Autodichiarazione Modulo A: vale solo quanto le procedure che documenti

    Secondo la EN 18031, il Modulo A (controllo interno della produzione) consente ai produttori di autodichiarare la conformita cybersicurezza senza un organismo notificato. Ma "controllo interno della produzione" e un termine giuridico - richiede procedure documentate, ripetibili e verificabili, non solo una Dichiarazione di Conformita firmata. Questa guida illustra il livello di documentazione delle procedure che la maggior parte delle autodichiarazioni dimentica.

    8 giugno 2026

    Punti chiave

    Autodichiarazione Modulo A secondo EN 18031 - dispositivo connesso con scudo, documento di conformita EN 18031 firmato e flusso di processo

    Il Modulo A (controllo interno della produzione) e il percorso di autodichiarazione previsto dalla Direttiva sulle apparecchiature radio (RED) per i requisiti di cybersicurezza della EN 18031. Il produttore valuta il prodotto, prepara la documentazione tecnica e firma la Dichiarazione di Conformita (DoC) senza un organismo notificato. Il punto critico: l'espressione "controllo interno della produzione" non e decorativa - vi obbliga a operare e documentare procedure interne ripetibili che un'autorita di sorveglianza del mercato puo verificare in seguito.

    • L'autodichiarazione e legalmente valida: il Modulo A e esplicitamente consentito dalla Direttiva sulle apparecchiature radio per i requisiti di cybersicurezza attivati dal Regolamento Delegato (UE) 2022/30.

    • "Controllo interno della produzione" significa procedure documentate: il Modulo A richiede di dimostrare che la conformita e prodotta da un processo interno controllato e ripetibile - non da una valutazione una tantum che e semplicemente risultata positiva.

    • Esistono due livelli di documentazione, non uno: le evidenze di conformita (tabelle, alberi decisionali, piani di test, DoC) e le procedure operative che le hanno prodotte (come si eseguono i test, come si verifica ogni build, come si gestiscono le vulnerabilita).

    • Le procedure non documentate sono il rischio di audit nascosto: se il vostro processo esiste solo nella testa di un ingegnere, non e ne ripetibile ne verificabile - esattamente cio che un'autorita di sorveglianza del mercato andra a indagare.

    • Gli strumenti coprono entrambi i livelli: RedComply automatizza le evidenze di conformita; uno strumento di acquisizione delle procedure come SOPMODO trasforma il know-how tacito di laboratorio e di reparto in Procedure Operative Standard (SOP) strutturate.

    Cosa richiede davvero il "controllo interno della produzione"

    Controllo interno della produzione nel Modulo A - una Dichiarazione di Conformita firmata che poggia su un livello sottostante di procedure di verifica build, test e vulnerabilita

    Il Modulo A si chiama "controllo interno della produzione" per un motivo. Il quadro di valutazione della conformita non chiede solo "questo prodotto e conforme?" - chiede "il produttore dispone di un processo interno che produce in modo affidabile prodotti conformi?". La Dichiarazione di Conformita e il risultato visibile. Il controllo interno della produzione e il meccanismo che sta sotto.

    E proprio in questa distinzione che molte autodichiarazioni sono silenziosamente deboli. I team investono molto nel produrre le evidenze di conformita per un dispositivo, firmano la DoC e spediscono - senza mai documentare come quel risultato e stato ottenuto. Quando arriva la successiva versione del firmware, la variante successiva o il nuovo ingegnere, il processo deve essere ricostruito a memoria.

    Il livello delle evidenze vs. il livello delle procedure

    Un'autodichiarazione Modulo A difendibile ha due livelli di documentazione distinti:

    • Evidenze di conformita - i deliverable della EN 18031: inventari degli asset, tabelle di conformita completate, esiti degli alberi decisionali, risultati del piano di test a tre livelli e la Dichiarazione di Conformita firmata. Descrivono cosa avete valutato e quale verdetto avete raggiunto.

