CRA vs. RED / EN 18031: quale si applica al mio dispositivo, e quando?
Il Cyber Resilience Act (CRA) dell'UE e la Direttiva sulle apparecchiature radio (RED) con la EN 18031 sono due leggi distinte che spesso colpiscono lo stesso prodotto. Questa guida e uno strumento decisionale pratico, prodotto per prodotto: capire se il tuo dispositivo necessita di RED/EN 18031, del CRA, di entrambi o di nessuno - e entro quale scadenza scatta ciascun obbligo.
23 giugno 2026
Punti chiave

La Direttiva sulle apparecchiature radio (RED) con lo standard armonizzato EN 18031 e il Cyber Resilience Act (CRA) dell'UE sono due leggi distinte dell'UE. Non sono lo stesso regime e l'una non contiene l'altra. La RED e ristretta: si applica alle apparecchiature radio. Il CRA e ampio: si applica a quasi tutti i prodotti con elementi digitali. Molti prodotti connessi rientrano in entrambi, ma per motivi diversi e con tempistiche diverse.
RED/EN 18031 e il regime ristretto, solo radio: si applica alle apparecchiature che trasmettono o ricevono intenzionalmente onde radio, e la EN 18031 e lo standard armonizzato usato per dimostrare gli articoli sulla cybersicurezza - RED articoli 3.3(d), 3.3(e) e 3.3(f) - tramite il Regolamento Delegato (UE) 2022/30.
Il CRA e il regime ampio e orizzontale: il Regolamento (UE) 2024/2847 si applica a qualsiasi prodotto con elementi digitali - hardware o software - dotato di una connessione dati diretta o indiretta, a meno che non rientri in un settore escluso (dispositivi medici, diagnostici in vitro, veicoli a motore, equipaggiamento marittimo, aviazione civile o sicurezza nazionale/difesa).
Il CRA non usa la EN 18031: il CRA non nomina alcuno standard tecnico specifico. La conformita si dimostra rispetto ai propri requisiti dell'Allegato I, con la presunzione di conformita derivante solo da standard armonizzati pubblicati nella Gazzetta Ufficiale, specifiche comuni o uno schema europeo di certificazione della cybersicurezza.
Il CRA copre cio che la RED non copre: sicurezza fin dalla progettazione lungo il ciclo di vita, un periodo di supporto obbligatorio con aggiornamenti di sicurezza gratuiti, un SBOM e la gestione coordinata delle vulnerabilita, e la segnalazione obbligatoria di vulnerabilita attivamente sfruttate e incidenti gravi all'ENISA e a un CSIRT.
Regola pratica sulla direzionalita: un prodotto che necessita della RED necessitera quasi sempre anche del CRA - ma la maggior parte dei prodotti CRA (software puro, hardware solo cablato o non radio) non tocca mai la RED.
La risposta breve: due leggi distinte, ambiti diversi

Il modo piu chiaro per pensarci: RED/EN 18031 e un piccolo cerchio specifico all'interno del cerchio molto piu grande del CRA. Quasi ogni dispositivo radio e anche un prodotto con elementi digitali, quindi rientra anche nell'ambito del CRA. Ma non vale il contrario: la grande maggioranza dei prodotti coperti dal CRA non sono affatto apparecchiature radio.
La RED si applica solo alle apparecchiature radio: prodotti che emettono o ricevono intenzionalmente onde radio per comunicazione o radiodeterminazione (Wi-Fi, Bluetooth, cellulare, Zigbee e cosi via). I suoi requisiti essenziali di cybersicurezza - articoli 3.3(d) (protezione della rete), 3.3(e) (privacy e dati personali) e 3.3(f) (prevenzione delle frodi) - si soddisfano in pratica applicando la EN 18031, lo standard armonizzato che garantisce una presunzione di conformita.
Il CRA si applica a qualsiasi prodotto con elementi digitali messo a disposizione sul mercato dell'UE il cui uso previsto o ragionevolmente prevedibile includa una connessione dati diretta o indiretta, logica o fisica con un dispositivo o una rete. Questa definizione e volutamente ampia: copre hardware e software autonomo, incluse le soluzioni di trattamento dati a distanza di cui il produttore e responsabile. Le esclusioni rigide del CRA sono settoriali: prodotti gia regolati dal Regolamento sui dispositivi medici, dal Regolamento sui dispositivi medico-diagnostici in vitro, dal regolamento sull'omologazione dei veicoli a motore, dalla normativa sull'equipaggiamento marittimo o dalla certificazione dell'aviazione civile, piu tutto cio che e sviluppato esclusivamente per sicurezza nazionale, difesa o uso classificato.
