Attuazione e guida del programma

Implementazione tecnica e guida di programma per il Cyber Resilience Act dell'UE.

Le serve qualcuno che si occupi del suo programma CRA? Guidiamo il lavoro tecnico al fianco del suo team, usando gli strumenti che si adattano al suo stack.

Prenoti una roadmap call CRA gratuita
Nuovo al Cyber Resilience Act? Consulti la nostra guida gratuita alla conformità CRA
Come collaboriamo

Tre situazioni, tre incarichi.

Ogni incarico corrisponde a una situazione specifica: preparazione alla scadenza di segnalazione dell'11 settembre 2026, gestione del lavoro CRA trasversale che il suo team non ha capacità di presidiare, o preparazione alla prima vulnerabilità segnalabile o alla prima lettera di un'autorità.

Il perimetro è fisso e concordato in anticipo. La durata si discute nella roadmap call, perché le tempistiche reali dipendono dal numero di prodotti e dal lavoro preparatorio già esistente.

Scelga quello adatto alla sua situazione

CRA Technical Readiness Sprint

Incarico a perimetro fisso
A chi si rivolge

Fabbricanti senza referente CRA interno, con una o tre linee di prodotto, in preparazione per la scadenza di segnalazione dell'11 settembre 2026.

Cosa si porta a casa
  • Una nota di perimetro CRA scritta per ciascuna linea di prodotto, che copre gli obblighi dell'Articolo 13 e le decisioni di classificazione
  • Una valutazione delle lacune per priorità rispetto all'Allegato I, con un piano di rimedio che il suo responsabile dell'ingegneria può eseguire
  • Un fascicolo tecnico allineato all'Allegato VII, firmato dal suo responsabile dell'ingegneria
  • Un processo operativo di gestione delle vulnerabilità che il suo team esegue in modo continuativo, non una scansione una tantum
  • Un runbook scritto di segnalazione delle vulnerabilità allineato alle tempistiche dell'Articolo 14
Perimetro e prezzo definiti nella roadmap call.

CRA Programme Lead

Retainer continuativo, cadenza concordata con il suo team
A chi si rivolge

Aziende in cui nessuno ha la responsabilità del lavoro CRA trasversale e il fondatore o il CTO lo sta gestendo in modo informale.

Cosa si porta a casa
  • Responsabilità tecnica del suo programma CRA, con un ritmo di lavoro concordato con i suoi team di prodotto, ingegneria e sicurezza
  • Un calendario degli obblighi sempre aggiornato e legato alle scadenze CRA, che evolve insieme a obblighi e norme
  • Un fascicolo tecnico che resta aggiornato al rilascio dei suoi prodotti, non un documento che si deteriora tra un audit e l'altro
  • Un processo operativo di risposta alle vulnerabilità che il suo ingegnere di reperibilità può eseguire senza ambiguità
  • Revisioni periodiche di conformità rispetto agli obblighi dell'Allegato I, con percorsi di escalation concordati in anticipo
Perimetro e prezzo definiti nella roadmap call.

Piano di risposta per autorità e incidenti

Incarico di setup più retainer di reperibilità
A chi si rivolge

Team la cui vera preoccupazione è la prima vulnerabilità segnalabile o la prima lettera di ENISA o di un'autorità nazionale.

Cosa si porta a casa
  • Un playbook scritto di risposta agli incidenti che il suo ingegnere di reperibilità può eseguire nei tempi di segnalazione dell'Articolo 14
  • Modelli di allerta precoce e di notifica incidenti già predisposti per ciascun CSIRT nazionale a cui deve notificare
  • Una finestra di risposta in reperibilità che copre gli incidenti segnalabili durante il periodo di retainer
  • Un runbook per produrre un pacchetto di prove completo quando un'autorità di vigilanza del mercato lo richiede
Perimetro e prezzo definiti nella roadmap call.

Prezzo per incarico

Non pubblichiamo fasce di prezzo. La forma di un incarico CRA dipende dal suo ruolo ai sensi del Regolamento, dalla complessità tecnica dei suoi prodotti e dal lavoro preparatorio già esistente. Una startup con un solo prodotto embedded complesso è un incarico diverso rispetto a un fabbricante con una dozzina di SKU più semplici. La cifra esatta si concorda nella roadmap call di 30 minuti, con proposta scritta a perimetro definito entro 48 ore.