    • Procedure operative - i processi interni documentati e ripetibili che hanno prodotto quelle evidenze: come eseguite ogni test, come ogni build viene verificata prima del rilascio, come una vulnerabilita segnalata viene gestita e risolta, come una nuova variante viene rivalutata. Descrivono come il risultato viene riprodotto in modo affidabile.

    La EN 18031 e il quadro di conformita della RED tengono conto di entrambi. Un set perfetto di tabelle per un singolo dispositivo, senza un processo documentato dietro, e un'istantanea - non un controllo interno della produzione. Le autorita di sorveglianza del mercato hanno il diritto di richiedere la documentazione tecnica in qualsiasi momento dopo l'immissione del prodotto sul mercato, e "l'abbiamo fatto correttamente, fidatevi" non equivale a "ecco la procedura che seguiamo ogni volta".

    I due livelli di un'autodichiarazione difendibile

    I due livelli di un'autodichiarazione difendibile - artefatti di conformita (tabelle, alberi decisionali, Dichiarazione di Conformita) sostenuti da una base di documentazione dei processi operativi

    Pensate alla vostra autodichiarazione come a una struttura: gli artefatti di conformita stanno in cima, e le procedure operative sono le fondamenta che li sostengono. Togliete le fondamenta e il livello superiore diventa un risultato una tantum che nessuno puo ripetere o difendere.

    DimensioneLivello evidenze di conformitaLivello procedure operative

    Cosa documenta

    Il risultato della valutazione per un dispositivo specifico

    Il processo ripetibile che produce quel risultato

    Artefatti tipici

    Tabelle asset, alberi decisionali, piani di test, DoC

    Procedure di test, fasi di verifica build, workflow di triage vulnerabilita, SOP

    Domanda a cui risponde

    Questo dispositivo e conforme?

    Il prossimo dispositivo sara conforme allo stesso modo?

    Chi vi fa affidamento

    Il firmatario della DoC; sorveglianza del mercato

    Ingegneri, QA, nuovi assunti, auditor che verificano il controllo del processo

    Conseguenza se manca

    Nessuna base per la DoC

    Il processo vive nella testa di una persona; non ripetibile ne verificabile

    Dove si collocano RedComply / SOPMODO

    RedComply automatizza questo livello

    SOPMODO acquisisce e struttura questo livello

    I due livelli sono complementari, non concorrenti. RedComply e costruito appositamente per generare le evidenze di conformita - trasforma la valutazione EN 18031, densa di documenti, in tabelle strutturate, alberi decisionali, verdetti di piano di test calcolati automaticamente e una Dichiarazione di Conformita con un clic. Cio che non fa - perche e un compito diverso - e documentare le procedure umane che il vostro team esegue in reparto e in laboratorio. Quello e il secondo livello.

    Perche le procedure non documentate sono il vostro maggior rischio di audit

    Acquisire le procedure tacite di laboratorio e di reparto - un tecnico che narra e fotografa una procedura che un'IA trasforma in una SOP strutturata, con un motivo di verifica audit

    La debolezza piu comune in un'autodichiarazione Modulo A non e una tabella mancante o un esito errato di un albero decisionale. E la conoscenza tacita: la configurazione di test, il rituale di verifica build, le fasi di triage delle vulnerabilita che uno o due ingegneri esperti semplicemente sanno e non hanno mai messo per iscritto.

    Questo e un rischio di conformita reale per tre motivi:

    • Non e ripetibile. Il controllo interno della produzione presuppone che il processo sia seguito in modo coerente per ogni build e variante. Se il processo non e documentato, il prossimo rilascio puo divergere silenziosamente - e la vostra DoC non rispecchia piu la realta.

    • Non e verificabile. Un'autorita di sorveglianza del mercato che valuta il controllo del vostro processo vuole vedere la procedura, non sentirsi dire che esiste. Le fasi non documentate, all'ispezione, sembrano fasi mai eseguite.

    • E una dipendenza da persona chiave. Quando l'ingegnere che "possiede" la procedura se ne va, la riproducibilita - e quindi la vostra conformita continuativa - se ne va con lui.

