Perché la conformità EN 18031 è importante?

Dal 1° agosto 2025, i requisiti di cybersicurezza RED sono legalmente obbligatori per le apparecchiature radio con connettività Internet (diretta o indiretta) vendute nell'UE. EN 18031 è lo standard armonizzato che definisce come soddisfare questi requisiti. Senza dimostrare la conformità con questi requisiti di cybersicurezza, non puoi legalmente immettere i tuoi prodotti wireless connessi a Internet nel mercato UE.

Come facilita RedComply la conformità EN 18031?

RedComply ti guida con template di conformità pre-costruiti adattati al tuo prodotto. La nostra IA analizza automaticamente la documentazione del progetto che carichi, la mappa ai requisiti EN 18031 e ti aiuta a interpretare lo standard armonizzato ad ogni passo. Mantieni il controllo durante l'intero processo, rivedendo e convalidando tutti i suggerimenti dell'IA per garantire precisione. Questo approccio human-in-the-loop riduce significativamente tempo e costi mantenendo al contempo la qualità.

Cosa succede se un prodotto non è completamente conforme a EN 18031?

I prodotti non conformi non possono entrare legalmente nel mercato UE dopo il 1° agosto 2025, e i prodotti esistenti affrontano divieti di mercato, richiami obbligatori e multe sostanziali. Se il tuo prodotto non può soddisfare pienamente i requisiti EN 18031, hai due opzioni: riprogettare il prodotto per raggiungere la conformità, o lavorare con un Organismo Notificato per procedure di valutazione di conformità alternative (che sono significativamente più costose e richiedono più tempo rispetto all'autodichiarazione). Le autorità di sorveglianza del mercato applicano attivamente questi requisiti, rendendo la conformità essenziale per le vendite continue nell'UE.

Ho ancora bisogno di un Organismo Notificato?

Per molte categorie di apparecchiature radio, puoi usare il nostro approccio di autovalutazione guidato da AI invece di costose revisioni degli Organismi Notificati, risparmiando migliaia di euro in costi e mesi di tempo. Ti aiuteremo a determinare se il tuo prodotto si qualifica per l'autovalutazione.

Posso importare report di penetration test esistenti?

Sì, la nostra piattaforma ingerisce e mappa automaticamente i report di sicurezza esistenti ai requisiti EN 18031, risparmiandoti di iniziare la conformità da zero. Supportiamo formati comuni e possiamo estrarre automaticamente i risultati rilevanti.

I miei dati sono sicuri?

Assolutamente. Stiamo perseguendo la certificazione ISO 27001 e siamo conformi al GDPR. Tutti i dati sono crittografati a riposo e in transito, con controlli di sicurezza di livello enterprise. La tua documentazione di conformità rimane confidenziale e sicura.

Quanto tempo richiede una tipica valutazione di conformità?

Con la nostra automazione AI, la valutazione iniziale di conformità richiede 2-3 settimane invece di 3-6 mesi manualmente. I prodotti complessi potrebbero richiedere più tempo, ma vedrai progressi immediatamente e potrai generare report preliminari entro giorni.

Come funzionano gli aggiornamenti quando rilascio un nuovo firmware?

Ti aiutiamo a identificare quali modifiche sono state apportate e a valutare se eventuali requisiti di conformità sono impattati. La nostra piattaforma versionizza la tua documentazione di conformità e genera Dichiarazioni di Conformità (DoC) aggiornate per ogni versione del firmware, assicurando che tu mantenga la conformità durante l'intero ciclo di vita del prodotto.

Come eseguire un'autovalutazione per la conformita cybersicurezza RED

La Direttiva sulle apparecchiature radio dell'UE richiede la conformita alla cybersicurezza secondo EN 18031 per i dispositivi connessi a Internet. Questa guida spiega come i produttori possono eseguire un'autovalutazione (Modulo A) - dalla definizione dell'ambito e l'identificazione degli asset fino al completamento degli alberi decisionali, l'esecuzione dei piani di test e la generazione della Dichiarazione di Conformita.

25 marzo 2026

Punti chiave

Autovalutazione per la conformita cybersicurezza RED secondo EN 18031 - dispositivo connesso con scudo e documentazione di conformita

Un'autovalutazione per la conformita cybersicurezza RED e il processo attraverso il quale un produttore valuta e documenta autonomamente che le proprie apparecchiature radio soddisfano i requisiti di cybersicurezza della EN 18031, senza coinvolgere un organismo notificato terzo. Nota formalmente come Modulo A (controllo interno della produzione) nell'ambito del quadro di valutazione della conformita UE, questa procedura conferisce al produttore il pieno controllo della valutazione - e la piena responsabilita del risultato.

