Implementazione tecnica e guida di programma per il Regolamento sulla ciberresilienza dell'UE

Le serve qualcuno che si occupi del suo programma CRA? Guidiamo il lavoro tecnico al fianco del suo team, usando gli strumenti che si adattano al suo stack.

Gli obblighi di notifica CRA iniziano l'11 settembre 2026. Pianifichi il programma adesso.

Prenoti una roadmap call CRA gratuita
Nuovo al Regolamento sulla ciberresilienza? Consulti la nostra guida gratuita alla conformità CRA
Come collaboriamo

Tre punti di partenza comuni. Ogni incarico si adatta alla sua situazione.

Queste sono le tre situazioni che vediamo più spesso: prepararsi alla scadenza di notifica dell'11 settembre 2026, farsi carico del lavoro trasversale sul CRA che il suo team non ha la capacità di gestire, oppure prepararsi alla prima vulnerabilità da notificare o alla prima lettera di un'autorità. La maggior parte degli incarichi è un mix, e molti non somigliano affatto a questo elenco. Ci adattiamo alla situazione in cui si trova davvero.

Il perimetro è fisso e concordato in anticipo. La durata si discute nella roadmap call, perché le tempistiche reali dipendono dal numero di prodotti e dal lavoro preparatorio già esistente.

Da dove iniziano di solito i team

Sprint di preparazione tecnica CRA

A chi si rivolge

Fabbricanti senza referente CRA interno, con una o tre linee di prodotto, che devono essere pronti per le segnalazioni ai sensi dell'Articolo 14 dall'11 settembre 2026 mentre costruiscono il fascicolo tecnico e i controlli dell'Allegato I richiesti per la piena applicazione del CRA l'11 dicembre 2027.

Che cosa riceve
  • Una nota di perimetro CRA scritta per ciascuna linea di prodotto, che copre gli obblighi dell'Articolo 13 e le decisioni di classificazione
  • Una valutazione delle lacune per priorità rispetto all'Allegato I, con un piano di rimedio che il suo responsabile dell'ingegneria può eseguire
  • Documentazione tecnica CRA allineata all'Allegato VII, firmata dal tuo responsabile dell'ingegneria
  • Un processo operativo di gestione delle vulnerabilità che il suo team esegue in modo continuativo, non una scansione una tantum
  • Un runbook scritto di segnalazione delle vulnerabilità allineato alle tempistiche dell'Articolo 14

Direzione del programma CRA

A chi si rivolge

Aziende in cui nessuno ha la responsabilità del lavoro CRA trasversale e il fondatore o il CTO lo sta gestendo in modo informale.

Di cosa ci facciamo carico
  • Responsabilità del programma CRA, con CRA Evidence che coordina il lavoro di prodotto, ingegneria, sicurezza e direzione
  • Supporto all'implementazione per controlli tecnici, lacune nelle evidenze e questioni di perimetro che bloccano l'avanzamento
  • Un calendario degli obblighi sempre aggiornato, legato a scadenze CRA, rilasci di prodotto, norme e responsabilità ancora aperte
  • Un fascicolo tecnico che manteniamo aggiornato mentre i suoi prodotti vengono rilasciati, così le evidenze non diventano obsolete tra un audit e l'altro
  • Responsabilità operativa della risposta alle vulnerabilità, con revisioni rispetto agli obblighi dell'Allegato I e percorsi di escalation concordati

Piano di risposta per autorità e incidenti

A chi si rivolge

Team la cui vera preoccupazione è la prima vulnerabilità segnalabile o la prima lettera di ENISA o di un'autorità nazionale.

Che cosa rientra nel perimetro
  • Un playbook scritto di risposta agli incidenti che il suo ingegnere di reperibilità può eseguire nei tempi di segnalazione dell'Articolo 14
  • Modelli di allerta precoce e di notifica incidenti già predisposti per ciascun CSIRT nazionale a cui deve notificare
  • Una finestra di risposta in reperibilità che copre gli incidenti segnalabili durante il periodo di retainer
  • Un runbook per produrre un pacchetto di prove completo quando un'autorità di vigilanza del mercato lo richiede
Non rientra in questo elenco?

La sua situazione è diversa?

Molti team non rientrano con precisione in una delle tre, ed è del tutto normale. La maggior parte degli incarichi finisce per essere un mix, e alcuni sono qualcosa di completamente diverso. Ci dica con cosa ha davvero a che fare e progettiamo un incarico su misura. Nella call di roadmap definiamo la forma giusta, o se il self-service è la scelta migliore.

