
  • Sull'imballaggio se il software è distribuito su supporto fisico
Con organismo notificato
  • Marcatura CE seguita dal numero di identificazione ON
  • Esempio: CE 1234 dove 1234 è il numero ON
  • Si applica al Modulo B+C e al Modulo H

Errori comuni

Importante

Autovalutarsi (Modulo A) quando il prodotto è Classe II Importante costituisce una valutazione della conformità non valida. Il prodotto non può essere legalmente immesso sul mercato dell'UE.

Ciascuno dei cinque errori seguenti ha la stessa struttura: una scorciatoia allettante, una conseguenza grave e una misura preventiva specifica.

1 · Autovalutazione quando non consentita

Problema. Scegliere il Modulo A per un prodotto Classe II Importante.

Conseguenza. Valutazione della conformità non valida. Il prodotto non può essere legalmente immesso sul mercato.

Prevenzione. Verificare sempre la classificazione del prodotto prima di scegliere il percorso di valutazione.

2 · Applicazione parziale degli standard

Problema. Richiedere il Modulo A per la Classe I Importante applicando solo parzialmente gli standard armonizzati.

Conseguenza. Il Modulo A non è disponibile senza applicazione integrale degli standard.

Prevenzione. Se non è possibile applicare integralmente gli standard, usare il Modulo B+C o H.

3 · Documentazione inadeguata

Problema. Il fascicolo tecnico manca del contenuto richiesto per il modulo scelto.

Conseguenza. Impossibile dimostrare la conformità. La DoC non è valida.

Prevenzione. Usare checklist. Rivedere i requisiti documentali per il modulo specifico prima di firmare.

4 · Scoperta tardiva dell'organismo notificato

Problema. Scoprire tardi che il prodotto richiede la valutazione di un ON.

Conseguenza. Ingresso ritardato sul mercato. I tempi di attesa degli ON possono essere di mesi.

Prevenzione. Classificare i prodotti con anticipo. Contattare gli organismi notificati in modo proattivo.

5 · DoC prima della valutazione

Problema. Firmare la DoC prima di completare la valutazione della conformità.

Conseguenza. Dichiarazione falsa. Responsabilità legale.

Prevenzione. La DoC è il passo finale, dopo che tutte le attività di valutazione sono completate.

Checklist della valutazione della conformità

Completare prima la scheda di pre-valutazione. Poi completare solo le schede relative al modulo applicabile al prodotto. Ogni prodotto termina sulla scheda di Finalizzazione.

Pre-valutazione
  • Classificazione del prodotto determinata
  • Moduli disponibili identificati
  • Modulo selezionato in base a requisiti e fattori operativi
  • Tempistiche definite
  • Budget stanziato
Modulo A · Autovalutazione
  • Valutazione dei rischi completata
  • Requisiti dell'Allegato I affrontati
  • Standard armonizzati applicati (se Classe I)
  • Fascicolo tecnico preparato
  • Test completati
  • Controlli di produzione documentati
  • DoC preparata
Modulo B · Esame UE del tipo
  • Organismo notificato selezionato
  • Domanda presentata
  • Documentazione tecnica fornita
  • Campione/i del prodotto forniti
  • Esame completato
  • Certificato ricevuto
  • Carenze affrontate (se presenti)
Modulo C · Conformità al tipo
  • Controlli di produzione stabiliti
  • Conformità al tipo verificata
  • Documentazione mantenuta
  • DoC con riferimento al certificato UE del tipo
Modulo H · QA completa
  • SGQ sviluppato o aggiornato
  • Audit dell'organismo notificato pianificato
  • Certificato SGQ ricevuto
  • Revisione di progettazione per prodotto completata
  • Piano degli audit di sorveglianza stabilito
Finalizzazione · Tutti i moduli
  • Dichiarazione UE di conformità firmata
  • Marcatura CE apposta
  • Fascicolo tecnico archiviato (conservazione 10 anni)
  • Prodotto pronto per l'immissione sul mercato

Domande frequenti

Un prodotto nella categoria Default può sempre usare l'autovalutazione con il Modulo A?