Soprattutto, le apparecchiature radio non sono escluse dal CRA. Le esclusioni settoriali del CRA non elencano le apparecchiature radio, quindi un prodotto wireless connesso rientra nell'ambito di entrambe le leggi. I due regimi regolano semplicemente aspetti diversi del prodotto, ed e per questo che coesistono invece di annullarsi a vicenda. Per l'approfondimento concettuale su come i due si relazionano, consulta il nostro articolo complementare EN 18031 e il Cyber Resilience Act dell'UE.
Guida decisionale: il mio dispositivo necessita di RED, CRA, entrambi o nessuno?

Esamina queste domande sul tuo prodotto specifico. Nella quasi totalita dei casi conducono a uno di quattro esiti: solo RED, solo CRA, Entrambi o Nessuno.
Domanda 1 - E un'apparecchiatura radio?
Il prodotto trasmette o riceve intenzionalmente onde radio per comunicazione o radiodeterminazione (Wi-Fi, Bluetooth, cellulare, LoRa, Zigbee, NFC, GNSS, ecc.)? Se si, si applica la RED e la EN 18031 e il tuo percorso pratico per dimostrare i requisiti essenziali di cybersicurezza. Se no, la RED non si applica: passa alla Domanda 3.
Domanda 2 - E escluso dal CRA per settore?
Il prodotto e regolato da un regime settoriale a cui il CRA cede il passo - un dispositivo medico, un dispositivo diagnostico in vitro, un veicolo a motore omologato, un equipaggiamento marittimo, un prodotto certificato per l'aviazione civile - oppure e sviluppato esclusivamente per sicurezza nazionale, difesa o uso classificato? Se si, il CRA non si applica (il regime settoriale porta con se le regole di cybersicurezza). Se no, continua.
Domanda 3 - Ha una connessione dati ed elementi digitali?
E un prodotto con elementi digitali - hardware o software - il cui uso previsto o prevedibile include una connessione dati diretta o indiretta con un dispositivo o una rete? Se si, il CRA si applica. Se no (un prodotto realmente autonomo, privo di codice e di qualsiasi connessione dati logica o fisica), il CRA non si applica.
Leggi il tuo esito
Radio + non escluso per settore + connesso → Entrambi. Applica la EN 18031 per la RED ora e preparati agli obblighi di ciclo di vita e segnalazione del CRA in aggiunta. E il caso piu comune per i prodotti wireless connessi.
Non radio + non escluso per settore + connesso → Solo CRA. Soddisfa direttamente i requisiti essenziali dell'Allegato I e gli obblighi di ciclo di vita del CRA; la RED non si applica mai.
Radio + escluso dal CRA per settore → Solo RED (il tuo regime settoriale gestisce il resto). Un modulo radio all'interno di un dispositivo medico regolato e l'esempio classico.
Niente radio + nessuna connessione dati / elementi digitali rilevanti → Nessuno ai sensi di queste due leggi (altre norme potrebbero comunque applicarsi).
In caso di dubbio, presumi Entrambi per un prodotto wireless connesso. E il default di pianificazione sicuro, e il lavoro si sovrappone.
Esempi pratici: dispositivi reali, verdetti reali
La guida decisionale e piu facile da fidarsi quando la si vede applicata a prodotti concreti. Ecco cinque profili comuni e il verdetto a cui arriva ciascuno.
| Prodotto | Radio? | CRA nell'ambito? | Verdetto |
|---|---|---|---|
Videocamera smart Wi-Fi / gateway IoT | Si | Si | Entrambi - EN 18031 per la RED ora; ciclo di vita + segnalazione CRA dal 2026/2027 |
Software desktop o server (no radio) | No | Si | Solo CRA - soddisfa l'Allegato I direttamente; la RED non si applica mai |
PLC / controller industriale solo cablato | No | Si (connessione dati, elementi digitali) | Solo CRA |
Token di pagamento Bluetooth (gestisce denaro + radio) | Si | Si | Entrambi - EN 18031-2/-3 per RED 3.3(e)/(f); CRA in aggiunta |
Modulo radio dentro un dispositivo medico regolato | Si | No (esclusione settoriale dispositivi medici) | Solo RED ai sensi dell'esclusione del CRA - il regime medico governa il resto |
Il modello che questi esempi rivelano e la regola di direzionalita: un prodotto che attiva la RED attiva quasi sempre anche il CRA, perche un'apparecchiatura radio e un prodotto connesso con elementi digitali. Le eccezioni sono ristrette: o il prodotto e escluso dal CRA per settore (come l'esempio medico), oppure, molto raramente, e un'apparecchiatura radio del tutto priva di connessione dati o elementi digitali. La direzione opposta e spalancata: software, dispositivi cablati e hardware non radio rientrano nettamente nel solo CRA e non toccano mai la RED.