    Trasformare le procedure tacite in SOP strutturate

    La soluzione e acquisire queste procedure operative come Procedure Operative Standard (SOP) documentate e ripetibili - prima che escano dalla porta. L'ostacolo e che scrivere SOP a mano e tedioso, quindi raramente viene fatto, soprattutto per il lavoro pratico in laboratorio e in reparto.

    E esattamente questa la lacuna che il nostro prodotto affiliato SOPMODO e progettato per colmare. Invece di scrivere le procedure da zero, un ingegnere esegue semplicemente la procedura nell'ambiente reale - narrando i passaggi ad alta voce e scattando foto - e l'IA di SOPMODO assembla una SOP strutturata e ripetibile a partire da quella registrazione. La conoscenza tacita nella testa di una persona diventa una procedura documentata e condivisibile che sostiene la meta "controllo interno della produzione" della vostra autodichiarazione Modulo A.

    Usati insieme, il quadro e completo: RedComply produce le evidenze di conformita richieste dalla norma, e SOPMODO documenta le procedure operative che vi stanno dietro - cosi la vostra autodichiarazione non e solo firmata, ma difendibile.

    Checklist di documentazione delle procedure per l'autodichiarazione

    Usate questa checklist per verificare se la vostra autodichiarazione Modulo A poggia su procedure documentate - e non solo su una valutazione una tantum. Se mancano diversi elementi, le vostre evidenze di conformita possono essere solide mentre il vostro controllo interno della produzione non lo e.

    • Evidenze di conformita complete: inventari degli asset, tabelle di conformita, esiti degli alberi decisionali, risultati del piano di test a tre livelli e una Dichiarazione di Conformita firmata sono tutti presenti.

    • Procedure di test documentate: esiste una procedura scritta e ripetibile per ogni test di sicurezza che eseguite - non solo il risultato prodotto questa volta.

    • Procedura di verifica build documentata: il modo in cui ogni build del firmware viene controllata prima del rilascio e acquisito come procedura passo-passo, non come abitudine informale.

    • Workflow di triage vulnerabilita documentato: i passaggi da una vulnerabilita segnalata a un rilascio risolto e riverificato esistono come procedura definita.

    • Procedura di rivalutazione documentata: esiste un processo chiaro e ripetibile per rivalutare la conformita quando viene rilasciata una nuova variante o un aggiornamento del firmware.

    • Le procedure non dipendono da persone chiave: un nuovo ingegnere potrebbe seguire le SOP documentate e riprodurre il lavoro senza l'autore originale.

    • Le procedure sono verificabili: ogni procedura documentata e abbastanza concreta da consentire a un'autorita di sorveglianza del mercato di confrontarla con cio che il vostro team fa davvero.

    • Le procedure restano aggiornate: esistono un responsabile e una cadenza per mantenere le SOP operative allineate a come il lavoro viene realmente svolto.

    Per il primo elemento, una piattaforma dedicata come RedComply gestisce le evidenze di conformita dall'inizio alla fine. Per gli elementi relativi alle procedure, acquisire il lavoro mentre lo eseguite - invece di scrivere le SOP a posteriori - e cio che fa si che la documentazione venga effettivamente realizzata; questo e il ruolo svolto da SOPMODO.

    Se state ancora definendo quali parti della EN 18031 si applicano e come si svolge l'autovalutazione dall'inizio alla fine, la nostra guida all'autovalutazione cybersicurezza RED illustra l'intero flusso di lavoro del Modulo A.

    Domande frequenti

    Il Modulo A richiede davvero procedure documentate, o solo una DoC firmata?

    Richiede entrambe. "Controllo interno della produzione" e il nome formale del Modulo A e si riferisce a un processo controllato e ripetibile che produce conformita - non solo alla Dichiarazione di Conformita firmata alla fine. La DoC e il risultato; le procedure interne documentate sono il controllo che rende il risultato affidabile. Un'autodichiarazione sostenuta solo da una DoC firmata e da una valutazione una tantum e piu debole di una sostenuta da procedure documentate e ripetibili.

    Quali tipi di procedure dovrei documentare per un'autodichiarazione EN 18031?

