Riippumaton opas asetukseen (EU) 2024/2847 · Tila: voimassa
Tämä sivu on automaattinen (tekoälyn tekemä) käännös, eikä sitä ole tarkistanut ihminen.
Reitti vaatimustenmukaisuuteen · Ohjeistus

CRA-opas ohjelmistokehittäjille

Miten kyberkestävyyssäädös soveltuu ohjelmistotuotteisiin; turvallisesta kehityksestä haavoittuvuuksien käsittelyyn, SBOM-luetteloihin ja CE-merkintään.

Koskee
Digitaalisia elementtejä sisältävä ohjelmisto
Vaatimustenmukaisuus
Standardit tai kolmas osapuoli
Tukikausi
Määritetty, ≥ odotettu käyttö

Vaatimustenmukaisuuden vaiheet

1

Vahvista soveltamisala ja luokka

Art. 2 · 6

Suurin osa EU:n markkinoille saatetusta ohjelmistosta, jossa on datayhteys, kuuluu soveltamisalaan, ja monet kehitystyökalut kuuluvat liitteen III 'tärkeään' luokkaan.

  • Suorita CRA-pikatarkistus soveltamisalan vahvistamiseksi
  • Yksilöi, onko tuotteesi oletus-, tärkeä vai kriittinen tuote
  • Kirjaa perustelut asiakirjoihisi
Työkalu tähän vaiheeseen
2

Rakenna tietoturva sisäänrakennetusti

Annex I · I

Suunnittele ja kehitä tuote täyttämään olennaiset turvallisuusominaisuudet koko sen elinkaaren ajan.

  • Toimita oletusarvoisesti turvallinen kokoonpano
  • Toteuta todennus ja pääsynvalvonta
  • Suojaa tiedot salauksella siirron aikana ja levossa
  • Minimoi hyökkäyspinta ja altistuneet rajapinnat
Yleinen sudenkuoppa

Vianetsintärajapintojen, oletustunnusten tai monisanaisen virheentulostuksen jättäminen päälle tuotantoversioissa.

Työkalu tähän vaiheeseen
3

Ota käyttöön haavoittuvuuksien käsittely

Annex I · II

Ylläpidä dokumentoitua prosessia haavoittuvuuksien löytämiseksi, korjaamiseksi ja julkistamiseksi koko tukikauden ajan.

  • Julkaise koordinoidun haavoittuvuuksien julkistamisen käytäntö
  • Tarjoa yhteyspiste ongelmien ilmoittamista varten
  • Korjaa haavoittuvuudet ilman aiheetonta viivytystä
  • Julkista korjatut haavoittuvuudet, kun päivitys on saatavilla
4

Ylläpidä ohjelmistoluetteloa (SBOM)

liite I · II(1)

Pidä yllä ajantasaista SBOM-luetteloa, joka kattaa vähintään tuotteesi ylimmän tason riippuvuudet.

  • Luo SBOM koneluettavassa muodossa
  • Seuraa komponentteja ja niiden tunnettuja haavoittuvuuksia
  • Pidä se ajan tasalla jokaisen julkaisun yhteydessä
Työkalu tähän vaiheeseen
5

Toimita maksuttomat, oikea-aikaiset tietoturvapäivitykset

Annex I · I(2)

Tarjoa tietoturvapäivitykset erillään ominaisuuspäivityksistä, maksutta, ilmoitetun tukikauden ajan.

  • Määritä ja julkaise tukikausi
  • Toimita tietoturvapäivitykset viipymättä
  • Jaa korjaukset turvallisen mekanismin kautta
6

Kokoa tekniset asiakirjat

liite VII

Kokoa vaatimustenmukaisuuden osoittavat asiakirjat ja pidä ne markkinavalvonnan saatavilla.

