EN 18031 e il Cyber Resilience Act dell'UE: come si relazionano
EN 18031 e il Cyber Resilience Act (CRA) dell'UE non sono regolamenti concorrenti, ma stratificati. La EN 18031 e lo standard armonizzato che oggi dimostra la conformita di cybersicurezza delle apparecchiature radio ai sensi della Direttiva RED; il CRA e il regolamento orizzontale dell'UE per tutti i prodotti con elementi digitali, pienamente applicabile dal 2027. Questa guida spiega esattamente come i due interagiscono, dove si sovrappongono e cosa devono fare i produttori in entrambi i casi.
3 maggio 2026
Punti chiave
La EN 18031 e il Cyber Resilience Act (CRA) dell'UE sono due pilastri del regime di cybersicurezza dell'UE in evoluzione, ma operano a livelli diversi: la EN 18031 e uno standard tecnico armonizzato utilizzato per dimostrare la conformita agli articoli sulla cybersicurezza della Direttiva sulle apparecchiature radio (RED), mentre il CRA e un regolamento orizzontale vincolante che copre praticamente tutti i prodotti con elementi digitali immessi sul mercato dell'UE.
La EN 18031 e gia in vigore: Le sue tre parti (EN 18031-1/-2/-3) sono diventate obbligatorie per le apparecchiature radio ai sensi del Regolamento Delegato (UE) 2022/30 il 1 agosto 2025.
Il CRA si applica successivamente, ma copre di piu: Il Regolamento (UE) 2024/2847 e entrato in vigore il 10 dicembre 2024; gli obblighi di segnalazione delle vulnerabilita e degli incidenti si applicano dall'11 settembre 2026 e gli obblighi principali si applicano dall'11 dicembre 2027.
Sono complementari, non duplicativi: Ai sensi dell'articolo 2(4) del CRA, le apparecchiature radio gia soggette ai requisiti essenziali di cybersicurezza della RED (ossia EN 18031) sono escluse dai requisiti corrispondenti del CRA, ma solo per i requisiti che si sovrappongono.
Il CRA va oltre la EN 18031 per tutti: La gestione delle vulnerabilita, gli aggiornamenti di sicurezza gratuiti per un periodo di supporto definito, un SBOM e la segnalazione obbligatoria degli incidenti all'ENISA sono obblighi del CRA che la EN 18031 non impone.
La maggior parte dei produttori di dispositivi connessi dovra affrontare entrambi: Un prodotto wireless intelligente immesso sul mercato dell'UE si affidera tipicamente alla EN 18031 per la conformita RED e dovra soddisfare gli obblighi di ciclo di vita, trasparenza e segnalazione del CRA.
La risposta breve: come si relazionano EN 18031 e CRA
La EN 18031 e uno standard europeo armonizzato che fornisce ai produttori una presunzione di conformita con i requisiti essenziali di cybersicurezza della Direttiva sulle apparecchiature radio: articoli 3.3(d) (protezione della rete), 3.3(e) (privacy e dati personali) e 3.3(f) (prevenzione delle frodi). Il Cyber Resilience Act dell'UE e un regolamento orizzontale che impone obblighi di cybersicurezza a tutti i prodotti con elementi digitali immessi sul mercato dell'UE: connessi e non connessi, hardware e software.
I due quadri sono deliberatamente stratificati. L'articolo 2(4) del CRA esclude le apparecchiature radio gia soggette ai requisiti essenziali di cybersicurezza della RED, in modo che i produttori non debbano conformarsi allo stesso requisito sotto entrambi i regimi. In pratica, cio significa che la EN 18031 rimane il livello di esecuzione tecnica per la cybersicurezza delle apparecchiature radio, mentre il CRA aggiunge obblighi che la RED non ha mai coperto: in particolare la gestione continua delle vulnerabilita, il supporto agli aggiornamenti di sicurezza, la divulgazione dell'SBOM e la segnalazione degli incidenti all'ENISA.
