Независимо ръководство за Регламент (ЕС) 2024/2847 · Състояние: в сила
Тази страница е автоматичен превод (с ИИ) и не е прегледана от човек.
Път към съответствие · Насоки

Ръководство за CRA за разработчици на софтуер

Как се прилага Актът за киберустойчивост за софтуерните продукти; от сигурната разработка до обработването на уязвимостите, SBOM и маркировката „СЕ“.

Прилага се за
Софтуер с цифрови елементи
Съответствие
Стандарти или трета страна
Период на поддръжка
Определен, ≥ очаквана употреба

Стъпки за съответствие

1

Потвърдете обхвата и класа

Art. 2 · 6

Повечето софтуерни продукти, пуснати на пазара на ЕС с връзка за данни, попадат в обхвата, а много инструменти за разработчици попадат в категорията „важни“ по приложение III.

  • Изпълнете CRA Fast Check, за да потвърдите обхвата
  • Определете дали Вашият продукт е по подразбиране, важен или критичен
  • Запишете обосновката в Вашата документация
Инструмент за тази стъпка
2

Изграждайте сигурност по проект (security by design)

Annex I · I

Проектирайте и разработете продукта така, че да отговаря на съществените свойства на сигурността през целия му жизнен цикъл.

  • Доставяйте сигурна конфигурация по подразбиране
  • Прилагайте удостоверяване и контрол на достъпа
  • Защитавайте данните с криптиране при пренос и в покой
  • Сведете до минимум повърхността за атаки и изложените интерфейси
Често срещан капан

Оставяне на включени интерфейси за отстраняване на грешки, идентификационни данни по подразбиране или подробен изход за грешки в производствените компилации.

Инструмент за тази стъпка
3

Установете обработването на уязвимостите

Annex I · II

Прилагайте документиран процес за намиране, отстраняване и оповестяване на уязвимости през целия период на поддръжка.

  • Публикувайте политика за координирано оповестяване на уязвимости
  • Осигурете точка за контакт за докладване на проблеми
  • Отстранявайте уязвимостите без необосновано забавяне
  • Оповестявайте отстранените уязвимости, след като е налична актуализация
4

Поддържайте софтуерна спецификация на материалите

Приложение I · II(1)

Поддържайте актуален SBOM, обхващащ поне зависимостите от най-високо ниво на Вашия продукт.

  • Генерирайте SBOM в машинночетим формат
  • Проследявайте компонентите и техните известни уязвимости
  • Поддържайте го актуален с всяко издание
Инструмент за тази стъпка
5

Доставяйте безплатни и навременни актуализации на сигурността

Annex I · I(2)

Предоставяйте актуализациите на сигурността отделно от функционалните актуализации, безплатно, за декларирания период на поддръжка.

  • Определете и публикувайте периода на поддръжка
  • Доставяйте актуализации на сигурността своевременно
  • Разпространявайте кръпките чрез сигурен механизъм
6

Съставете техническа документация

Приложение VII

Съставете документацията, която доказва съответствието, и я поддържайте на разположение за надзора на пазара.

  • Описание на продукта и предвидена употреба
  • Оценка на рисковете за киберсигурността
  • Регистри на приложените стандарти
7

Оценете съответствието и поставете маркировка „СЕ“

Art. 32 · 36

Извършете пътя за оценяване на съответствието за Вашия клас и съставете ЕС декларацията за съответствие.

  • Самооценка (по подразбиране) или използване на нотифициран орган (важни/критични)
  • Изгответе и подпишете ЕС декларацията за съответствие
  • Поставете маркировката „СЕ“
Инструмент за тази стъпка
8

Изпълнете задълженията за докладване и поддържайте продукта

Art. 13(8) · 14

От септември 2026 г. уведомявайте за активно експлоатирани уязвимости и тежки инциденти и продължавайте да поддържате продукта през целия му период на поддръжка.

  • Подайте ранно предупреждение до ENISA и CSIRT в срок от 24 часа
  • Последвайте с уведомление и окончателен доклад
  • Информирайте засегнатите потребители, когато е целесъобразно
Вашето текущо задължение

Периодът на поддръжка трябва да бъде поне пет години (или очаквания срок на употреба на продукта, ако е по-дълъг), считано от момента на пускането му на пазара на ЕС. През целия този период трябва да обработвате уязвимостите и да предоставяте безплатни актуализации на сигурността; всяка актуализация след това трябва да остане налична в продължение на 10 години, а техническото досие и ЕС декларацията трябва да се съхраняват в продължение на 10 години.

Безплатни инструменти за тази роля

Всеки инструмент по-долу е безплатен за използване и се отваря тук в страничен панел, така че да не губите мястото си.

БезплатноCRA Fast Check

Потвърдете дали Актът се прилага и Вашия вероятен клас.

Отвори тук →БезплатноМатрица на съответствието

Картографирайте всяко задължение по приложение I и VII и го проследявайте до изпълнение.

Отвори тук →БезплатноКалкулатор на разходите

Оценете еднократните и годишните разходи за съответствие.

Отвори тук →БезплатноVulnerability Analyzer

Сверете Вашия SBOM спрямо NVD и EUVD и проследявайте компонентите с изтичащ жизнен цикъл.

Отвори тук →БезплатноГенератор на DoC

Генерирайте ЕС декларация за съответствие (приложение V) за Вашия продукт.

Отвори тук →БезплатноИнструмент за намиране на класификацията

Установете точно дали Вашият продукт е по подразбиране, важен или критичен, по наименование.

Отвори тук →БезплатноПланиращ инструмент за периода на поддръжка

Определете минималния си период на поддръжка и маркирайте компонентите, които достигат края на жизнения си цикъл твърде скоро.

Отвори тук →
Още насоки

Други ръководства за заинтересованите страни

M

Производители

Задълженията, които Актът за киберустойчивост налага на производителите на продукти с цифрови елементи; от оценката на риска до маркировката „СЕ“ и задълженията след пускането на пазара.

Прочетете това ръководство →
I

Вносители и дистрибутори

Какво трябва да проверят икономическите оператори преди; и след; предоставянето на продукт с цифрови елементи на пазара на ЕС.

Прочетете това ръководство →
CE

Как да получите маркировка „СЕ“

Стъпките за деклариране на съответствие и поставяне на маркировката „СЕ“ за продукт с цифрови елементи.

Прочетете ръководството →