L'autovalutazione e legalmente valida: La valutazione di conformita Modulo A e esplicitamente consentita dalla Direttiva sulle apparecchiature radio (RED) per i requisiti di cybersicurezza attivati dal Regolamento Delegato (UE) 2022/30.
La EN 18031 e la norma armonizzata: Seguire EN 18031-1, EN 18031-2 ed EN 18031-3 fornisce una presunzione di conformita rispettivamente agli Articoli 3.3(d), 3.3(e) e 3.3(f) della RED.
Il processo e strutturato, non libero: L'autovalutazione segue un flusso di lavoro definito - definizione dell'ambito, identificazione degli asset, valutazione sezione per sezione tramite alberi decisionali, esecuzione del piano di test e generazione della Dichiarazione di Conformita (DoC).
La documentazione tecnica e il prodotto finale: L'intera autovalutazione deve essere registrata in una documentazione tecnica strutturata che le autorita di sorveglianza del mercato possono esaminare in qualsiasi momento.
Esistono strumenti per accelerare il processo: Piattaforme come RedComply automatizzano le parti piu dispendiose in termini di tempo - compilazione delle tabelle, navigazione degli alberi decisionali, calcoli del piano di test e generazione della DoC.

Cos'e il Modulo A e perche e importante?

Valutazione di conformita Modulo A - ingegnere che esamina documentazione di conformita su monitor con diagramma di flusso

Ai sensi della Direttiva sulle apparecchiature radio (RED) - in particolare il Regolamento Delegato (UE) 2022/30 che attiva gli Articoli 3.3(d), 3.3(e) e 3.3(f) - i produttori di apparecchiature radio connesse a Internet devono dimostrare la conformita alla cybersicurezza prima di immettere i prodotti sul mercato UE.

La RED consente due percorsi di valutazione della conformita:

Modulo A (Controllo interno della produzione): Il produttore esegue la valutazione internamente, prepara la documentazione tecnica e firma la Dichiarazione di Conformita autonomamente.
Modulo B + C (Esame UE del tipo + Conformita al tipo): Un organismo notificato esamina il progetto del prodotto (Modulo B) e il produttore conferma la conformita della produzione in corso (Modulo C).

Il Modulo A e il percorso di autovalutazione. Significa che non e necessario alcun laboratorio di test esterno per la parte di cybersicurezza della conformita RED. Il produttore si assume la piena responsabilita della valutazione del prodotto rispetto alla EN 18031 e della documentazione dei risultati.

Questo e importante perche offre ai produttori il controllo diretto su tempistiche, costi e velocita di iterazione. Tuttavia, significa anche che la documentazione tecnica deve essere sufficientemente accurata da resistere all'esame delle autorita di sorveglianza del mercato UE, che possono richiederla in qualsiasi momento dopo l'immissione del prodotto sul mercato.

Quando e appropriato il Modulo A?

Il Modulo A e appropriato per la maggior parte dei produttori che dispongono di competenze interne in cybersicurezza o accesso a strumenti di conformita. E particolarmente adatto quando:

Il vostro team di ingegneria comprende l'architettura di sicurezza del dispositivo
Avete accesso alla EN 18031 e potete mappare i requisiti al vostro prodotto
Avete bisogno di iterare rapidamente (l'autovalutazione evita la coda dell'organismo notificato)
Disponete di una piattaforma di conformita o di un flusso di lavoro strutturato per garantire la completezza

Se il vostro team non ha competenze in cybersicurezza o il prodotto ha un'architettura di sicurezza particolarmente complessa, il Modulo B + C con un organismo notificato puo fornire garanzie aggiuntive - ma non e legalmente obbligatorio.

Passo dopo passo: il flusso di lavoro dell'autovalutazione

Flusso di lavoro dell'autovalutazione passo dopo passo - vista isometrica delle fasi collegate dalla definizione dell'ambito alla Dichiarazione di Conformita

Un'autovalutazione completa per la cybersicurezza RED segue una sequenza strutturata. Ogni fase si basa sulla precedente, e saltare fasi crea lacune che le autorita di sorveglianza del mercato individueranno.

L'autovalutazione segue un processo strutturato di valutazione del rischio. La nostra guida alla valutazione del rischio fornisce una descrizione dettagliata di ogni fase.