Prenoti una roadmap call CRA gratuita →

Prezzo per incarico

Non pubblichiamo fasce di prezzo. La forma di un incarico CRA dipende dal suo ruolo ai sensi del Regolamento, dalla complessità tecnica dei suoi prodotti e dal lavoro preparatorio già esistente. Una startup con un solo prodotto embedded complesso è un incarico diverso rispetto a un fabbricante con una dozzina di SKU più semplici. La cifra esatta si concorda nella roadmap call di 30 minuti, con proposta scritta a perimetro definito entro 48 ore.

Lavoriamo con gli strumenti che già utilizza

Ogni incarico è tool-agnostic. Guidiamo il lavoro tecnico all'interno del suo stack, che si tratti di open source (CycloneDX, SPDX, Grype, Trivy), strumenti commerciali che già paga o sistemi interni che il suo team ha sviluppato. Dove la piattaforma CRA Evidence è la soluzione giusta la proporremo, ma non è mai un requisito né il deliverable. I deliverable sono i risultati di conformità.

Perché funziona

Abbiamo costruito CRA Evidence sul testo integrale del Regolamento (UE) 2024/2847, degli Allegati da I a VIII e delle 41 norme armonizzate previste dalla richiesta di normazione della Commissione M/606. La piattaforma mappa ogni obbligo su prova, flusso di lavoro e reportistica. La stessa mappatura guida ogni incarico.

CRA Evidence è stato costruito da ingegneri che hanno rilasciato prodotti, gestito programmi di vulnerabilità e mantenuto evidenze tecniche presso aziende tecnologiche europee. La piattaforma e ogni incarico riflettono quel background operativo.

Accettiamo un numero limitato di nuovi programmi CRA ogni trimestre per mantenere alta la qualità di delivery. Ogni incarico è guidato dalle stesse persone senior che costruiscono la piattaforma.

Cosa accade nella call di 30 minuti

Una conversazione di lavoro, non una presentazione commerciale. Copre tre punti, in ordine:

1
Il suo ruolo ai sensi del Regolamento. Gli obblighi di fabbricante e importatore cambiano. I casi solo da distributore di solito sono gestiti meglio con una guida self-service, e chiarirlo definisce quale incarico è adatto.
2
Quale incarico è adatto, o se la sola piattaforma è la scelta giusta. Non tutte le aziende hanno bisogno di supporto di attuazione. Se la sola piattaforma è la soluzione migliore, glielo diremo.
3
Una proposta a perimetro definito entro 48 ore. Dopo la call riceve una proposta scritta con perimetro, deliverable e prezzo per la sua situazione specifica.

Perimetro e limiti

CRA Evidence fornisce una piattaforma di conformità e servizi di attuazione tecnica. Siamo trasparenti su ciò che siamo e su ciò che non siamo.

Non siamo un organismo notificato. Non effettuiamo la valutazione della conformità ai sensi dell'Articolo 32 del Regolamento (UE) 2024/2847 e i nostri servizi non costituiscono una valutazione della conformità né una certificazione dei suoi prodotti. Se il suo prodotto richiede una valutazione della conformità da parte di terzi, deve rivolgersi a un organismo notificato accreditato.

Non siamo uno studio legale. Non forniamo consulenza legale. Per l'interpretazione normativa, i pareri legali sulla classificazione del prodotto o le questioni di conformità contrattuale, collaboriamo con i suoi consulenti legali.

Siamo un fornitore commerciale della piattaforma CRA Evidence. I nostri servizi di attuazione sono indipendenti dalla piattaforma: lavoriamo con qualsiasi strumento si adatti alla sua situazione, inclusi open source, software commerciale di terze parti che già paga e la nostra piattaforma dove è la soluzione migliore. Se le sue esigenze sono servite meglio da strumenti o servizi esterni al nostro prodotto, glielo diremo.

Domande frequenti

Entrambi, e sono indipendenti. CRA Evidence è una piattaforma SaaS per la conformità al Regolamento sulla ciberresilienza dell'UE che può usare in self-service, e offriamo anche servizi operativi di attuazione guidati da ingegneri infrastrutturali. I servizi sono tool-agnostic: lavoriamo all'interno del suo stack attuale usando open source, strumenti commerciali che già paga o la nostra piattaforma se è la soluzione più adatta. Tre incarichi coprono le situazioni più comuni: uno Sprint di preparazione tecnica per i fabbricanti che si preparano alla scadenza di segnalazione dell'11 settembre 2026, un retainer di Direzione del programma per la responsabilità tecnica continuativa del suo programma CRA e un Piano di risposta per autorità e incidenti per la segnalazione di vulnerabilità e le richieste delle autorità di vigilanza del mercato. La maggior parte degli incarichi è una combinazione di questi e, quando la sua situazione non corrisponde a nessuno, definiamo un incarico su misura.