In altre parole: la EN 18031 ti dice come dimostrare la cybersicurezza di un prodotto wireless oggi; il CRA ti dice quali obblighi continuativi aggiuntivi hai una volta che il prodotto e sul mercato e qual e la soglia minima di cybersicurezza che ogni altro prodotto digitale deve soddisfare a partire dal 2027.
Cos'e la EN 18031?
La EN 18031 e uno standard europeo armonizzato in tre parti pubblicato dal CEN-CENELEC (JTC 13) per supportare i requisiti essenziali di cybersicurezza attivati dal Regolamento Delegato (UE) 2022/30 ai sensi della Direttiva sulle apparecchiature radio 2014/53/UE. E diventato uno standard armonizzato per la RED il 30 gennaio 2025 e la conformita ad esso e diventata obbligatoria per le apparecchiature radio immesse sul mercato dell'UE il 1 agosto 2025.
Le tre parti della EN 18031
EN 18031-1: Requisiti di sicurezza comuni per le apparecchiature radio connesse a Internet, riguarda l'articolo 3.3(d) della RED (protezione della rete).
EN 18031-2: Requisiti per le apparecchiature radio che trattano denaro virtuale, valore monetario o dati personali, riguarda l'articolo 3.3(e) della RED (privacy/dati personali).
EN 18031-3: Requisiti per le apparecchiature radio che trattano denaro virtuale o valore monetario, riguarda l'articolo 3.3(f) della RED (prevenzione delle frodi).
Seguire la EN 18031 e il percorso di conformita piu efficiente per le apparecchiature radio perche garantisce una presunzione di conformita con gli articoli RED corrispondenti. Quando un produttore applica pienamente lo standard e non attiva restrizioni, la conformita puo essere autodichiarata tramite il Modulo A (controllo interno della produzione) senza la necessita di un organismo notificato. Se viene attivata una restrizione (ad esempio le clausole della EN 18031-1/-2 sulle password ignorabili), e invece richiesto il Modulo B+C con un organismo notificato.
Per un approfondimento sui requisiti di cybersicurezza della RED, consulta la nostra panoramica sulla cybersicurezza RED e gli standard di cybersicurezza essenziali per IoT.
Cos'e il Cyber Resilience Act (CRA) dell'UE?
Il Cyber Resilience Act, formalmente Regolamento (UE) 2024/2847, e la prima legge orizzontale dell'UE sulla cybersicurezza per i prodotti con elementi digitali (PDE). Un prodotto con elementi digitali e definito in modo ampio come qualsiasi prodotto software o hardware, piu le sue soluzioni di trattamento dei dati a distanza, il cui uso previsto o ragionevolmente prevedibile include una connessione dati logica o fisica con un dispositivo o una rete.
Date chiave nella tempistica del CRA
10 dicembre 2024: Il CRA e entrato in vigore.
11 giugno 2026: Iniziano ad applicarsi le disposizioni di valutazione della conformita per gli organismi notificati.
11 settembre 2026: Iniziano ad applicarsi gli obblighi di segnalazione delle vulnerabilita e degli incidenti del produttore all'ENISA.
11 dicembre 2027: Gli obblighi principali diventano applicabili a tutti i prodotti rientranti nell'ambito immessi sul mercato dell'UE.
Cosa richiede il CRA
Requisiti essenziali di cybersicurezza nell'Allegato I (ad esempio configurazione sicura per impostazione predefinita, protezione di riservatezza e integrita, minimizzazione della superficie di attacco, meccanismi di aggiornamento sicuri).
Processi di gestione delle vulnerabilita (Allegato I, Parte II), inclusa la divulgazione coordinata, i test continuativi e una distinta base del software (SBOM).
Aggiornamenti di sicurezza gratuiti per il periodo piu lungo tra la durata di vita prevista del prodotto e almeno cinque anni (con indicazioni esplicite sul periodo di supporto).
Segnalazione di incidenti e vulnerabilita: le vulnerabilita attivamente sfruttate e gli incidenti gravi devono essere notificati all'ENISA tramite un avviso preventivo entro 24 ore, una notifica di incidente entro 72 ore e un rapporto finale entro 14 giorni.
