La maggior parte dei produttori di dispositivi medici ritiene che la conformità CRA non sia applicabile ai propri prodotti. In parte hanno ragione. E questo è il lato pericoloso della questione.
Esenzione CRA per dispositivi medici: l'esposizione che crea
I dispositivi medici regolamentati dal MDR e dall'IVDR sono esplicitamente esclusi dal CRA. Il software integrato nel dispositivo, ovvero la parte che rientra nella definizione di dispositivo medico, rimane soggetto alla norma IEC 62304, all'allegato I del MDR e ai relativi requisiti di sicurezza informatica.
Ma il tuo dispositivo non funziona da solo.
Si collega a un'app complementare. Comunica con una dashboard cloud. Riceve aggiornamenti del firmware tramite un server di aggiornamento. Trasmette dati tramite WiFi o Bluetooth.
Ciascuno di questi componenti può essere soggetto a una normativa diversa. E la maggior parte di essi non è esente.
CRA, MDR e RED: tre regolamenti per un unico dispositivo medico
L'MDR / IVDR disciplina il dispositivo medico stesso.
La direttiva sulle apparecchiature radio (RED) disciplina le apparecchiature radio connesse a Internet: i requisiti di sicurezza informatica di cui agli articoli 3.3(d), (e) e (f) sono diventati obbligatori il 1° agosto 2025.
Il Cyber Resilience Act (CRA) regola i prodotti con elementi digitali, tra cui app complementari, servizi cloud e infrastrutture di aggiornamento che non sono classificati come dispositivi medici.
Il tuo dispositivo potrebbe essere esente. Il tuo ecosistema no.
Eccezione importante: anche nell'ambito dell'attuale esenzione CRA , i dispositivi medici indossabili (dispositivi indossabili sul corpo) devono soddisfare i requisiti CRA. L'esenzione è più limitata di quanto molti produttori ritengano.
11 settembre 2026: la scadenza per cui nessuno si sta preparando
L'applicazione completa del CRA avrà inizio l'11 dicembre 2027. Tuttavia, gli obblighi di segnalazione delle vulnerabilità ai sensi dell'articolo 14 entreranno in vigore l'11 settembre 2026.
A partire da tale data, i produttori dei prodotti interessati devono:
- Inviare un avviso tempestivo all'ENISA e ai CSIRTnazionali entro 24 ore dalla scoperta di una vulnerabilità attivamente sfruttata.
- Fornire una notifica dettagliata della vulnerabilità entro 72 ore
- Presentare una relazione finale entro e non oltre 14 giorni dalla disponibilità di una misura correttiva.
Non si tratta di un esercizio di documentazione. È una capacità operativa che o si possiede o non si possiede.
Nota per le PMI: la CRA prevede che le microimprese e le piccole imprese non possano essere multate per il mancato rispetto del termine di segnalazione di 24 ore. Tuttavia, l'obbligo di segnalazione rimane comunque valido e deve essere comunque predisposta l'infrastruttura operativa necessaria per individuare e valutare le vulnerabilità.
Uno scenario che può verificarsi
Una vulnerabilità critica di OpenSSL è attualmente oggetto di attacchi in rete.
La tua dashboard cloud utilizza OpenSSL 1.1.1. La tua app complementare utilizza una libreria condivisa che dipende da essa. Il tuo server di aggiornamento OTA non viene controllato da 18 mesi.
Riesci a rispondere a queste domande proprio adesso?
- Quali prodotti distribuiti sono interessati?
- La vulnerabilità è sfruttabile nella tua configurazione specifica?
- È possibile avvisare le autorità entro 24 ore?
- È possibile distribuire una patch sicura all'intera base installata?
Se no, non sei pronto per settembre 2026.
L'esenzione potrebbe non durare
Nel dicembre 2025, la Commissione Europea ha pubblicato una proposta di modifica dell'MDR e dell'IVDR che eliminerebbe completamente l'esenzione CRA per i dispositivi medici. In base a questa proposta, la sicurezza informatica verrebbe esplicitamente aggiunta ai requisiti generali di sicurezza e prestazione (GSPR) dell'Allegato I dell'MDR e dell'IVDR, e i dispositivi medici non sarebbero più esclusi dal CRA.
La proposta introduce inoltre nuovi obblighi per i produttori di dispositivi medici di segnalare attivamente le vulnerabilità sfruttate e gli incidenti informatici gravi ai CSIRT nazionali e all'ENISA, rispecchiando i requisiti dell'articolo 14 del CRA.
Si tratta di una proposta della Commissione, non ancora adottata. Richiede l'approvazione del Parlamento europeo e del Consiglio, che in genere richiede dai 12 ai 24 mesi. Ma la direzione è chiara: gli obblighi in materia di sicurezza informatica per i produttori di dispositivi medici sono in espansione, non in contrazione.
Indipendentemente dal fatto che l'esenzione venga mantenuta o meno, l'infrastruttura ingegneristica necessaria rimane la stessa: SBOM, monitoraggio CVE, aggiornamenti OTA e capacità di risposta agli incidenti.
Cosa significa la conformità CRA per il vostro team di ingegneri
In MDR, RED e CRA, le autorità di regolamentazione stanno convergendo su un unico principio: i produttori devono conoscere il contenuto del proprio software, monitorarlo costantemente e aggiornarlo rapidamente.
Questo problema non si risolve assumendo un consulente normativo per due settimane. Richiede infrastrutture ingegneristiche:
- Una distinta dei materiali software (SBOM) derivata dalla build: non un foglio di calcolo, ma un artefatto live proveniente dalla tua pipeline di build effettiva.
- Monitoraggio continuo dei CVE confrontati con i binari distribuiti
- Funzionalità di aggiornamento over-the-air (OTA) sicura
- Documentazione pronta per la revisione che collega il tuo SBOM alla tua analisi dei rischi
- Fornitori qualificati secondo la norma ISO 13485 per componenti software critici
La conformità alla sicurezza informatica è ormai una decisione architettonica, non un ripensamento normativo.
La vera domanda
La questione non è se la CRA si applichi oggi al vostro dispositivo medico.
La domanda è: il tuo ecosistema di prodotti completo ( sistema operativo del dispositivo, app complementare, backend cloud, infrastruttura di aggiornamento ) sarà in grado di superare il controllo normativo dopo settembre 2026? E sarai pronto quando l'esenzione verrà ulteriormente ridotta o scomparirà del tutto?
Il termine ultimo per la segnalazione delle vulnerabilità CRA è l'11 settembre 2026. Conta all'indietro da quella data: ecco quanto tempo hai a disposizione.
Quadro normativo descritto a febbraio 2026.
Sei pronto per il CRA? Scoprilo in 5 minuti.
Abbiamo pubblicato un white paper dettagliato con una checklist di autovalutazione che copre tutte e tre le normative (MDR, RED, CRA), una guida alla classificazione dei componenti, gli importi delle sanzioni e un piano d'azione di 90 giorni per raggiungere la prontezza operativa prima di settembre 2026.
Non riesci ad aspettare 90 giorni?
Forniamo il livello OS su cui si basa la conformità CRA.
SBOM · Monitoraggio CVE · Aggiornamenti OTA · Documentazione IEC 62304 — in 30 giorni.
PRENOTA UNA CHIAMATA DI VALUTAZIONE →Certificazione ISO 13485 (sviluppo software e sicurezza informatica) · l4b-software.com
**Questo articolo è fornito solo a scopo informativo generale e non costituisce un parere legale o normativo.
Per inviare un commento è necessario aver effettuato il login.