Per classificare correttamente il lato radio, la nostra panoramica sulla cybersicurezza RED e gli standard di cybersicurezza essenziali per IoT spiegano quali parti della EN 18031 si applicano a quali funzioni del dispositivo.
Quando si applica ciascun obbligo: il calendario delle scadenze

"Quale si applica" e solo meta della domanda. L'altra meta e "entro quando". RED/EN 18031 e gia obbligatoria; gli obblighi del CRA si attivano in fasi, con i doveri di segnalazione che arrivano molto prima dei requisiti principali.
| Data | Cosa si applica | Regime |
|---|---|---|
1 agosto 2025 | EN 18031 obbligatoria per le apparecchiature radio immesse sul mercato dell'UE (standard armonizzato dal 30 gennaio 2025) | RED / EN 18031 |
10 dicembre 2024 | Il CRA entra in vigore (parte il conteggio; gli obblighi si attivano gradualmente sotto) | CRA |
11 giugno 2026 | Iniziano ad applicarsi le regole CRA per gli organismi notificati (organismi di valutazione della conformita) | CRA |
11 settembre 2026 | Si applicano gli obblighi di segnalazione del produttore (articolo 14) - vulnerabilita attivamente sfruttate e incidenti gravi all'ENISA + CSIRT | CRA |
11 dicembre 2027 | Si applicano gli obblighi principali del CRA - requisiti essenziali, documentazione tecnica, valutazione della conformita, marcatura CE | CRA |
Due dettagli di tempistica colgono di sorpresa i produttori. Primo, gli obblighi di segnalazione del CRA (11 settembre 2026) arrivano oltre un anno prima dei requisiti principali (11 dicembre 2027) - quindi serve un processo di segnalazione di incidenti e vulnerabilita ben prima che il resto del regime sia pienamente attivo. Secondo, gli obblighi di segnalazione raggiungono anche i prodotti gia sul mercato prima della data principale, quindi i prodotti connessi legacy non sono automaticamente esenti.
La conclusione pratica: se il tuo prodotto e un'apparecchiatura radio, la EN 18031 e un problema di oggi; il CRA e un problema del 2026-poi-2027 che dovresti gia pianificare. Per un piano di preparazione piu ampio su RED, CRA e NIS2, consulta come prepararsi alle nuove regolamentazioni di cybersicurezza dell'UE.
Se si applicano entrambi, devo fare tutto due volte?
No - ed e qui che le due leggi sono progettate per integrarsi amministrativamente pur restando distinte. Quando un prodotto rientra in piu di un atto legislativo dell'UE, il CRA consente di consolidare la documentazione invece di duplicarla.
Una sola Dichiarazione di Conformita UE. Quando un prodotto e soggetto a piu di un atto dell'Unione che richiede una Dichiarazione di Conformita, si redige una singola Dichiarazione di Conformita UE che li copre tutti, identificando ciascun atto che soddisfa (CRA articolo 28(3)).
Una sola marcatura CE. La marcatura CE che gia apponi per la RED indica anche che il prodotto soddisfa l'altra legislazione dell'Unione applicabile: non apponi un secondo marchio (CRA articolo 30(5)).
Un solo fascicolo di documentazione tecnica. Un singolo fascicolo di documentazione tecnica puo contenere le informazioni richieste dal CRA (Allegato VII) insieme a quelle richieste dagli altri atti dell'Unione applicabili (CRA articolo 31(3)).
Cio che non puoi fare e presumere che la *conformita EN 18031 equivalga alla conformita CRA. Il CRA garantisce una presunzione di conformita solo tramite standard armonizzati pubblicati nella sua Gazzetta Ufficiale, specifiche comuni o uno schema europeo di certificazione della cybersicurezza - non* tramite RED o EN 18031. Il terreno della cybersicurezza si sovrappone: i requisiti essenziali del CRA sono progettati per comprendere gli elementi degli articoli RED 3.3(d)/(e)/(f). Ma il CRA aggiunge intere categorie di obblighi che la EN 18031 non ha mai imposto - sicurezza lungo il ciclo di vita, un periodo di supporto con aggiornamenti gratuiti, un SBOM e la gestione coordinata delle vulnerabilita, e la segnalazione a ENISA/CSIRT - e questi devono essere implementati e documentati separatamente.