Lavoriamo con gli strumenti che già utilizza

Ogni incarico è tool-agnostic. Guidiamo il lavoro tecnico all'interno del suo stack, che si tratti di open source (CycloneDX, SPDX, Grype, Trivy), strumenti commerciali che già paga o sistemi interni che il suo team ha sviluppato. Dove la piattaforma CRA Evidence è la soluzione giusta la proporremo, ma non è mai un requisito né il deliverable. I deliverable sono i risultati di conformità.

Perché funziona

Abbiamo costruito CRA Evidence sul testo integrale del Regolamento (UE) 2024/2847, degli Allegati da I a VIII e delle 41 norme armonizzate previste dalla richiesta di normazione della Commissione M/606. La piattaforma mappa ogni obbligo su prova, flusso di lavoro e reportistica. La stessa mappatura guida ogni incarico.

CRA Evidence è stato costruito da ingegneri con esperienza in infrastruttura e cloud security presso aziende tecnologiche europee. La piattaforma e ogni incarico riflettono quel percorso operativo.

Accettiamo un numero limitato di nuovi programmi CRA ogni trimestre per mantenere alta la qualità di delivery. Ogni incarico è guidato dalle stesse persone senior che costruiscono la piattaforma.

Cosa accade nella call di 30 minuti

Una conversazione di lavoro, non una presentazione commerciale. Copre tre punti, in ordine:

1
Il suo ruolo ai sensi del Regolamento. Fabbricante, importatore e distributore hanno obblighi diversi. Chiarirlo definisce quale incarico è adatto.
2
Quale incarico è adatto, o se la sola piattaforma è la scelta giusta. Non tutte le aziende hanno bisogno di supporto di attuazione. Se la sola piattaforma è la soluzione migliore, glielo diremo.
3
Una proposta a perimetro definito entro 48 ore. Dopo la call riceve una proposta scritta con perimetro, deliverable e prezzo per la sua situazione specifica.

Perimetro e limiti

CRA Evidence fornisce una piattaforma di conformità e servizi di attuazione tecnica. Siamo trasparenti su ciò che siamo e su ciò che non siamo.

Non siamo un organismo notificato. Non effettuiamo la valutazione della conformità ai sensi dell'Articolo 32 del Regolamento (UE) 2024/2847 e i nostri servizi non costituiscono una valutazione della conformità né una certificazione dei suoi prodotti. Se il suo prodotto richiede una valutazione della conformità da parte di terzi, deve rivolgersi a un organismo notificato accreditato.

Non siamo uno studio legale. Non forniamo consulenza legale. Per l'interpretazione normativa, i pareri legali sulla classificazione del prodotto o le questioni di conformità contrattuale, collaboriamo con i suoi consulenti legali.

Siamo un fornitore commerciale della piattaforma CRA Evidence. I nostri servizi di attuazione sono indipendenti dalla piattaforma: lavoriamo con qualsiasi strumento si adatti alla sua situazione, inclusi open source, software commerciale di terze parti che già paga e la nostra piattaforma dove è la soluzione migliore. Se le sue esigenze sono servite meglio da strumenti o servizi esterni al nostro prodotto, glielo diremo.

Domande frequenti

Entrambi, e sono indipendenti. CRA Evidence è una piattaforma SaaS per la conformità al Cyber Resilience Act dell'UE che può usare in self-service, e offriamo anche servizi operativi di attuazione guidati da ingegneri infrastrutturali. I servizi sono tool-agnostic: lavoriamo all'interno del suo stack attuale usando open source, strumenti commerciali che già paga o la nostra piattaforma se è la soluzione più adatta. Esistono tre incarichi a perimetro fisso: un Technical Readiness Sprint per i fabbricanti che si preparano alla scadenza di segnalazione dell'11 settembre 2026, un retainer di Programme Lead per la responsabilità tecnica continuativa del suo programma CRA e un Piano di risposta per autorità e incidenti per la segnalazione di vulnerabilità e le richieste delle autorità di vigilanza del mercato.

Non pubblichiamo fasce di prezzo perché il perimetro dipende da troppe variabili concrete: il suo ruolo ai sensi del Regolamento, la complessità tecnica di ciascun prodotto, quanti prodotti rilascia, quanto lavoro preparatorio interno esiste già e quali strumenti già utilizza. Una startup con un solo prodotto embedded complesso è un incarico diverso rispetto a un fabbricante con una dozzina di SKU più semplici. La cifra esatta si concorda in una roadmap call di 30 minuti, con una proposta scritta a perimetro definito nella sua casella di posta entro 48 ore.

