Työkalut · Valmistajan tarkistuslista
Vaatimustenmukaisuusmatriisi
Jokainen digitaalisia elementtejä sisältävien tuotteiden valmistajien velvoite esitettynä koko tuotteen elinkaaren ajalta artiklaviittauksineen. Käy se läpi ja seuraa edistymistäsi; koko tarkistuslista on maksutta nähtävissä. Edistyminen tallennetaan tähän selaimeen.
Oletus · route
Oletustuotteet voivat tehdä itsearvioinnin moduulin A mukaisesti. Ilmoitettua laitosta ei vaadita, mutta täydellisten teknisten asiakirjojen ja DoC:n on silti oltava kunnossa.
1 · Perusteet
Yritystason perusteet
0 / 4Organisaatiotason vaatimukset, joiden on oltava kunnossa ennen tuotekohtaisen työn aloittamista.
Dokumentoitu turvallisen kehityksen elinkaari (SDL)Ylläpidä dokumentoitua SDL:ää, jossa määritellään vaiheet, roolit ja vastuut. Ulkoinen sertifiointi (IEC 62443-4-1, ISO/IEC 27001) on valinnaista, mutta luo vaatimustenmukaisuusolettaman.
13 art. 1 kohta · liite I
Todisteet SDL:n mukaisuudestaJos ulkoista sertifiointia ei ole, säilytä dokumentoitu näyttö sisäisestä SDL:n mukaisuudesta.
liite I · osa I
SDL kattaa sisäänrakennetun turvallisuuden ja oletusarvoisen turvallisuudenUUSISDL:n on nimenomaisesti käsiteltävä sitä, miten tuote minimoi hyökkäyspintansa ilman loppukäyttäjän tekemiä asetuksia.
liite I · I(2)(3)
EU:n valtuutettu edustaja (EU:n ulkopuoliset valmistajat)UUSIEU:n ulkopuolisten valmistajien on nimettävä kirjallisella valtuutuksella EU:hun sijoittautunut edustaja, joka mainitaan teknisissä asiakirjoissa ja DoC:ssa.
Art. 19
2 · Ennen kehitystä
Ennen kehityksen alkamista
0 / 9Luokitus, riskinarviointi ja tekniset edellytykset määrittävät laajuuden kaikelle, mikä seuraa.
Määritä tuotteen luokitusUUSITYÖKALU SAATAVILLAYksilöi, onko tuote oletus, tärkeä luokka I/II vai kriittinen (liitteet III ja IV). Luokitus määrittää vaatimustenmukaisuuden arviointireitin.
liite III/IV
Yksilöi vaatimustenmukaisuuden arviointireittiUUSIOletus: moduulin A itsearviointi. Tärkeä luokka I: moduuli A yhdenmukaistetun standardin kanssa, muutoin B+C tai H. Tärkeä luokka II ja kriittinen: aina ilmoitetun laitoksen kautta. 4–10 kuukauden läpimenoajat ovat yleisiä.
32 art. · liite VIII
Tuotekohtainen kyberturvallisuusriskien arviointiSuorita riskinarviointi ennen kehitystä. Säilytä kaikki versiot; kehitystä edeltävä alkuperäinen versio on osa teknisiä asiakirjoja.
liite I · I(1)
UhkamallinnusUUSIYksilöi hyökkäyspinta, uhkatoimijat, hyökkäysvektorit ja niistä johtuvat turvallisuusvaatimukset. Dokumentoi käytetty menetelmä.
liite I · I(1)
Kolmannen osapuolen ja avoimen lähdekoodin komponenttien käytäntöUUSITYÖKALU SAATAVILLAMääritä, miten kolmansien osapuolten ja avoimen lähdekoodin komponentit valitaan, arvioidaan ja hyväksytään, mukaan lukien EOL-vähimmäisvaatimukset ja haavoittuvuuksiin reagoinnin velvoitteet.
liite I · osa II
EOL-tarkistus työkaluille ja riippuvuuksilleTYÖKALU SAATAVILLATarkista kaikkien keskeisten työkalujen, ytimien, tietokantojen ja kirjastojen elinkaaren päättymispäivä. Vältä komponentteja, joiden EOL ajoittuu tuotteen tukikauden sisälle.
liite I · osa II
Tallennustilan salauksen toteutettavuusVarmista, että kohdelaitteisto tukee levossa olevan datan salausta; pakollinen vaatimus, joka voi pakottaa laitteistomuutokseen.
liite I · I(4)(e)
Minimoidun hyökkäyspinnan suunnitteluUUSISuunnittele jokaisen aiotulle toiminnolle tarpeettoman rajapinnan, palvelun, portin ja protokollan poistaminen tai oletusarvoinen käytöstä poistaminen.
liite I · I(2)(b)
Oletustunnusten käytäntöUUSIToimita ilman oletussalasanoja tai pakota käyttäjä asettamaan yksilöllinen tunnus ensimmäisellä käyttökerralla.
liite I · I(2)(c)
3 · Kehitys
Kehityksen aikana
0 / 5Turvallinen koodaus, testaus ja päivitysmekanismi, todennettuna koko kehitysvaiheen ajan.