Fase 1: Definire l'ambito di conformita

Determinare quali parti della EN 18031 si applicano al vostro dispositivo in base alla sua funzionalita:

EN 18031-1 (Articolo 3.3(d)): Sicurezza di rete - si applica ai dispositivi che si connettono a Internet o a una rete
EN 18031-2 (Articolo 3.3(e)): Privacy e protezione dei dati - si applica ai dispositivi che trattano dati personali
EN 18031-3 (Articolo 3.3(f)): Prevenzione delle frodi - si applica ai dispositivi coinvolti in transazioni finanziarie o valuta virtuale

La maggior parte dei dispositivi connessi a Internet richiede almeno la EN 18031-1. Molti richiedono anche la EN 18031-2. L'ambito determina quali sezioni, tabelle e requisiti compaiono nella vostra valutazione.

Fase 2: Identificare e catalogare gli asset

Prima di valutare qualsiasi requisito, dovete identificare cio che necessita di protezione nel vostro dispositivo. La EN 18031 definisce categorie specifiche di asset:

Funzioni di sicurezza: Caratteristiche del dispositivo che implementano misure di sicurezza (autenticazione, crittografia, controllo degli accessi, verifica del firmware)
Parametri di sicurezza: Dati che governano il comportamento delle funzioni di sicurezza - suddivisi in Parametri di Sicurezza Confidenziali (CSP) e Parametri di Sicurezza Sensibili (SSP)
Asset di rete: Risorse di rete, servizi e interfacce esposti dal dispositivo
Asset per la privacy: Dati personali elaborati, memorizzati o trasmessi dal dispositivo (EN 18031-2)
Asset finanziari: Dati finanziari o valuta virtuale gestiti dal dispositivo (EN 18031-3)

L'identificazione degli asset non e facoltativa. E il fondamento da cui dipende ogni successiva valutazione dei requisiti. Se l'inventario degli asset e incompleto, la vostra valutazione avra lacune strutturali.

Fase 3: Lavorare sulle sezioni di conformita

La EN 18031 organizza i requisiti in sezioni di conformita. Ogni sezione contiene tabelle strutturate in cui documentare come il dispositivo soddisfa requisiti specifici. Le sezioni principali includono:

Identificazione dell'apparecchiatura (identificazione del dispositivo e del modulo radio)
Meccanismi di controllo degli accessi (autenticazione, autorizzazione, credenziali predefinite)
Gestione delle vulnerabilita (divulgazione, patching, monitoraggio)
Crittografia (algoritmi, gestione delle chiavi, gestione dei certificati)
Meccanismi di aggiornamento software (distribuzione e verifica sicura degli aggiornamenti)
Logging e monitoraggio (registrazione degli eventi di sicurezza)
Monitoraggio di rete (analisi del traffico, rilevamento di anomalie)

Ogni riga della tabella richiede informazioni specifiche: quale meccanismo esiste, come funziona, quali asset protegge e quali evidenze supportano la dichiarazione.

Fase 4: Completare gli alberi decisionali

Molti requisiti della EN 18031 vengono valutati attraverso alberi decisionali - sequenze strutturate di domande si/no che portano a un esito deterministico: PASS, FAIL o NOT_ASSESSED. Gli alberi decisionali garantiscono che ogni requisito venga valutato in modo coerente e che la logica di ogni esito sia registrata.

Ad esempio, un albero decisionale per un requisito di controllo degli accessi potrebbe chiedere: Il dispositivo impone l'autenticazione? Se si, utilizza credenziali univoche? Se si, le credenziali predefinite sono modificabili? Ogni risposta porta alla domanda successiva o a un verdetto finale.

Fase 5: Eseguire il piano di test

La EN 18031 richiede un piano di test a tre livelli per validare la vostra valutazione:

Valutazione Concettuale: Valuta ogni elemento di test rispetto ai risultati degli alberi decisionali e alle giustificazioni degli esperti - il meccanismo di sicurezza dichiarato ha effettivamente prodotto un esito positivo?
Valutazione della Sufficienza Funzionale: Verifica se le misure di sicurezza implementate sono sufficienti per ogni unita di valutazione - i vostri controlli sono adeguati, non solo presenti?
Valutazione della Completezza Funzionale: Identifica lacune - ci sono requisiti che mancano completamente di elementi di test documentati?

Le condizioni di verdetto vengono valutate automaticamente quando si utilizzano strumenti strutturati: pattern come "Almeno un PASS nella colonna risultato DT" o "Nessuna voce FAIL presente" determinano se ogni elemento di test supera la verifica. Il verdetto finale per ogni sezione viene calcolato dalle maschere di criteri di superamento/fallimento.