Valutazione della conformita: autovalutazione per i prodotti di classe predefinita, valutazione di terze parti per i prodotti importanti e critici (Allegato III/IV).
Marcatura CE come prova visibile della conformita, oltre alla documentazione tecnica conservata per almeno 10 anni.
Le sanzioni ai sensi del CRA sono significative: fino a 15 milioni di euro o il 2,5% del fatturato annuale globale, a seconda di quale sia maggiore, per violazioni dei requisiti essenziali di cybersicurezza.
Confronto fianco a fianco: EN 18031 vs. CRA
Il modo piu chiaro per comprendere la relazione e confrontare i due quadri lungo le dimensioni che contano per un produttore: natura giuridica, ambito, tempistiche, profondita tecnica, obblighi di ciclo di vita e percorso di valutazione della conformita.
| Dimensione | EN 18031 | Cyber Resilience Act |
|---|---|---|
Natura giuridica | Standard tecnico europeo armonizzato (volontario, ma garantisce presunzione di conformita) | Regolamento UE vincolante, direttamente applicabile in tutti gli Stati membri |
Strumento sottostante | Supporta la Direttiva RED 2014/53/UE + Regolamento Delegato (UE) 2022/30 | Regolamento (UE) 2024/2847 (legge orizzontale autonoma) |
Ambito | Apparecchiature radio connesse a Internet immesse sul mercato dell'UE | Tutti i prodotti con elementi digitali (hardware + software + soluzioni di trattamento dati a distanza) |
Obbligatorio dal | 1 agosto 2025 | 11 settembre 2026 (segnalazione); 11 dicembre 2027 (obblighi completi) |
Valutazione della conformita | Autovalutazione Modulo A tramite EN 18031, oppure Modulo B+C con organismo notificato se vengono attivate restrizioni | Autovalutazione per la classe predefinita; valutazione di terze parti per i prodotti importanti (Allegato III) e critici (Allegato IV) |
Profondita tecnica | Clausole dettagliate, alberi decisionali, unita di valutazione per categoria di asset | Requisiti essenziali di alto livello (Allegato I) + processi di gestione delle vulnerabilita (Allegato I Parte II) |
Categorie di asset trattate | Asset di rete, sicurezza, privacy, finanziari, esplicitamente mappati su RED 3.3(d)/(e)/(f) | Proprieta di cybersicurezza generiche, l'implementatore deve derivare i controlli tecnici |
Gestione delle vulnerabilita | Non trattata direttamente | Obbligatoria: divulgazione coordinata, test continuativi, SBOM, distribuzione delle correzioni |
Obblighi di aggiornamento di sicurezza | Il meccanismo di aggiornamento deve essere sicuro (a livello di clausola), ma nessun periodo di supporto minimo | Aggiornamenti di sicurezza gratuiti per la durata di vita prevista del prodotto, tipicamente almeno 5 anni |
Segnalazione di incidenti / vulnerabilita | Non richiesta dallo standard stesso | Segnalazione obbligatoria all'ENISA: avviso preventivo a 24h, notifica a 72h, rapporto finale a 14 giorni |
Marchio visibile | Marcatura CE tramite conformita RED | Marcatura CE tramite conformita CRA |
Sanzioni | Stabilite dagli Stati membri ai sensi del recepimento nazionale della RED | Fino a 15 milioni di euro o 2,5% del fatturato globale |
Dove si sovrappongono e dove il CRA va oltre
Molti dei requisiti essenziali di cybersicurezza dell'Allegato I del CRA si sovrappongono a quanto la EN 18031 gia richiede alle apparecchiature radio: riservatezza, integrita, configurazione sicura, minimizzazione della superficie di attacco, comunicazioni sicure, aggiornamenti software sicuri, controllo degli accessi e protezione contro accessi non autorizzati. E proprio per questo motivo che esiste l'articolo 2(4) del CRA: quando un'apparecchiatura radio e soggetta ai requisiti essenziali di cybersicurezza della RED (e quindi in pratica alla EN 18031), i requisiti CRA corrispondenti non si applicano due volte.
