Conformità al Cyber Resilience Act per i Produttori di Macchinari
La tua macchina ha elementi digitali. Il tuo marchio CE ora richiede prove di sicurezza informatica. CRA Evidence aiuta i costruttori di macchine a conformarsi sia al Cyber Resilience Act che al Regolamento UE Macchinari, da un'unica piattaforma.
La realtà della doppia conformità
A partire dal 20 gennaio 2027, il Regolamento UE Macchinari (UE) 2023/1230 richiede prove di sicurezza informatica nel fascicolo tecnico (Allegato III §1.1.9 "protezione contro la corruzione"). A partire dall'11 dicembre 2027, il CRA impone la sicurezza completa del prodotto per tutto il ciclo di vita. Entrambi si applicano alle macchine con PLC, HMI, controllori embedded o connettività di rete.
Il Considerando 53 del CRA è esplicito: i prodotti coperti da altre normative UE con requisiti di sicurezza informatica devono conformarsi anche al CRA. Le prove di conformità al CRA possono soddisfare tali requisiti, se strutturate correttamente.
Come CRA Evidence aiuta i costruttori di macchine
| La tua Esigenza di Conformità | Come CRA Evidence Aiuta | Base Normativa |
|---|---|---|
| Tracciare il software nelle macchine | Gestione SBOM + HBOM | CRA Allegato I + fascicolo tecnico RM |
| Analizzare il firmware embedded | Carica SBOM firmware e scansiona CVE | Gestione vulnerabilità CRA + RM §1.1.9 |
| Valutare i rischi di sicurezza informatica | Valutazione dei rischi STRIDE con asset hardware | CRA Art. 13(2) + RM §1.1.9 |
| Segnalare le vulnerabilità all'ENISA | Flusso di notifica 24h/72h/14gg | CRA Art. 14 (da set. 2026) |
| Generare prove per la marcatura CE | Generatore DoC UE + export fascicolo tecnico | CRA Art. 22-23 + conformità RM |
| Fornire trasparenza del prodotto | Passaporto Digitale del Prodotto con codici QR | CRA + Ecodesign |
| Gestire i componenti della catena di fornitura | Verifica importatori/distributori | CRA Art. 19-20 |
Prodotti coperti
Macchine CNC, cobot, macchinari per l'imballaggio, PLC di sicurezza, robot industriali, HMI, inverter con interfacce di rete, AGV/AMR, macchine per lo stampaggio a iniezione, macchine per la lavorazione del legno con controlli digitali, macchinari connessi con monitoraggio remoto o telemetria. In sostanza qualsiasi macchina con software o connettività di rete.
Scadenze principali
11 settembre 2026: Inizia la notifica delle vulnerabilità all'ENISA. I produttori di macchinari con elementi digitali devono segnalare le vulnerabilità attivamente sfruttate entro 24 ore.
20 gennaio 2027: Piena applicazione del Regolamento UE Macchinari. Prove di sicurezza informatica richieste nei fascicoli tecnici ai sensi dell'Allegato III §1.1.9.
11 dicembre 2027: Piena applicazione del CRA. Tutti i prodotti con elementi digitali devono soddisfare i requisiti essenziali di sicurezza informatica.
Lo standard emergente: prEN 50742
prEN 50742 è il progetto di norma europea per la protezione contro la corruzione nei macchinari, che fornisce specifiche tecniche per il §1.1.9 del Regolamento Macchinari. Definisce due percorsi di conformità: un approccio autonomo e l'integrazione con IEC 62443 per i produttori che già operano in quel framework di sicurezza informatica industriale. Una volta pubblicata come norma armonizzata, la conformità con prEN 50742 creerà una presunzione di conformità con i requisiti di sicurezza informatica del Regolamento Macchinari. La pubblicazione è attesa per fine 2026.
Cosa copriamo e cosa no
CRA Evidence copre gli aspetti di conformità alla sicurezza informatica del Regolamento Macchinari: SBOM, HBOM, tracciamento delle vulnerabilità, valutazione dei rischi, segnalazioni ENISA, documentazione per la marcatura CE e Passaporti Digitali dei Prodotti.
Per la sicurezza meccanica, la sicurezza elettrica, il rumore, le vibrazioni e gli altri requisiti non informatici del Regolamento Macchinari, fare riferimento al proprio processo di conformità esistente. CRA Evidence affronta l'intersezione con la sicurezza informatica, non l'intero ambito del Regolamento Macchinari.
Fonti ufficiali
- Regolamento UE Macchinari (UE) 2023/1230, EUR-Lex. Gazzetta ufficiale, adottato il 14 giugno 2023, applicabile dal 20 gennaio 2027
- Macchinari, Commissione europea. Orientamenti e risorse di attuazione della DG GROW
- Cyber Resilience Act (UE) 2024/2847, EUR-Lex. Applicazione completa dall'11 dicembre 2027
Pronto a Iniziare il Tuo Percorso di Conformità CRA?
Settembre 2026 è più vicino di quanto sembri. Iniziate oggi stesso a documentare le prove di sicurezza informatica delle vostre macchine.