Fase 6: Generare la Dichiarazione di Conformita

La Dichiarazione di Conformita (DoC) e il documento normativo finale. Compila tutti i risultati della valutazione in un PDF strutturato che dimostra che il vostro dispositivo soddisfa i requisiti EN 18031 applicabili. La DoC deve includere l'identificazione dell'apparecchiatura (presentata come coppie chiave-valore), le tabelle di valutazione (presentate orizzontalmente), gli esiti degli alberi decisionali e i risultati del piano di test.

Una volta firmata dal produttore, la DoC consente la marcatura CE e l'immissione sul mercato UE.

Autovalutazione vs. certificazione di terze parti

Confronto tra autovalutazione Modulo A e certificazione di terze parti Modulo B+C per la conformita cybersicurezza RED

La scelta tra Modulo A (autovalutazione) e Modulo B + C (terze parti) e una delle prime decisioni che i produttori devono affrontare. Ecco un confronto diretto:

Aspetto	Modulo A (Autovalutazione)	Modulo B + C (Terze parti)
Chi esegue la valutazione?	Il produttore internamente	Un organismo notificato esamina il progetto; il produttore conferma la conformita della produzione
Validita legale	Pienamente valido ai sensi della RED	Pienamente valido ai sensi della RED
Costo	Inferiore (risorse interne + strumenti)	Superiore (tariffe dell'organismo notificato + preparazione interna)
Tempistica	Controllata dal produttore	Dipendente dalla disponibilita e dai cicli di revisione dell'organismo notificato
Onere documentale	Documentazione tecnica completa preparata dal produttore	Stessa documentazione richiesta, piu artefatti di revisione dell'organismo notificato
Velocita di iterazione	Rapida - le modifiche possono essere rivalutate immediatamente	Lenta - modifiche significative possono richiedere un nuovo esame
Rischio sorveglianza del mercato	La documentazione deve resistere alla revisione delle autorita post-mercato	Il certificato dell'organismo notificato fornisce garanzia aggiuntiva
Ideale per	Team con competenze in cybersicurezza o strumenti di conformita	Prodotti complessi o produttori senza competenze interne in sicurezza

L'aspetto fondamentale: i requisiti di documentazione sono identici indipendentemente dal modulo scelto. Il Modulo A non significa meno lavoro - significa fare lo stesso lavoro senza pagare un organismo notificato per la revisione. La qualita della vostra documentazione tecnica e cio che conta.

Checklist di preparazione all'autovalutazione

Prima di iniziare la vostra autovalutazione EN 18031, verificate che il vostro team e le risorse siano pronti. Utilizzate questa checklist per identificare le lacune prima che diventino bloccanti:

Accesso alla EN 18031: Disponete delle copie di EN 18031-1, EN 18031-2 e/o EN 18031-3 (le parti applicabili al vostro dispositivo)
Architettura di sicurezza del dispositivo documentata: Il vostro team di ingegneria puo descrivere tutte le funzioni di sicurezza, le implementazioni crittografiche, le interfacce di rete e i flussi di dati
Inventario degli asset avviato: Avete iniziato a identificare funzioni di sicurezza, parametri di sicurezza (CSP e SSP), servizi di rete e (se applicabili) asset per la privacy e finanziari
Strumenti di conformita disponibili: Disponete di una piattaforma o di un flusso di lavoro strutturato per completare tabelle di conformita, alberi decisionali e piani di test - non solo fogli di calcolo
Competenze interne disponibili: Almeno un membro del team comprende i concetti di cybersicurezza, la struttura della EN 18031 e la metodologia degli alberi decisionali
Evidenze di test disponibili: Potete fornire evidenze per ogni meccanismo di sicurezza dichiarato - file di configurazione, risultati dei test, riferimenti al codice o diagrammi dell'architettura
Capacita di generazione della DoC: Avete un modo per compilare tutti i dati della valutazione in un PDF strutturato di Dichiarazione di Conformita
Impegno della direzione: La dirigenza comprende che il produttore si assume la piena responsabilita legale per l'autovalutazione Modulo A

Se tre o piu elementi mancano, considerate di coinvolgere un consulente per la valutazione iniziale o di utilizzare una piattaforma di conformita dedicata come RedComply che fornisce la struttura e la guida per affrontare il processo in modo sistematico.

Avere gli strumenti giusti fa una differenza significativa. Consulta il nostro confronto degli strumenti di mappatura delle clausole EN 18031 per valutare le opzioni.

Domande frequenti

L'autovalutazione e davvero accettata per la conformita cybersicurezza RED?

