← Torna al blog

Mancano 7 mesi al CRA — Sai dove sono i tuoi CVE?

· Verimu
Conformità CRACyber Resilience ActMonitoraggio CVESBOMRegolamento UE

L'11 settembre 2026 non è la data di piena entrata in vigore del Cyber Resilience Act europeo. Quella è il 11 dicembre 2027. Ma l'11 settembre 2026 è quando gli obblighi di segnalazione delle vulnerabilità del CRA diventano giuridicamente vincolanti — e quella scadenza è ormai a circa sette mesi.

Da quella data, ogni produttore di prodotti con elementi digitali venduti nell'UE dovrà segnalare le vulnerabilità attivamente sfruttate all'ENISA entro 24 ore dalla scoperta. Una notifica completa segue entro 72 ore. Un rapporto finale è dovuto entro 14 giorni dalla disponibilità di una misura correttiva.

Questo si applica ai prodotti già sul mercato. Si applica al software rilasciato nel 2020. Si applica indipendentemente dal fatto che tu abbia iniziato il tuo percorso di conformità CRA.

La dipendenza nascosta che la maggior parte dei team ignora

La maggior parte delle organizzazioni pianifica intorno alla data di conformità completa del 11 dicembre 2027. È allora che entrano in vigore i requisiti SBOM, le valutazioni di conformità e gli obblighi di marcatura CE. Quindi il ragionamento è: abbiamo tempo.

Ma ecco il problema. Per segnalare una vulnerabilità attivamente sfruttata entro 24 ore, devi sapere:

  1. Quali componenti software sono nel tuo prodotto
  2. Quali di questi componenti sono interessati da un determinato CVE
  3. Se quel CVE è attivamente sfruttato

Non puoi fare nulla di tutto ciò senza un SBOM e un processo di monitoraggio delle vulnerabilità. In pratica, la preparazione SBOM è un prerequisito per settembre 2026, anche se gli SBOM non sono formalmente richiesti fino a dicembre 2027.

Come ha affermato il team di sicurezza di Keysight in un articolo: "Non puoi segnalare ciò che non conosci."

La tempistica di segnalazione

Quando un produttore viene a conoscenza di una vulnerabilità attivamente sfruttata nel proprio prodotto, il CRA richiede:

Scadenza Requisito
24 ore Allerta precoce al CSIRT tramite la Piattaforma Unica di Segnalazione dell'ENISA
72 ore Notifica completa con valutazione della gravità e prodotti interessati
14 giorni Rapporto finale una volta disponibile una misura correttiva o mitigante

La Piattaforma Unica di Segnalazione dell'ENISA sarà operativa entro settembre 2026. Una volta attiva, non ci sarà periodo di grazia.

Il calcolo delle sanzioni

La non conformità al CRA può comportare sanzioni fino a 15 milioni di euro o al 2,5% del fatturato annuo globale, a seconda di quale importo sia maggiore. Per fare un esempio, un'azienda software europea di medie dimensioni con 100 milioni di euro di fatturato annuo rischia una potenziale multa di 2,5 milioni di euro — per una singola mancata segnalazione.

Anche per le aziende ben al di sotto di quella soglia di fatturato, il danno reputazionale di una notifica CRA mancata potrebbe essere peggiore della multa stessa.

Il panorama attuale: cosa c'è là fuori

Se stai iniziando a valutare gli strumenti, il mercato si divide sostanzialmente così:

Piattaforme SCA enterprise — strumenti come Snyk, Sonatype e FOSSA offrono analisi della composizione del software con generazione di SBOM come funzionalità. Queste piattaforme sono potenti e mature, ma sono state progettate per team di sicurezza americani e costano spesso €2.000–5.000+/mese. I workflow specifici per il CRA (segnalazione 24h→72h→14d, integrazione EUVD, reportistica ENISA) generalmente non sono integrati.

Gestori del ciclo di vita SBOM — strumenti come Cybeats SBOM Studio e sbomify si concentrano sulla gestione, archiviazione e condivisione degli SBOM. Sono forti sul lato documentale ma possono richiedere strumenti separati per il rilevamento e l'allerta delle vulnerabilità.

Generatori open source — Syft, cdxgen e npm-sbom possono generare SBOM nelle pipeline CI/CD. Sono gratuiti e flessibili, ma dovrai costruire tu stesso il workflow di monitoraggio CVE, allerta e reportistica.

Piattaforme focalizzate sul CRA — una categoria più recente di strumenti costruiti specificamente intorno alle tempistiche e ai requisiti del CRA. ScanDog e Verimu rientrano in questa categoria: progettati appositamente per la conformità europea, con generazione SBOM, monitoraggio delle vulnerabilità e reportistica normativa come funzionalità principali anziché componenti aggiuntivi.

La domanda non è se hai bisogno di uno strumento. È quali compromessi sei disposto ad accettare: costruire vs. comprare, costo vs. copertura, nativo per il CRA vs. adattato.

Cosa significa "pronto per il CRA" entro settembre

Entro l'11 settembre 2026, come minimo, dovresti avere:

  1. Un SBOM completo per ogni prodotto sul mercato — che copra tutte le dipendenze dirette e transitive, in formato CycloneDX o SPDX
  2. Monitoraggio automatizzato delle vulnerabilità — che incrocia i tuoi SBOM con NVD, EUVD e idealmente CISA KEV per i segnali di vulnerabilità attivamente sfruttata
  3. Un workflow di allerta — che notifica le persone giuste entro ore, non giorni
  4. Un processo di segnalazione — mappato sulla tempistica 24h/72h/14d del CRA, con modelli pronti per la Piattaforma Unica di Segnalazione dell'ENISA
  5. Documentazione — che dimostri che questo processo esiste, è stato testato ed è operativo prima della scadenza

Se uno qualsiasi di questi elementi manca, sei esposto.

Come si inserisce Verimu

Verimu è stato costruito specificamente per questo problema. Siamo un team di ingegneri di software medicale e industriale che hanno affrontato in prima persona la pianificazione della conformità CRA e hanno capito che il divario negli strumenti era enorme — specialmente per i piccoli e medi team software europei che non hanno un budget di 50.000 €/anno per strumenti di sicurezza.

Ecco cosa fa Verimu oggi:

  • Generazione SBOM — CycloneDX 1.7, conforme NTIA, generato automaticamente ad ogni commit tramite GitHub App
  • Monitoraggio CVE — incrociando NVD, EUVD e CISA KEV
  • Allerte in tempo reale — notifiche email al tuo team quando una vulnerabilità interessa le tue dipendenze
  • Template di reportistica CRA — mappati sulla tempistica di notifica 24h/72h/14d
  • Infrastruttura ospitata in UE — i tuoi dati restano in Europa

A partire da 49 €/mese — non migliaia.

Partiamo con GitHub e npm/Node.js, con supporto per C#, Java, Go e Rust sulla roadmap.

Se vuoi vedere come appare un SBOM conforme prima di impegnarti, puoi generarne uno direttamente nel browser — senza registrazione.

Sette mesi sono meno di quanto sembri. Specialmente quando il primo mese va alla valutazione, il secondo all'approvvigionamento, il terzo all'integrazione, e vuoi almeno un trimestre di margine prima della scadenza.

Inizia gratis → o prenota una demo per vedere come Verimu può renderti conforme al CRA prima di settembre.