Kyberturvallisuuteen keskittyvä testaussuunnitelmaTestitapaukset, jotka kohdistuvat todennukseen, pääsynvalvontaan, syötteen validointiin, salaukseen ja virheenkäsittelyyn. Dokumentoitu ja säilytetty teknisessä asiakirja-aineistossa.
liite I · I(1)
Todisteet SDL:n noudattamisestaOsoita dokumentoidulla näytöllä, että SDL:ää noudatettiin jokaisessa vaiheessa.
liite I · osa I
Tunkeutumistestaus / haavoittuvuusarviointiUUSISuorita tietoturvatestaus tuotteelle tai edustavalle versiolle ennen julkaisua.
liite I · I(1)
Turvallinen ohjelmistopäivitysmekanismiUUSITodennettu, eheystarkistettu päivitysmekanismi, jonka laite voi varmentaa ennen asennusta ja joka on automaattinen aina kun mahdollista.
liite I · I(2)(f)
Tietojen minimointiUUSIKerää, käsittele ja säilytä vain tiedot, jotka ovat ehdottoman välttämättömiä aiotulle toiminnolle.
liite I · I(4)(f)
4 · Ennen julkaisua
Ennen tuotteen julkaisua
0 / 12SBOM, verkkoauditointi, EOL, vaatimustenmukaisuuden arviointi, CE-merkintä ja tekninen asiakirja-aineisto.
SBOM laadittu ja haavoittuvuuksien osalta tarkistettuTYÖKALU SAATAVILLALaadi SBOM, joka kattaa vähintään kaikki ylimmän tason riippuvuudet, ja varmista, ettei mikään komponentti sisällä tunnettua, jo korjattua haavoittuvuutta. Ratkaistun CVE:n sisällyttäminen on suora rikkomus.
liite I · II(1)
SBOM koneluettavassa muodossaUUSITYÖKALU SAATAVILLATallenna SBOM SPDX- tai CycloneDX-muodossa (JSON/XML). PDF voidaan hylätä ei-koneluettavana.
liite I · osa II
Saapuvien yhteyksien luetteloLuettele ja perustele erikseen jokainen saapuva yhteys ja avoin portti; poista tai poista oletusarvoisesti käytöstä kaikki tarpeeton.
liite I · I(2)(b)
Lähtevien yhteyksien luetteloAuditoi ja perustele kaikki lähtevät yhteydet, mukaan lukien käyttöjärjestelmästä, kolmansien osapuolten kirjastoista ja telemetriasta lähtevät.
liite I · osa I
Ilmoita tuotteen elinkaaren päättyminenTYÖKALU SAATAVILLALaske ja ilmoita EOL; se ei voi ylittää keskeisten riippuvuuksien EOL-ajankohtaa. Tukikauden vähimmäispituus on 5 vuotta, ellei odotettu käyttöikä ole lyhyempi.
Art. 13(8)
Suorita vaatimustenmukaisuuden arviointi loppuunUUSISuorita sovellettava menettely (moduuli A tai B+C / H / ilmoitettu laitos) ja dokumentoi se ennen CE-merkinnän kiinnittämistä.
Art. 32
Valmistele EU-vaatimustenmukaisuusvakuutusUUSITYÖKALU SAATAVILLALaadi ja allekirjoita DoC liitteen V mukaisesti viitaten asetukseen, tuotteeseen ja arviointimenettelyyn. Pidä saatavilla 10 vuotta.
28 art. · liite V
Kiinnitä CE-merkintäUUSIKiinnitä näkyvä, helposti luettava ja pysyvä CE-merkintä. Ilman CE-merkintää ei pääsyä EU:n markkinoille 11. joulukuuta 2027 alkaen.
Art. 30
Kokoa tekninen asiakirja-aineistoUUSIKokoa liitteen VII kokonaisuus: kuvaus, riskinarviointi, SDL-todisteet, testitulokset, SBOM, yhteysauditoinnit, DoC ja EOL-ilmoitus.
