What is the Cyber Resilience Act (CRA)?

The Cyber Resilience Act (Regulation 2024/2847) is the EU's regulation establishing cybersecurity requirements for products with digital elements. It covers hardware and software products placed on the EU market and requires manufacturers, importers, and distributors to ensure products are secure by design throughout their lifecycle.

When does the CRA apply?

The CRA entered into force on December 10, 2024. Reporting obligations for actively exploited vulnerabilities apply from September 11, 2026. The main obligations for manufacturers, importers, and distributors apply from December 11, 2027.

Who is affected by the CRA?

The CRA applies to manufacturers, importers, and distributors of products with digital elements placed on the EU market. This includes IoT devices, software applications, operating systems, network equipment, smart home devices, industrial control systems, firmware, and SaaS components. Open-source software stewards also have specific obligations.

How is the CRA different from NIS2?

NIS2 focuses on the cybersecurity of organisations (essential and important entities in 18 sectors), while the CRA focuses on the cybersecurity of products with digital elements. NIS2 requires organisations to implement security measures; the CRA requires product manufacturers to build security into their products. Both regulations complement each other as part of the EU's cybersecurity framework.

How does SiteGuardian help with CRA compliance?

SiteGuardian continuously monitors security properties required by the CRA: HTTPS/TLS enforcement, deprecated protocol detection, weak cipher identification, certificate expiry monitoring, security.txt (RFC 9116) for vulnerability disclosure, encryption in transit, and security header validation. It maps findings directly to CRA articles and Annex I requirements.

Regolamento UE 2024/2847

Cyber Resilience Act.
Il vostro prodotto è pronto?

Il CRA richiede che tutti i prodotti con elementi digitali sul mercato UE soddisfino i requisiti di cybersicurezza — o affrontino sanzioni fino a 15 M€. Il tempo stringe.

---

Giorni

Ore

Minuti

Secondi

fino all'11 dicembre 2027

Gli obblighi di segnalazione si applicano dall'11 settembre 2026

Scansiona il tuo prodotto ora Visualizza i piani di conformità

Il CRA si applica a voi?

Il CRA si applica a fabbricanti, importatori e distributori di prodotti con elementi digitali immessi sul mercato UE. Se il vostro prodotto contiene software o si connette a una rete, probabilmente rientra nell'ambito di applicazione.

Dispositivi IoT

Predefinito / Critico

Prodotti software

Predefinito / Critico

Apparecchiature di rete

Critico

Smart Home

Predefinito / Critico

Sistemi di controllo industriale

Critico

Applicazioni mobili

Predefinito

Servizi cloud

Predefinito / Critico

Open Source

Con obblighi

Il costo della non conformità

Requisiti essenziali

€15M

o il 2,5 % del fatturato annuo globale

a seconda di quale importo sia più elevato

Altri obblighi

€10M

o il 2 % del fatturato annuo globale

a seconda di quale importo sia più elevato

Informazioni fuorvianti

€5M

o l'1 % del fatturato annuo globale

a seconda di quale importo sia più elevato

I prodotti non conformi possono essere ritirati dal mercato UE dalle autorità di vigilanza del mercato.

Cosa richiede il CRA — e cosa monitora SiteGuardian

Il CRA definisce i requisiti essenziali di cybersicurezza per i prodotti con elementi digitali. SiteGuardian monitora continuamente quelli tecnici.

Art. 6 / Annex I

Sicuro per impostazione predefinita

Monitorati

SiteGuardian monitora l'applicazione di HTTPS, gli header HSTS, i flag di cookie sicuri e rileva credenziali predefinite o configurazioni non sicure esposte alla rete. I prodotti devono essere consegnati con impostazioni predefinite sicure.

Art. 10(1)

Nessuna vulnerabilità nota

Monitorati

SiteGuardian valida le versioni TLS, rileva protocolli obsoleti (SSLv3, TLS 1.0/1.1), identifica suite di cifratura deboli e segnala configurazioni di sicurezza errate note. I prodotti devono essere consegnati senza vulnerabilità sfruttabili note.

Art. 10(6)

Aggiornamenti di sicurezza

Monitorati

SiteGuardian monitora le date di scadenza dei certificati SSL, traccia i cambiamenti nella postura di sicurezza nel tempo e segnala le regressioni di configurazione. I fabbricanti devono fornire aggiornamenti di sicurezza tempestivi per il periodo di supporto del prodotto.

Art. 10(9)

Distinta dei materiali software (SBOM)

I fabbricanti devono identificare e documentare i componenti contenuti nei propri prodotti, inclusa una distinta dei materiali software. Questa è una misura organizzativa che richiede strumenti e processi interni.