    Concentratevi sui processi operativi che producono le vostre evidenze di conformita: come ogni test di sicurezza viene impostato ed eseguito, come ogni build del firmware viene verificata prima del rilascio, come una vulnerabilita segnalata viene gestita e risolta, e come la conformita viene rivalutata quando si rilascia una variante o un aggiornamento. Queste sono le procedure che un'autorita di sorveglianza del mercato si aspetterebbe di vedere nel valutare il vostro controllo interno della produzione.

    Cosa succede se un'autorita di sorveglianza chiede le mie procedure e non sono scritte?

    Le autorita possono richiedere la vostra documentazione tecnica in qualsiasi momento dopo l'immissione sul mercato. Se le vostre procedure operative non sono documentate, dall'esterno appaiono come procedure mai seguite. Cio puo portare a rilievi di controllo del processo inadeguato, richieste di azioni correttive e, nei casi gravi, alla limitazione o al ritiro del prodotto. Procedure documentate e ripetibili sono il modo in cui dimostrate il "controllo" nel controllo interno della produzione.

    In cosa RedComply e diverso da SOPMODO?

    Affrontano i due diversi livelli di documentazione. RedComply e costruito appositamente per le evidenze di conformita EN 18031 - tabelle degli asset, alberi decisionali, piani di test e generazione della Dichiarazione di Conformita. SOPMODO documenta le procedure operative dietro a quelle evidenze: un ingegnere registra e narra una procedura pratica, e la sua IA trasforma la registrazione in una Procedura Operativa Standard strutturata. RedComply dimostra che il dispositivo e conforme; SOPMODO dimostra che il vostro processo per produrre dispositivi conformi e reale e ripetibile.

    Posso acquisire le procedure dopo la valutazione, o deve avvenire durante?

    Acquisire le procedure mentre il lavoro viene eseguito e molto piu affidabile che ricostruirle in seguito. La scrittura delle SOP a posteriori tende a essere saltata sotto la pressione delle scadenze e perde i piccoli dettagli taciti che contano. Registrare la procedura mentre viene effettivamente svolta - narrando e fotografando i passaggi - preserva quei dettagli ed e l'approccio attorno a cui e progettato uno strumento come SOPMODO.

    Come RedComply supporta la vostra autodichiarazione Modulo A

    RedComply e costruito appositamente per le evidenze di conformita EN 18031 al cuore di un'autodichiarazione Modulo A. Trasforma la valutazione complessa e densa di documenti in un flusso di lavoro guidato e strutturato con assistenza IA in ogni fase.

    1. Definizione dell'ambito: create un progetto, selezionate quali parti della EN 18031 si applicano, e la piattaforma filtra sezioni, tabelle e requisiti per mostrare solo cio che e rilevante.

    2. Identificazione degli asset: tabelle strutturate per funzioni di sicurezza, parametri di sicurezza, asset di rete, privacy e finanziari - con assistenza IA per suggerire e incrociare le voci.

    3. Valutazione sezione per sezione: tabelle di conformita AG Grid con integrazione degli alberi decisionali, campi auto-compilati e controlli di coerenza in tempo reale.

    4. Esecuzione del piano di test: un piano di test a tre livelli con condizioni di verdetto calcolate automaticamente e maschere di criteri che segnalano le valutazioni incomplete.

    5. Dichiarazione di Conformita: generazione PDF con un clic che compila tutti i dati della valutazione in un documento normativo pronto per la marcatura CE.

    RedComply vi offre un livello di evidenze di conformita solidissimo. Per completare il quadro, abbinatelo a procedure operative documentate: il nostro prodotto affiliato SOPMODO trasforma i processi pratici che il vostro team esegue - in laboratorio e in reparto - in SOP strutturate e ripetibili, semplicemente registrando la procedura mentre avviene. Insieme coprono entrambe le meta del controllo interno della produzione.

    Visitate redcomply.com per iniziare la vostra autodichiarazione EN 18031, e sopmodo.com per documentare le procedure che vi stanno dietro.