Conformità CRA per i Produttori di Macchinari
La tua macchina ha elementi digitali. La tua marcatura CE ora richiede evidenze di cybersicurezza. CRA Evidence aiuta i costruttori di macchine a conformarsi sia al Cyber Resilience Act che al Regolamento Macchine dell'UE — da un'unica piattaforma.
La realtà della doppia conformità
A partire da gennaio 2027, il Regolamento UE Macchinari (2023/1230) richiede prove di sicurezza informatica nel fascicolo tecnico (Allegato III §1.1.9 "protezione contro la corruzione"). A partire da dicembre 2027, il CRA impone la sicurezza completa del prodotto per tutto il ciclo di vita. Entrambi si applicano alle macchine con PLC, HMI, controllori embedded o connettività di rete.
Il Considerando 53 del CRA è esplicito: i prodotti già coperti da altre normative UE, incluso il Regolamento Macchinari, devono conformarsi anche al CRA laddove si applicano requisiti di sicurezza informatica. Le prove di conformità al CRA possono soddisfare i requisiti di sicurezza informatica del Regolamento Macchinari — se strutturate correttamente.
Come CRA Evidence aiuta i costruttori di macchine
| La tua esigenza | Funzionalità CRA Evidence | Soddisfa |
|---|---|---|
| Tracciare il software nelle macchine | Gestione SBOM + HBOM | CRA Allegato I + fascicolo tecnico RM |
| Analizzare il firmware embedded | Analisi firmware EMBA | Gestione vulnerabilità CRA + RM §1.1.9 |
| Valutare i rischi di sicurezza informatica | Valutazione dei rischi STRIDE con asset hardware | CRA Art. 13(2) + RM §1.1.9 |
| Segnalare le vulnerabilità all'ENISA | Flusso di notifica 24h/72h/14gg | CRA Art. 14 (da set. 2026) |
| Generare prove per la marcatura CE | Generatore DoC UE + export fascicolo tecnico | CRA Art. 22-23 + conformità RM |
| Fornire trasparenza del prodotto | Passaporto Digitale del Prodotto con codici QR | CRA + Ecodesign |
| Gestire i componenti della catena di fornitura | Verifica importatori/distributori | CRA Art. 19-20 |
Prodotti coperti
Macchine CNC, cobot, macchinari per l'imballaggio, PLC di sicurezza, robot industriali, HMI, inverter con interfacce di rete, AGV/AMR, macchine per lo stampaggio a iniezione, macchine per la lavorazione del legno con controlli digitali — in sostanza qualsiasi macchina con software o connettività di rete.
Scadenze principali
11 settembre 2026 — Inizia la notifica delle vulnerabilità all'ENISA. I produttori di macchinari con elementi digitali devono segnalare le vulnerabilità attivamente sfruttate entro 24 ore.
20 gennaio 2027 — Piena applicazione del Regolamento UE Macchinari. Prove di sicurezza informatica richieste nei fascicoli tecnici ai sensi dell'Allegato III §1.1.9.
11 dicembre 2027 — Piena applicazione del CRA. Tutti i prodotti con elementi digitali devono soddisfare i requisiti essenziali di sicurezza informatica.
Lo standard emergente: prEN 50742
Il progetto di norma europea prEN 50742 ("Sicurezza dei macchinari — Protezione contro la corruzione") fornisce specifiche tecniche per l'implementazione dei requisiti di sicurezza informatica del §1.1.9 del Regolamento Macchinari. Sono previsti due percorsi di conformità: approccio autonomo o integrazione IEC 62443. La pubblicazione è attesa per fine 2026.
Cosa copriamo — e cosa no
CRA Evidence copre gli aspetti di conformità alla sicurezza informatica del Regolamento Macchinari: SBOM, HBOM, tracciamento delle vulnerabilità, valutazione dei rischi, segnalazioni ENISA, documentazione per la marcatura CE e Passaporti Digitali dei Prodotti.
Per la sicurezza meccanica, la sicurezza elettrica, il rumore, le vibrazioni e gli altri requisiti non informatici del Regolamento Macchinari, fare riferimento al proprio processo di conformità esistente. CRA Evidence affronta l'intersezione con la sicurezza informatica — non l'intero ambito del Regolamento Macchinari.
Pronto a Iniziare il Tuo Percorso di Conformità CRA?
Settembre 2026 è più vicino di quanto pensi. Inizia oggi a documentare le evidenze di cybersicurezza dei tuoi macchinari.