Si. Il Modulo A (controllo interno della produzione) e esplicitamente consentito dalla Direttiva sulle apparecchiature radio per i requisiti di cybersicurezza attivati dal Regolamento Delegato (UE) 2022/30. Non esiste alcun obbligo legale di utilizzare un organismo notificato per gli Articoli 3.3(d), 3.3(e) o 3.3(f). Il produttore puo eseguire la valutazione, preparare la documentazione e firmare la Dichiarazione di Conformita in autonomia.

Quanto tempo richiede tipicamente un'autovalutazione EN 18031?

La tempistica dipende fortemente dalla complessita del dispositivo e dalla preparazione del team. Per un dispositivo IoT di media complessita con una parte di EN 18031 applicabile, un team ben preparato con strumenti adeguati puo completare la valutazione in 2-4 settimane. Senza strumenti strutturati, la stessa valutazione richiede spesso 2-4 mesi a causa del volume di tabelle, alberi decisionali e riferimenti incrociati coinvolti. Le valutazioni multi-standard (EN 18031-1 + EN 18031-2 + EN 18031-3) richiedono proporzionalmente piu tempo.

Cosa succede se la sorveglianza del mercato trova problemi nella mia autovalutazione?

Le autorita di sorveglianza del mercato possono richiedere la vostra documentazione tecnica in qualsiasi momento dopo l'immissione sul mercato. Se trovano la documentazione incompleta, incoerente o insufficiente, possono richiedere azioni correttive, limitare o ritirare il prodotto dal mercato e imporre sanzioni. Ecco perche una documentazione accurata e essenziale - non basta spuntare caselle, ma occorre fornire evidenze sostanziali per ogni dichiarazione.

Posso passare dall'autovalutazione alla certificazione di terze parti in seguito?

Si. Il modulo di valutazione della conformita viene scelto per prodotto e puo essere modificato per versioni o varianti successive del prodotto. Alcuni produttori iniziano con il Modulo A per l'ingresso iniziale sul mercato e successivamente coinvolgono un organismo notificato (Modulo B + C) per garanzie aggiuntive sui prodotti ad alto volume. La documentazione tecnica preparata per il Modulo A e in gran parte riutilizzabile per il Modulo B + C.

Devo autovalutarmi rispetto a tutte e tre le parti della EN 18031?

No. Quali parti si applicano dipende dalla funzionalita del vostro dispositivo. La EN 18031-1 (sicurezza di rete) si applica alla maggior parte dei dispositivi connessi a Internet. La EN 18031-2 (privacy) si applica se il dispositivo tratta dati personali. La EN 18031-3 (prevenzione delle frodi) si applica se il dispositivo gestisce transazioni finanziarie o valuta virtuale. Un semplice sensore Wi-Fi potrebbe necessitare solo della EN 18031-1, mentre un terminale di pagamento intelligente necessiterebbe di tutte e tre le parti.

Inizia con RedComply

RedComply e costruito appositamente per l'autovalutazione EN 18031. La piattaforma trasforma il complesso processo documentale descritto in questa guida in un flusso di lavoro guidato e strutturato con assistenza IA in ogni fase.

Ecco come RedComply supporta ogni fase della vostra autovalutazione:

Definizione dell'ambito: Create un progetto, selezionate quali parti della EN 18031 si applicano, e la piattaforma filtra automaticamente sezioni, tabelle e requisiti per mostrare solo cio che e rilevante
Identificazione degli asset: Tabelle strutturate per documentare funzioni di sicurezza, parametri di sicurezza, asset di rete, asset per la privacy e asset finanziari - con assistenza IA per suggerire e incrociare le voci
Valutazione sezione per sezione: Tabelle di conformita AG Grid con integrazione degli alberi decisionali, campi auto-compilati e controlli di coerenza in tempo reale
Esecuzione del piano di test: Piano di test a tre livelli con condizioni di verdetto calcolate automaticamente - la piattaforma rileva i pattern, valuta le maschere di criteri e segnala le valutazioni incomplete
Dichiarazione di Conformita: Generazione PDF con un clic che compila tutti i dati della valutazione in un documento normativo strutturato pronto per la marcatura CE

RedComply riduce i tempi di conformita EN 18031 di oltre il 90%. Invece di trascorrere mesi su fogli di calcolo e riferimenti incrociati manuali, il vostro team puo concentrarsi sulle decisioni ingegneristiche che richiedono davvero competenze umane.

Visitate redcomply.com per saperne di piu e iniziare oggi la vostra autovalutazione EN 18031.

Back to Home