Sì. I prodotti Default possono sempre usare il Modulo A. Il fabbricante conduce la valutazione, la documenta nel fascicolo tecnico dell'Allegato VII, firma la dichiarazione UE di conformità e appone la marcatura CE. Nessun organismo notificato è coinvolto. (Il «~90%» è una stima basata sulla ristrettezza degli Allegati III/IV, non un valore stabilito dal RCC.) (Articolo 32(1)(a); Allegato VIII Parte I.)

Quando è obbligatorio un organismo notificato per i prodotti Classe I Importante?

Solo quando non è possibile applicare integralmente gli standard armonizzati pertinenti, le specifiche comuni o uno schema europeo di certificazione della cibersicurezza ex Articolo 27 con livello «sostanziale». Se nella Gazzetta Ufficiale dell'UE sono pubblicati standard armonizzati che coprono i requisiti dell'Allegato I per il tipo di prodotto in questione e vengono applicati integralmente, il Modulo A rimane disponibile. Se non esiste uno standard applicabile, o viene applicato parzialmente, è obbligatorio usare il Modulo B+C o H. (Articolo 32(2); Allegato VIII Parte II e IV.)

A maggio 2026 esistono organismi notificati designati per il CRA?

A maggio 2026, zero organismi notificati sono stati designati per il CRA. Le designazioni vengono pubblicate nella banca dati NANDO. I fabbricanti di prodotti Classe II Importante e Critici non possono completare la valutazione di terze parti fino alla pubblicazione delle designazioni. Tenere conto di questo ritardo nella pianificazione. (Articolo 43; database NANDO.)

In cosa consiste la valutazione di conformità con il Modulo B+C?

Il Modulo B è l'esame del tipo di prodotto eseguito da un organismo notificato, che verifica la documentazione tecnica, testa un campione rappresentativo e rilascia il Certificato di Esame UE del Tipo. Il Modulo C è la fase di conformità alla produzione gestita dal fabbricante: ogni unità deve essere conforme al tipo certificato, e la dichiarazione UE di conformità fa riferimento al numero del certificato. (Allegato VIII Parte II e Parte III; Articolo 32(1)(b).)

Gli standard armonizzati possono sostituire la valutazione di un organismo notificato?

Solo per i prodotti Classe I Importante. Se si applicano integralmente gli standard armonizzati che coprono tutti i requisiti essenziali dell'Allegato I, è possibile autovalutarsi con il Modulo A senza organismo notificato. Per la Classe II Importante, la valutazione di terze parti (B+C, H o uno schema ex Articolo 27(9)) è obbligatoria indipendentemente dagli standard applicati. I prodotti Critici sono disciplinati dall'Articolo 32(4) (schema ex Articolo 8(1) o ripiego ex Articolo 32(3)). (Articolo 32(1)(a) e 32(2); Allegato VIII Parte I.)

Qual è il costo di una valutazione di conformità con un organismo notificato?

Prevedere da EUR 30.000 a EUR 100.000 o più per le tariffe di esame ON, più EUR 2.000-5.000 di tariffa di domanda e EUR 1.000-5.000 per la preparazione dei campioni. I tempi di attesa vanno da 4 a 16 settimane: va considerato anche il rischio di ritardo sul calendario, oltre al costo. (Le cifre sono stime tratte da regimi analoghi (RED, MDR) e dai prezzi della consulenza CRA iniziale, non valori stabiliti dal RCC.)

Da fare ora

  1. Confermare la categoria del prodotto con la guida alla classificazione dei prodotti. La categoria determina quali moduli sono disponibili.
  2. Se si utilizza il Modulo A, costruire il fascicolo tecnico dell'Allegato VII e firmare la dichiarazione UE di conformità.
  3. Se ricade su Modulo B+C o H, prevedere il budget per la fascia di onorari ON da 30.000 a 100.000 EUR e la coda di 4-16 settimane. Verificare con la guida alla stima dei costi.
  4. Monitorare NANDO per le designazioni CRA (zero oggi). Non presentare domande fino alla pubblicazione delle designazioni.
  5. Leggere la guida alle sanzioni affinché il costo di un'autovalutazione su percorso errato sia concreto prima di firmare la DoC.

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un professionista legale qualificato.