No in entrambi i casi. CRA Evidence non è un organismo notificato. Non effettuiamo la valutazione della conformità ai sensi dell'Articolo 32 del Regolamento (UE) 2024/2847 e i nostri servizi non costituiscono una certificazione dei suoi prodotti. Se il suo prodotto richiede una valutazione della conformità da parte di terzi, deve rivolgersi a un organismo notificato accreditato. CRA Evidence non è nemmeno uno studio legale. Per l'interpretazione normativa e i pareri legali collaboriamo con i suoi consulenti legali.

Le società Big Four offrono consulenza strategica e legale, ma raramente costruiscono o gestiscono i sistemi tecnici che rendono durevole la conformità CRA. Gli incarichi di CRA Evidence sono guidati da ingegneri di infrastruttura e cloud security che lavorano al fianco del suo team di ingegneria per redigere il fascicolo tecnico, avviare un processo di gestione delle vulnerabilità e integrare la generazione delle prove nelle sue pipeline esistenti. I deliverable sono operativi, attivi all'interno del suo stack, non una presentazione.

CTO, VP of Engineering, responsabili della sicurezza di prodotto e responsabili della conformità presso fabbricanti, importatori o distributori UE di prodotti con elementi digitali. La call è più utile quando sa già di avere obblighi CRA ma nessuno nel suo team ha la capacità di assumere la responsabilità del lavoro trasversale. Se sta ancora valutando se il CRA si applica alla sua situazione, inizi con il CRA Applicability Check gratuito.

Il Cyber Resilience Act si applica a qualsiasi fabbricante, importatore o distributore che immette prodotti con elementi digitali sul mercato UE, in tutti i settori e per qualsiasi dimensione aziendale. I nostri incarichi sono più utili quando gli obblighi CRA sono reali ma nessun team interno ha ancora la responsabilità del lavoro trasversale, che si tratti di una startup di 15 persone che rilascia il suo primo prodotto connesso o di un fabbricante più grande con decine di linee di prodotto. Se non è sicuro che la sua situazione rientri nel perimetro, prenoti la roadmap call e glielo diremo con franchezza.

Sì. Piattaforma e servizi sono indipendenti. Può utilizzare la piattaforma CRA Evidence in self-service con una prova gratuita di 14 giorni e prezzi basati sul ruolo, senza mai rivolgersi a noi per consulenza. I servizi sono pensati per le aziende in cui nessuno internamente ha la responsabilità del lavoro trasversale CRA, o in cui la prima vulnerabilità segnalabile o la prima lettera di un'autorità è una preoccupazione concreta. E i servizi non richiedono la nostra piattaforma: l'incarico funziona con qualsiasi strumento si adatti al suo stack. Consulti i prezzi per i piani self-service.

Il Cyber Resilience Act si applica a qualsiasi azienda che immette prodotti con elementi digitali sul mercato UE, indipendentemente dal paese in cui ha sede. Gli incarichi di servizi sono attualmente erogati in inglese ad aziende dell'Unione Europea. Fabbricanti, importatori e distributori extra-UE con esposizione al mercato UE sono invitati a prenotare una roadmap call per discutere la compatibilità.

L'11 settembre 2026 è la data a partire dalla quale diventano applicabili gli obblighi di segnalazione di vulnerabilità e incidenti previsti dall'Articolo 14 del Regolamento (UE) 2024/2847. I fabbricanti devono essere in grado di notificare a ENISA e al CSIRT nazionale competente le vulnerabilità attivamente sfruttate e gli incidenti gravi entro 24 ore, con una notifica di aggiornamento a 72 ore e una relazione finale a 14 giorni. Il CRA diventa applicabile l'11 dicembre 2027. Consulti la nostra guida alla conformità CRA per la timeline completa.
Prossimo passo

Se la sua situazione rientra in uno dei tre incarichi, o se non è sicuro dove si collochi, ce lo racconti e le risponderemo entro 48 ore.

Riceverà nella casella di posta una proposta scritta dettagliata, senza pressione per procedere.

Contattaci

Preferisce prenotare direttamente uno slot? Prenoti una roadmap call di 30 minuti.