Cosa si sovrappone (esclusione del CRA per le apparecchiature radio)
Protezione contro accessi non autorizzati e meccanismi di autenticazione
Riservatezza e integrita dei dati memorizzati, trasmessi ed elaborati
Minimizzazione della superficie di attacco e configurazione sicura per impostazione predefinita
Canali di comunicazione sicuri e baseline crittografica
Meccanismi di aggiornamento software sicuri (il lato tecnico dell'aggiornamento)
Dove il CRA aggiunge obblighi genuinamente nuovi
Ciclo di vita della gestione delle vulnerabilita: una politica di divulgazione coordinata documentata, test interni continuativi e un processo chiaro per il triage e la correzione delle vulnerabilita segnalate.
Distinta base del software (SBOM): un inventario leggibile da macchina dei componenti e delle dipendenze per ogni versione del prodotto, mantenuto aggiornato.
Periodo di supporto definito: aggiornamenti di sicurezza gratuiti per la durata di vita prevista del prodotto, con indicazioni esplicite che puntano a un minimo di cinque anni nella maggior parte dei casi.
Segnalazione di incidenti all'ENISA tramite la piattaforma di segnalazione unica: avviso preventivo a 24h, notifica di incidente a 72h, rapporto finale a 14 giorni, applicabile dall'11 settembre 2026.
Valutazione della conformita per prodotti importanti e critici: la valutazione di terze parti e richiesta per i prodotti dell'Allegato III (importanti) e dell'Allegato IV (critici), indipendentemente dall'applicazione della EN 18031.
Obblighi di distributori e importatori: il CRA pone doveri espliciti sull'intera filiera, non solo sul produttore.
La conseguenza pratica e che i produttori di apparecchiature radio non possono trattare la EN 18031 come la fine dei loro obblighi di cybersicurezza. Lo standard gestisce il livello della conformita tecnica; il CRA stratifica obblighi continui di processo e trasparenza in cima. I programmi di divulgazione delle vulnerabilita, i periodi di supporto e i flussi di segnalazione degli incidenti non sono opzionali ai sensi del CRA.
Per indicazioni pratiche sulla documentazione delle vulnerabilita in entrambi i regimi, consulta la nostra guida alla gestione delle vulnerabilita.
Quale quadro si applica al tuo prodotto?
La maggior parte dei team di sicurezza di prodotto che si confronta con entrambi i quadri si pone la stessa domanda: "devo essere conforme alla EN 18031, al CRA o a entrambi?" La decisione di solito si riduce a due domande sul prodotto.
Il prodotto e un'apparecchiatura radio ai sensi della RED 2014/53/UE? Cioe, emette o riceve intenzionalmente onde radio per comunicazione o radiodeterminazione? In caso affermativo, si applica la RED e la EN 18031 e il percorso di conformita pratico.
*Il prodotto rientra nella definizione di prodotto con elementi digitali del CRA?* Cioe, software o hardware (piu soluzioni di trattamento dati a distanza) il cui uso include una connessione dati con un dispositivo o una rete? In caso affermativo, gli obblighi del CRA si applicano dal 2027 (e la segnalazione dal 2026).
Tre scenari comuni
| Profilo del prodotto | RED + EN 18031 | CRA | Cosa devi fare |
|---|---|---|---|
Prodotto wireless intelligente (es. videocamera Wi-Fi, smart speaker, gateway IoT) | Si | Si (con esclusione dell'articolo 2(4) per i requisiti sovrapposti) | Applica la EN 18031 per la conformita RED ora; aggiungi gestione delle vulnerabilita, SBOM, periodo di supporto e segnalazione degli incidenti CRA dal 2026/2027 |
Prodotto digitale non radio (es. software desktop, controller industriale cablato, server appliance) | No | Si | Conformita CRA diretta: soddisfa i requisiti dell'Allegato I, gestisci le vulnerabilita, preparati alla segnalazione degli incidenti |
Componente o strumento di sviluppo (es. libreria firmware, immagine OS, modulo MCU) | Possibilmente, a seconda dell'integrazione | Si (obblighi di componenti) | Documenta la cybersicurezza dei componenti, supporta gli integratori con SBOM e soddisfa le aspettative del CRA a livello di componente |
L'errore di calcolo piu grande che vediamo e quello dei produttori di dispositivi wireless che presumono che ottenere la conformita EN 18031 sia sufficiente. Non lo e, almeno non dopo il 2026. La EN 18031 chiude il cerchio della RED; il CRA aggiunge un insieme completamente separato di obblighi di ciclo di vita.