Art. 10(10)

Divulgazione coordinata delle vulnerabilità

Monitorati

SiteGuardian rileva i file security.txt (RFC 9116), verifica la disponibilità della politica di divulgazione delle vulnerabilità e controlla le informazioni di contatto corrette. I fabbricanti devono stabilire una politica di divulgazione coordinata delle vulnerabilità.

Art. 11

Obblighi di segnalazione

Monitorati

Da settembre 2026, i fabbricanti devono segnalare le vulnerabilità attivamente sfruttate a ENISA entro 24 ore. SiteGuardian fornisce rilevamento degli incidenti, classificazione e tracciamento delle scadenze di notifica per la conformità normativa.

Art. 13

Valutazione di conformità

I prodotti devono sottoporsi a una valutazione di conformità prima di essere immessi sul mercato UE. I prodotti di categoria predefinita possono autovalutarsi; i prodotti critici richiedono audit di terze parti. Questa è una misura organizzativa.

Annex I.2

Proprietà di sicurezza

Monitorati

SiteGuardian verifica la crittografia in transito (TLS 1.2+), valida i meccanismi di controllo degli accessi, controlla l'integrità dei dati attraverso configurazioni sicure degli header e monitora l'esposizione non autorizzata dei dati. I prodotti devono proteggere riservatezza, integrità e disponibilità.

Iniziate a prepararvi oggi

Scansionate l'interfaccia web del vostro prodotto per vedere a che punto siete. SiteGuardian associa ogni risultato agli articoli del CRA — così sapete esattamente cosa correggere.

Scansione di sicurezza gratuita Visualizza i piani di conformità

Gratuito per sempre per 1 monitor. Nessuna carta di credito richiesta.

Domande frequenti

Cos'è il Cyber Resilience Act (CRA)?

Il CRA (Regolamento 2024/2847) è il regolamento UE che stabilisce requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali. Copre sia i prodotti hardware che software immessi sul mercato UE e richiede ai fabbricanti di garantire che i prodotti siano sicuri per progettazione durante l'intero ciclo di vita.

Quando si applica il CRA?

Il CRA è entrato in vigore il 10 dicembre 2024. Gli obblighi di segnalazione per le vulnerabilità attivamente sfruttate e gli incidenti gravi si applicano dall'11 settembre 2026. Gli obblighi principali per fabbricanti, importatori e distributori — inclusa la valutazione di conformità e la marcatura CE — si applicano dall'11 dicembre 2027.

Chi è interessato dal CRA?

Il CRA si applica a fabbricanti, importatori e distributori di prodotti con elementi digitali immessi sul mercato UE. Questo include dispositivi IoT, applicazioni software, sistemi operativi, apparecchiature di rete, dispositivi smart home, sistemi di controllo industriale, applicazioni mobili e componenti di servizi cloud. Gli steward del software open source hanno obblighi specifici ma più leggeri.

In che modo il CRA differisce dalla NIS2?

La NIS2 si concentra sulla cybersicurezza delle organizzazioni — le entità essenziali e importanti di 18 settori devono implementare misure di sicurezza. Il CRA si concentra sulla cybersicurezza dei prodotti — i fabbricanti devono integrare la sicurezza nei propri prodotti prima di immetterli sul mercato UE. Entrambi i regolamenti sono complementari: la NIS2 protegge gli operatori, il CRA protegge i prodotti che utilizzano.

Come aiuta SiteGuardian con la conformità al CRA?

SiteGuardian monitora continuamente le proprietà tecniche di sicurezza richieste dal CRA: applicazione HTTPS/TLS, rilevamento di protocolli obsoleti, identificazione di cifrature deboli, monitoraggio della scadenza dei certificati, security.txt per la divulgazione delle vulnerabilità, crittografia in transito e validazione degli header di sicurezza. Tutti i risultati sono associati agli articoli del CRA e ai requisiti dell'Allegato I, fornendovi una panoramica chiara della conformità.

Cyber Resilience Act. Il vostro prodotto è pronto?

Il CRA si applica a voi?

Il costo della non conformità

Cosa richiede il CRA — e cosa monitora SiteGuardian

Sicuro per impostazione predefinita

Nessuna vulnerabilità nota

Aggiornamenti di sicurezza

Distinta dei materiali software (SBOM)

Divulgazione coordinata delle vulnerabilità

Obblighi di segnalazione

Valutazione di conformità

Proprietà di sicurezza

Iniziate a prepararvi oggi

Domande frequenti

È sicuro?

Cyber Resilience Act.
Il vostro prodotto è pronto?