31 art. · liite VII
10 vuoden säilytyssuunnitelmaUUSIArkistoi kaikki tekniset asiakirjat, mukaan lukien jokainen SBOM-versio, vähintään 10 vuoden ajan ensimmäisestä markkinoille saattamisesta.
Art. 31(3)
Käyttäjälle suunnatut asiakirjatUUSIViesti tarkoitettu käyttö, kyberturvallisuusominaisuudet, miten tietoturva määritetään, ilmoitettu EOL ja miten haavoittuvuuksista ilmoitetaan.
liite II · 13 art. 18 kohta
Haavoittuvuuksien julkistamisen yhteyspiste julkaistuUUSIJulkaise yksi, aktiivisesti seurattu yhteyspiste haavoittuvuuksien ilmoittamista varten.
Art. 13(5)
5 · Julkaisun jälkeen
Tuotteen julkaisun jälkeen
0 / 10Jatkuva seuranta, 14 artiklan raportointiaikataulu ja päivitysvelvoitteet koko tukikauden ajan.
Päivitä riskinarviointi merkittävän muutoksen yhteydessäArvioi uudelleen, kun havaitaan merkittävä tuotemuutos, merkittävä uusi uhka tai hyväksikäytetty haavoittuvuus; dokumentoi laukaiseva tekijä ja lopputulos.
liite I · I(1)
Automatisoitu SBOM-luettelon haavoittuvuusseurantaTYÖKALU SAATAVILLAOta käyttöön työkalut, jotka seuraavat SBOM-komponentteja reaaliaikaisia syötteitä vasten (NVD, EUVD, OSV) riittävän usein 24 tunnin raportointiaikarajan täyttämiseksi. Manuaalinen seuranta ei riitä.
Art. 14
24 tunnin alustava haavoittuvuusraporttiUUSISaatuasi tiedon aktiivisesti hyväksikäytetystä haavoittuvuudesta tee alustava raportti 24 tunnin kuluessa ENISAn yhteisen raportointialustan kautta. Sovelletaan 11. syyskuuta 2026 alkaen.
Art. 14(2)
72 tunnin tekninen raporttiUUSIToimita yksityiskohtainen tekninen raportti ENISAlle ja kansalliselle CSIRT-yksikölle 72 tunnin kuluessa, mukaan lukien vakavuus ja mahdolliset lievennystoimet.
Art. 14(3)
Loppuraportti 14 vuorokauden kuluessa korjaamisestaUUSIToimita loppuraportti viimeistään 14 vuorokauden kuluttua siitä, kun tietoturvapäivitys tai kiertotapa on asetettu saataville.
Art. 14(4)
Vakavista poikkeamista ilmoittaminenUUSIIlmoita tuotteen turvallisuuteen vaikuttavista vakavista poikkeamista samalla 24/72 tunnin aikataululla.
Art. 14(2)
Automaattinen päivitys kolmansien osapuolten haavoittuvuuksiinYlläpidä automaattista päivitysjärjestelmää, joka kykenee korjaamaan kolmansien osapuolten komponenttien haavoittuvuuksia. Korjaus 24 tunnin kuluessa vapauttaa raportointivelvollisuudesta, ei korjausvelvollisuudesta.
Art. 14(2)(a)
Maksuttomat tietoturvapäivityksetUUSITarjoa kaikki tietoturvapäivitykset maksutta koko tukikauden ajan.
Art. 13(9)
Ennakkoilmoitus elinkaaren päättymisestäUUSIIlmoita käyttäjille vähintään 12 kuukautta ennen viimeistä tietoturvapäivitystä, kun se on mahdollista.
Art. 13(8)
Korjaavat toimenpiteet vaatimustenvastaisille tuotteilleUUSIKorjaa, poista markkinoilta tai vedä takaisin vaatimustenvastaiset tuotteet ja ilmoita markkinavalvonnalle. Toimimattomuus on itsessään rikkomus.
Art. 13(14)
Tarkistuslistan loppu · kaikki 40 kohtaa näkyvät yllä
Vie (valinnainen)
Vie matriisisi nykyisellä edistymiselläsi
Kaikki yllä oleva on maksutta luettavissa ja tulostettavissa. Ladataksesi tarkistuslistan ja reaaliaikaisen tilasi taulukkona tai PDF:nä jätä sähköpostiosoite, niin lisäämme sinut CRA-uutiskirjeeseen.