Non pubblichiamo fasce di prezzo perché il perimetro dipende da troppe variabili concrete: il suo ruolo ai sensi del Regolamento, la complessità tecnica di ciascun prodotto, quanti prodotti rilascia, quanto lavoro preparatorio interno esiste già e quali strumenti già utilizza. Una startup con un solo prodotto embedded complesso è un incarico diverso rispetto a un fabbricante con una dozzina di SKU più semplici. La cifra esatta si concorda in una roadmap call di 30 minuti, con una proposta scritta a perimetro definito nella sua casella di posta entro 48 ore.

No in entrambi i casi. CRA Evidence non è un organismo notificato. Non effettuiamo la valutazione della conformità ai sensi dell'Articolo 32 del Regolamento (UE) 2024/2847 e i nostri servizi non costituiscono una certificazione dei suoi prodotti. Se il suo prodotto richiede una valutazione della conformità da parte di terzi, deve rivolgersi a un organismo notificato accreditato. CRA Evidence non è nemmeno uno studio legale. Per l'interpretazione normativa e i pareri legali collaboriamo con i suoi consulenti legali.

Le Big Four forniscono consulenza strategica e legale, ma raramente costruiscono o gestiscono i sistemi tecnici che rendono durevole la conformità al CRA. Gli incarichi di CRA Evidence sono guidati da ingegneri che lavorano insieme al suo team per scrivere il fascicolo tecnico, impostare un processo di gestione delle vulnerabilità e integrare la generazione di evidenze nelle pipeline esistenti. I deliverable sono operativi, funzionano dentro il suo stack, non una presentazione di slide.

CTO, VP of Engineering, responsabili della sicurezza di prodotto e responsabili della conformità presso fabbricanti o importatori che immettono sul mercato UE prodotti con elementi digitali. La call è più utile quando sa già di avere obblighi CRA ma nessuno nel suo team ha la capacità di assumere la responsabilità del lavoro trasversale. Se sta ancora valutando se il CRA si applica alla sua situazione, inizi con il CRA Applicability Check gratuito.

Qualsiasi settore, qualsiasi dimensione. Il CRA si applica trasversalmente, sia che siate una startup di 15 persone che spedisce il primo prodotto connesso o un fabbricante con decine di linee di prodotto. Gli incarichi sono più utili quando gli obblighi CRA sono reali ma nessun team interno è ancora proprietario del lavoro trasversale.

Sì. Piattaforma e servizi sono indipendenti. Può utilizzare la piattaforma CRA Evidence in self-service con una prova gratuita di 14 giorni e prezzi basati sul ruolo, senza mai rivolgersi a noi per consulenza. I servizi sono pensati per le aziende in cui nessuno internamente ha la responsabilità del lavoro trasversale CRA, o in cui la prima vulnerabilità segnalabile o la prima lettera di un'autorità è una preoccupazione concreta. E i servizi non richiedono la nostra piattaforma: l'incarico funziona con qualsiasi strumento si adatti al suo stack. Consulti i prezzi per i piani self-service.

Sì. Il Regolamento sulla ciberresilienza si applica a qualsiasi azienda che immetta sul mercato dell'UE prodotti con elementi digitali, indipendentemente da dove sia la sede dell'azienda. Se spedite prodotti nell'UE, siete nell'ambito di applicazione e possiamo aiutarvi. Gli incarichi sono erogati in inglese.

L'11 settembre 2026 è la data a partire dalla quale diventano applicabili gli obblighi di segnalazione di vulnerabilità e incidenti previsti dall'Articolo 14 del Regolamento (UE) 2024/2847. I fabbricanti devono essere in grado di notificare a ENISA e al CSIRT nazionale competente le vulnerabilità attivamente sfruttate e gli incidenti gravi entro 24 ore, con una notifica di aggiornamento a 72 ore e una relazione finale a 14 giorni per le vulnerabilità o entro un mese per gli incidenti gravi. Il CRA diventa applicabile l'11 dicembre 2027. Consulti la nostra guida alla conformità CRA per la timeline completa.
Prossimo passo

Se uno di questi incarichi è adatto, ci dica quale. Se la sua esigenza di implementazione CRA è diversa, ci dica su cosa le serve aiuto.

Riceverà nella casella di posta una proposta scritta dettagliata, senza pressione per procedere.

Ci contatti

Preferisce prenotare direttamente uno slot? Prenoti una roadmap call di 30 minuti.