Per una visione piu ampia su come prepararsi a queste regolamentazioni insieme, consulta la nostra guida complementare su come prepararsi alle nuove regolamentazioni di cybersicurezza dell'UE.
Domande frequenti
Il CRA sostituisce la EN 18031?
No. Il CRA non sostituisce la EN 18031 ne la RED. Ai sensi dell'articolo 2(4) del CRA, le apparecchiature radio soggette ai requisiti essenziali di cybersicurezza della RED (coperte dalla EN 18031) sono escluse dai requisiti CRA sovrapposti, ma sono comunque soggette agli obblighi del CRA che vanno oltre la RED, come gestione delle vulnerabilita, periodi di supporto, SBOM e segnalazione degli incidenti all'ENISA.
Se il mio prodotto e conforme alla EN 18031, sono conforme al CRA?
Non automaticamente. La EN 18031 copre la base tecnica di cybersicurezza per le apparecchiature radio ai sensi della RED, che si sovrappone significativamente all'Allegato I del CRA. Tuttavia, gli obblighi specifici del CRA, ciclo di vita della gestione delle vulnerabilita, periodo di supporto definito per gli aggiornamenti di sicurezza, SBOM e segnalazione obbligatoria all'ENISA, non fanno parte della EN 18031 e devono essere implementati separatamente. Pianifica per entrambi i livelli se il tuo prodotto e wireless e digitale.
Quando diventa obbligatorio il Cyber Resilience Act?
Il CRA e entrato in vigore il 10 dicembre 2024. Gli obblighi di segnalazione di vulnerabilita e incidenti del produttore si applicano dall'11 settembre 2026 e gli obblighi principali (requisiti essenziali di cybersicurezza, documentazione tecnica, marcatura CE) si applicano dall'11 dicembre 2027. La EN 18031 e obbligatoria ai sensi della RED dal 1 agosto 2025.
La EN 18031 supportera anche la conformita al CRA in futuro?
E ampiamente atteso che la EN 18031, o uno standard armonizzato successore mappato sull'Allegato I del CRA, svolgera un ruolo centrale nel panorama degli standard armonizzati del CRA. ENISA e CEN-CENELEC stanno lavorando alla mappatura dei requisiti essenziali del CRA sugli standard esistenti e la EN 18031 e una candidata forte per la base di cybersicurezza dei prodotti connessi. I produttori dovrebbero comunque trattare la EN 18031 e il CRA come percorsi di conformita distinti finche gli standard armonizzati ai sensi del CRA non saranno formalmente pubblicati.
Ho bisogno di un organismo notificato per la EN 18031 o per il CRA?
Ai sensi della EN 18031 + RED, un organismo notificato generalmente non e necessario se applichi pienamente lo standard e non attivi restrizioni: e consentita l'autovalutazione Modulo A. Ai sensi del CRA, la valutazione di conformita di terze parti da parte di un organismo notificato e richiesta per i prodotti classificati come importanti (Allegato III) o critici (Allegato IV); altri prodotti possono autovalutarsi rispetto all'Allegato I.
Conclusione: complementari, non concorrenti
EN 18031 e il Cyber Resilience Act dell'UE sono quadri complementari che insieme definiscono il modo in cui l'UE regolamenta la cybersicurezza dei prodotti connessi. La EN 18031 e lo standard tecnico a cui si ricorre oggi per dimostrare la conformita di cybersicurezza RED per le apparecchiature radio. Il CRA e il regolamento orizzontale piu ampio e piu lento da applicare che aggiunge obblighi di ciclo di vita, trasparenza e segnalazione che nessuno standard armonizzato aveva precedentemente imposto.