Vale anche la pena essere precisi sul futuro: i segnali politici dell'UE indicano che il regolamento delegato sulla cybersicurezza della RED (UE) 2022/30 sara prima o poi abrogato o modificato in modo da non applicarsi piu ai prodotti coperti dal CRA, con un periodo transitorio in cui entrambi si applicano. Cio non e ancora avvenuto, e il CRA non lo abroga da solo - quindi per ora tratta RED/EN 18031 e il CRA come due binari attivi e paralleli.
Una nota sugli standard: EN 18031 vs. la cassetta degli attrezzi del CRA
Una delle maggiori fonti di confusione e presumere che il CRA funzioni sulla EN 18031. Non e cosi. I due regimi si dimostrano rispetto a materiale tecnico diverso.
La RED si dimostra con la EN 18031. EN 18031-1/-2/-3 e lo standard armonizzato per gli articoli sulla cybersicurezza della RED, con clausole dettagliate, alberi decisionali e unita di valutazione mappate su asset di rete, privacy e finanziari.
Il CRA non nomina alcuno standard tecnico specifico. La conformita si dimostra rispetto ai requisiti essenziali dell'Allegato I del CRA stesso. La presunzione di conformita arrivera dagli standard armonizzati CRA una volta pubblicati nella Gazzetta Ufficiale, dalle specifiche comuni o da uno schema europeo di certificazione della cybersicurezza.
Gli approcci di settore non sono la legge. I professionisti si appoggiano spesso a standard come l'IEC 62443 (sviluppo sicuro di prodotti e componenti) e i Common Criteria (ISO/IEC 15408) per prepararsi al CRA. Sono scelte ingegneristiche sensate, ma il testo del CRA non li nomina - quindi trattali come metodologia utile, non come obbligo del CRA.
Il lavoro della EN 18031 potrebbe alimentare i futuri standard CRA. La politica dell'UE indica che il lavoro di standardizzazione dietro la EN 18031 sara preso in considerazione nello sviluppo degli standard armonizzati del CRA - ma finche tali standard non saranno pubblicati, EN 18031 e CRA restano binari di conformita distinti.
La conseguenza pratica: svolgere un ottimo lavoro EN 18031 ti offre una solida base di cybersicurezza e molte evidenze riutilizzabili, ma non assolve di per se i tuoi obblighi CRA. Pianifica i due binari insieme, ma tienili distinti.
Domande frequenti
Se il mio dispositivo supera la EN 18031, e automaticamente conforme al CRA?
No. Il CRA garantisce una presunzione di conformita solo tramite standard armonizzati CRA, specifiche comuni o uno schema europeo di certificazione della cybersicurezza - non tramite RED o EN 18031. La EN 18031 ti offre una solida base di cybersicurezza che si sovrappone ai requisiti essenziali del CRA, ma i doveri specifici del CRA (sicurezza lungo il ciclo di vita, periodo di supporto con aggiornamenti gratuiti, SBOM, gestione coordinata delle vulnerabilita e segnalazione a ENISA/CSIRT) non fanno parte della EN 18031 e devono essere soddisfatti separatamente.
Il CRA sostituisce la RED o la EN 18031?
Non oggi. Sono leggi distinte che attualmente si applicano in parallelo. La politica dell'UE indica che il regolamento delegato sulla cybersicurezza della RED (UE) 2022/30 sara prima o poi abrogato o modificato in modo da non applicarsi piu ai prodotti coperti dal CRA, con un periodo transitorio durante il quale entrambi si applicano - ma questo passo non e ancora stato compiuto, e il CRA non abroga la RED da solo. La RED (2014/53/UE) resta in vigore per le apparecchiature radio in generale.
Il mio prodotto e software puro senza hardware. Quale legge si applica?
Il CRA puo applicarsi; la RED no. La RED governa solo le apparecchiature radio, quindi il software da solo ne e al di fuori. Il CRA copre i prodotti software con elementi digitali dotati di una connessione dati diretta o indiretta, a meno che il software non faccia parte di un prodotto escluso per settore (ad esempio software che e un dispositivo medico ai sensi del Regolamento sui dispositivi medici) o sia software di servizio cloud autonomo governato invece dalla NIS2.
Ho bisogno di un organismo notificato per il CRA come potrei averne per la EN 18031?