  • Tuotekuvaus ja tarkoitettu käyttö
  • Kyberturvallisuusriskien arviointi
  • Tiedot sovelletuista standardeista
7

Arvioi vaatimustenmukaisuus ja kiinnitä CE-merkintä

Art. 32 · 36

Suorita luokkasi mukainen vaatimustenmukaisuuden arviointireitti ja laadi EU-vaatimustenmukaisuusvakuutus.

  • Tee itsearviointi (oletus) tai käytä ilmoitettua laitosta (tärkeä/kriittinen)
  • Laadi ja allekirjoita EU-vaatimustenmukaisuusvakuutus
  • Kiinnitä CE-merkintä
Työkalu tähän vaiheeseen
8

Täytä raportointivelvoitteet ja ylläpidä tuotetta

Art. 13(8) · 14

Syyskuusta 2026 alkaen ilmoita aktiivisesti hyväksikäytetyistä haavoittuvuuksista ja vakavista poikkeamista ja jatka tuotteen ylläpitoa koko sen tukikauden ajan.

  • Toimita ennakkovaroitus ENISAlle ja CSIRT-yksikölle 24 tunnin kuluessa
  • Jatka ilmoituksella ja loppuraportilla
  • Tiedota asianomaisille käyttäjille tarvittaessa
Jatkuva velvoitteesi

Tukikauden on oltava vähintään viisi vuotta (tai tuotteen odotettu käyttöikä, jos se on pidempi), laskettuna EU:n markkinoille saattamisesta. Koko sen ajan sinun on käsiteltävä haavoittuvuuksia ja tarjottava maksuttomia tietoturvapäivityksiä; jokaisen päivityksen on tämän jälkeen pysyttävä saatavilla 10 vuotta, ja tekninen asiakirja-aineisto sekä EU-vakuutus on säilytettävä 10 vuotta.

Maksuttomat työkalut tälle roolille

Jokainen alla oleva työkalu on maksuton ja avautuu tässä sivupaneelissa, joten et menetä paikkaasi.

MaksutonCRA-pikatarkistus

Vahvista, koskeeko säädös sinua, ja todennäköinen luokkasi.

Avaa tässä →MaksutonVaatimustenmukaisuusmatriisi

Kartoita jokainen liitteen I ja VII velvoite ja seuraa sen täyttymistä loppuun asti.

Avaa tässä →MaksutonKustannuslaskuri

Arvioi vaatimustenmukaisuuden kertaluonteiset ja vuosittaiset kustannukset.

Avaa tässä →MaksutonHaavoittuvuusanalysaattori

Ristiintarkista SBOM-luettelosi NVD- ja EUVD-tietokantoja vasten ja seuraa elinkaarensa päässä olevia komponentteja.

Avaa tässä →MaksutonDoC-generaattori

Luo tuotteellesi EU-vaatimustenmukaisuusvakuutus (liite V).

Avaa tässä →MaksutonLuokituksen haku

Selvitä nimen perusteella, onko tuotteesi oletus-, tärkeä vai kriittinen tuote.

Avaa tässä →MaksutonTukikauden suunnittelutyökalu

Aseta vähimmäistukikautesi ja merkitse komponentit, jotka tulevat elinkaarensa päähän liian aikaisin.

Avaa tässä →
Lisää ohjeistusta

Muut sidosryhmäoppaat

M

Valmistajat

Velvoitteet, jotka kyberkestävyyssäädös asettaa digitaalisia elementtejä sisältävien tuotteiden valmistajille; riskinarvioinnista CE-merkintään ja markkinoille saattamisen jälkeisiin velvollisuuksiin.

Lue tämä opas →
I

Maahantuojat ja jakelijat

Mitä talouden toimijoiden on varmistettava ennen digitaalisia elementtejä sisältävän tuotteen asettamista saataville EU:n markkinoilla ja sen jälkeen.

Lue tämä opas →
CE

Miten CE-merkintä saadaan

Vaiheet vaatimustenmukaisuuden vakuuttamiseksi ja CE-merkinnän kiinnittämiseksi digitaalisia elementtejä sisältävälle tuotteelle.

Lue opas →