EN 18031 = standard armonizzato, obbligatorio ora ai sensi della RED per le apparecchiature radio, focalizzato sulla conformita tecnica.
Cyber Resilience Act = regolamento orizzontale, obbligatorio dal 2026/2027, focalizzato sui requisiti essenziali e sugli obblighi di ciclo di vita.
L'articolo 2(4) del CRA esclude le apparecchiature radio dai requisiti duplicati, non dal CRA nel suo insieme.
Gestione delle vulnerabilita, SBOM, periodo di supporto e segnalazione all'ENISA sono obblighi esclusivi del CRA: pianifica per essi ora anche se segui gia la EN 18031.
La maggior parte dei produttori di dispositivi connessi dovra essere conforme a entrambi in parallelo.
Il modello mentale corretto e quello dei livelli: la EN 18031 e la base tecnica per le apparecchiature radio ai sensi della RED; il CRA e il soffitto regolatorio orizzontale che definisce le aspettative dell'UE per ogni prodotto digitale sul mercato. I produttori che progettano il loro programma di conformita per soddisfare entrambi, e che trattano la conformita come un flusso di lavoro continuo, saranno nella posizione piu forte quando la sorveglianza del mercato e la segnalazione all'ENISA inizieranno seriamente.
Come RedComply ti aiuta a stare al passo con la EN 18031 (e a prepararti al CRA)
RedComply e costruito appositamente per la EN 18031 e il regime di cybersicurezza RED. Oggi automatizza l'intero flusso di lavoro EN 18031 end-to-end; il supporto dedicato al Cyber Resilience Act e nella nostra roadmap e in arrivo. Invece di gestire fogli di calcolo, alberi decisionali su carta e PDF improvvisati, ottieni un singolo spazio di lavoro in cui il lavoro di conformita RED prepara anche il terreno per gli obblighi di ciclo di vita che il CRA introdurra.
Ecco cosa RedComply automatizza per la EN 18031 oggi:
Modelli allineati alla EN 18031 per tutte e tre le parti (-1, -2, -3), con copertura di sezioni, tabelle e alberi decisionali mappata sugli articoli RED 3.3(d), 3.3(e) e 3.3(f).
Inventari degli asset (sicurezza, rete, privacy, finanziari) che catturano ogni asset rilevante una volta sola e lo riutilizzano in tutto lo standard.
Alberi decisionali che automatizzano gli esiti PASS/FAIL/NOT_ASSESSED per ogni requisito EN 18031 e producono note del valutatore verificabili.
Piani di test con verdetti calcolati automaticamente per le valutazioni concettuali, di completezza e di sufficienza, pronti per l'autodichiarazione tramite Modulo A.
Generazione della Dichiarazione di Conformita (DoC) con un clic che compila lo stato di conformita attuale in un PDF strutturato, inclusa l'identificazione dell'apparecchiatura resa verticalmente come richiesto.
Assistente IA addestrato sulla EN 18031 che cerca nello standard, nella documentazione tecnica caricata e nelle tabelle di conformita del progetto, e puo aiutare direttamente a compilare tabelle e giustificazioni.
Sul fronte CRA, l'automazione dedicata e in arrivo. La documentazione strutturata, gli inventari degli asset e le tracce di evidenza che costruisci oggi in RedComply per la EN 18031 sono esattamente la base che estenderemo per supportare i deliverable specifici del CRA - politiche di gestione delle vulnerabilita, riferimenti SBOM, dichiarazioni del periodo di supporto e flussi di segnalazione degli incidenti - man mano che le funzionalita verranno rilasciate.
Smetti di tracciare la EN 18031 in fogli di calcolo scollegati e prendi vantaggio anche sul CRA. Visita redcomply.com per scoprire come un singolo spazio di lavoro strutturato automatizza la tua conformita EN 18031 oggi ed e in costruzione per accompagnare il tuo lavoro nell'intera tempistica del CRA nel 2026 e nel 2027.