Entrambi i regimi commisurano il livello di garanzia al rischio, attingendo i moduli dallo stesso quadro dell'UE. Con RED/EN 18031 puoi autodichiarare tramite il Modulo A quando applichi pienamente lo standard senza attivare restrizioni; un organismo notificato (Modulo B+C) e necessario negli altri casi. Con il CRA, i prodotti di default possono autovalutarsi rispetto all'Allegato I, mentre i prodotti classificati come importanti (Allegato III) o critici (Allegato IV) affrontano procedure piu rigorose, fino alla valutazione di terze parti - e alcuni prodotti critici possono richiedere un certificato europeo di cybersicurezza. La struttura e simile, ma il CRA aggiunge un gate esplicito di criticita del prodotto, basato su elenchi, che la RED non ha.
Una sola marcatura CE e una sola Dichiarazione di Conformita possono coprire entrambi?
Si. Quando un prodotto e soggetto a piu di un atto dell'Unione, si redige una singola Dichiarazione di Conformita UE che li copre tutti (CRA articolo 28(3)), una singola marcatura CE indica la conformita con tutta la legislazione dell'Unione applicabile (CRA articolo 30(5)) e un singolo fascicolo di documentazione tecnica puo contenere cio che ciascun atto richiede (CRA articolo 31(3)). Consolidi la documentazione; non duplichi il lavoro sottostante.
Conclusione: leggi distinte, un unico piano coordinato
RED/EN 18031 e il CRA sono due leggi distinte con ambiti e tempistiche diversi - ma per la maggior parte dei prodotti wireless connessi arrivano insieme. La mossa intelligente non e sceglierne una, ma pianificare un unico programma di conformita coordinato che soddisfi entrambe.
RED/EN 18031 = solo apparecchiature radio; obbligatoria ora (dal 1 agosto 2025); dimostrata con la EN 18031 e una presunzione di conformita.
CRA = quasi ogni prodotto connesso con elementi digitali; segnalazione dall'11 settembre 2026, obblighi principali dall'11 dicembre 2027; dimostrato rispetto al proprio Allegato I, non alla EN 18031.
Direzionalita: necessita della RED → quasi sempre necessita anche del CRA; la maggior parte dei prodotti CRA non tocca mai la RED.
Nessun ponte automatico: la conformita EN 18031 non equivale alla conformita CRA - il CRA aggiunge doveri di ciclo di vita, SBOM, periodo di supporto e segnalazione.
Un'unica documentazione: una sola DoC, una sola marcatura CE e un solo fascicolo tecnico possono coprire entrambi i regimi.
Decidi prodotto per prodotto usando le tre domande sopra, segna la scadenza che scatta per prima e costruisci un'unica base di evidenze estendibile - invece di gestire due progetti di conformita scollegati.
Come RedComply aiuta con RED / EN 18031 oggi (e ti prepara al CRA)
RedComply e costruito appositamente per la EN 18031 e il regime di cybersicurezza RED. Oggi automatizza l'intero flusso di lavoro EN 18031 end-to-end; il supporto dedicato al Cyber Resilience Act e nella nostra roadmap e in arrivo. Le evidenze strutturate che costruisci ora per la RED sono esattamente la base su cui si appoggeranno gli obblighi di ciclo di vita del CRA.
Modelli allineati alla EN 18031 per tutte e tre le parti (-1, -2, -3), con sezioni, tabelle e alberi decisionali mappati sugli articoli RED 3.3(d), 3.3(e) e 3.3(f).
Inventari degli asset (sicurezza, rete, privacy, finanziari) catturati una volta sola e riutilizzati in tutto lo standard.
Alberi decisionali che automatizzano gli esiti PASS/FAIL/NOT_ASSESSED e producono note del valutatore verificabili.
Piani di test con verdetti calcolati automaticamente per valutazioni concettuali, di completezza e di sufficienza, pronti per l'autodichiarazione Modulo A.
Generazione della Dichiarazione di Conformita con un clic che compila lo stato di conformita attuale in un PDF strutturato.
Assistente IA addestrato sulla EN 18031 che cerca nello standard, nella documentazione caricata e nelle tabelle di conformita, e aiuta a compilare tabelle e giustificazioni.
Sul fronte CRA, l'automazione dedicata e in arrivo. La documentazione strutturata, gli inventari degli asset e le tracce di evidenza che costruisci oggi per la EN 18031 sono la stessa base che stiamo estendendo verso i deliverable del CRA - politiche di gestione delle vulnerabilita, riferimenti SBOM, dichiarazioni del periodo di supporto e flussi di segnalazione degli incidenti - man mano che la funzionalita verra rilasciata.
Capisci quali leggi si applicano al tuo dispositivo, poi costruisci un'unica base di evidenze per entrambe. Visita redcomply.com per automatizzare la tua conformita EN 18031 oggi e prendere vantaggio sulla tempistica del CRA per il 2026 e il 2027.