Alati · Kontrolni popis proizvođača

Matrica sukladnosti

Svaka obveza za proizvođače proizvoda s digitalnim elementima, prikazana tijekom životnog ciklusa proizvoda s upućivanjem na članak. Prođite kroz nju i pratite svoj napredak; cijeli je kontrolni popis besplatan za pregled. Napredak se čuva u ovom pregledniku.

0% dovršeno0 / 40 stavki

Ispiši

Zadani · route

Zadani proizvodi mogu provesti samoprocjenu na temelju modula A. Prijavljeno tijelo nije potrebno, ali potpuna tehnička dokumentacija i DoC i dalje moraju postojati.

1 · Temelji

Temelji na razini društva

0 / 4

Organizacijski zahtjevi koji moraju biti uspostavljeni prije početka bilo kojeg rada specifičnog za proizvod.

Dokumentiran sigurnosni razvojni životni ciklusOdržavajte dokumentiran SDL kojim se definiraju faze, uloge i odgovornosti. Vanjska certifikacija (IEC 62443-4-1, ISO/IEC 27001) neobavezna je, ali stvara pretpostavku sukladnosti.

Čl. 13(1) · Prilog I.Neispunjeno

Dokaz o sukladnosti sa SDL-omAko nema vanjske certifikacije, čuvajte dokumentirane dokaze o internoj sukladnosti sa SDL-om.

Prilog I. · dio I.Neispunjeno

SDL obuhvaća sigurnost po načelu ugrađene sigurnosti i sigurnost po zadanim postavkamaNOVOSDL mora izričito obraditi kako proizvod smanjuje svoju napadnu površinu bez konfiguriranja od strane krajnjeg korisnika.

Prilog I. · I(2)(3)Neispunjeno

EU ovlašteni zastupnik (proizvođači izvan EU-a)NOVOProizvođači izvan EU-a moraju pisanim ovlaštenjem imenovati zastupnika s poslovnim nastanom u EU-u, navedenog u tehničkoj dokumentaciji i DoC-u.

Art. 19Neispunjeno

2 · Prije razvoja

Prije početka razvoja

0 / 9

Klasifikacija, procjena rizika i tehnički preduvjeti određuju opseg svega što slijedi.

Odredite klasifikaciju proizvodaNOVOALAT DOSTUPANUtvrdite je li proizvod zadani, važan klase I./II. ili kritičan (prilozi III. i IV.). Klasifikacija određuje put ocjenjivanja sukladnosti.

Prilog III./IV.Neispunjeno

Utvrdite put ocjenjivanja sukladnostiNOVOZadani: samoprocjena modulom A. Važan klase I.: modul A s usklađenom normom, u suprotnom B+C ili H. Važan klase II. i kritičan: uvijek putem prijavljenog tijela. Vremena pripreme od 4 do 10 mjeseci uobičajena su.

Čl. 32 · Prilog VIII.Neispunjeno

Procjena kibernetičkosigurnosnih rizika specifična za proizvodProvedite procjenu rizika prije razvoja. Zadržite sve verzije; početna verzija prije razvoja dio je tehničke dokumentacije.

Prilog I. · I(1)Neispunjeno

Modeliranje prijetnjiNOVOUtvrdite napadnu površinu, aktere prijetnji, vektore napada i sigurnosne zahtjeve koji iz toga proizlaze. Dokumentirajte upotrijebljenu metodologiju.

Prilog I. · I(1)Neispunjeno

Politika za komponente trećih strana i otvorenog kodaNOVOALAT DOSTUPANOdredite kako se komponente trećih strana i otvorenog koda odabiru, ocjenjuju i odobravaju, uključujući minimalne obveze u pogledu EOL-a i odgovora na ranjivosti.

Prilog I. · dio II.Neispunjeno

Provjera EOL-a za alate i ovisnostiALAT DOSTUPANProvjerite datum kraja životnog vijeka svih ključnih alata, jezgri, baza podataka i biblioteka. Izbjegavajte komponente čiji EOL nastupa unutar razdoblja podrške proizvoda.

Prilog I. · dio II.Neispunjeno

Izvedivost šifriranja pohranePotvrdite da ciljani hardver podržava šifriranje pohranjenih podataka; obvezan zahtjev koji može iznuditi promjenu hardvera.

Prilog I. · I(4)(e)Neispunjeno

Projektiranje s minimalnom napadnom površinomNOVOPlanirajte uklanjanje ili onemogućivanje po zadanim postavkama svakog sučelja, usluge, priključka i protokola koji nisu potrebni za namjeravanu funkciju.

Prilog I. · I(2)(b)Neispunjeno

Politika zadanih vjerodajnicaNOVOIsporučite bez zadanih lozinki ili prisilite korisnika da pri prvoj upotrebi postavi jedinstvenu vjerodajnicu.

Prilog I. · I(2)(c)Neispunjeno

3 · Razvoj

Tijekom razvoja

0 / 5

Sigurno kodiranje, ispitivanje i mehanizam ažuriranja, dokazani tijekom cijele izrade.

Plan ispitivanja usmjeren na kibernetičku sigurnostTestni slučajevi usmjereni na provjeru autentičnosti, kontrolu pristupa, provjeru valjanosti ulaznih podataka, šifriranje i postupanje s pogreškama. Dokumentirani i zadržani u tehničkoj dokumentaciji.

Prilog I. · I(1)Neispunjeno

Dokaz o sukladnosti sa SDL-omDokumentiranim dokazima dokažite da se SDL slijedio u svakoj fazi.

Prilog I. · dio I.Neispunjeno

Ispitivanje proboja / procjena ranjivostiNOVOProvedite sigurnosno ispitivanje na proizvodu ili reprezentativnoj verziji prije izdavanja.

Prilog I. · I(1)Neispunjeno

Mehanizam sigurnog ažuriranja softveraNOVOMehanizam ažuriranja s provjerom autentičnosti i cjelovitosti, koji uređaj može provjeriti prije instalacije i koji je automatski ako je izvedivo.

Prilog I. · I(2)(f)Neispunjeno

Smanjenje količine podatakaNOVOPrikupljajte, obrađujte i pohranjujte samo podatke koji su strogo nužni za namjeravanu funkciju.

Prilog I. · I(4)(f)Neispunjeno

4 · Prije izdavanja

Prije izdavanja proizvoda

0 / 12

SBOM, revizija mreže, EOL, ocjenjivanje sukladnosti, oznaka CE i tehnička dokumentacija.

SBOM pripremljen i provjeren na ranjivostiALAT DOSTUPANPripremite SBOM koji obuhvaća barem sve ovisnosti najviše razine i provjerite da nijedna komponenta ne nosi poznatu, već zakrpanu ranjivost. Uključivanje riješenog CVE-a izravna je povreda.

Prilog I. · II(1)Neispunjeno

SBOM u strojno čitljivom formatuNOVOALAT DOSTUPANPohranite SBOM kao SPDX ili CycloneDX (JSON/XML). PDF se može odbiti kao strojno nečitljiv.

Prilog I. · dio II.Neispunjeno

Popis dolaznih vezaNavedite i pojedinačno opravdajte svaku dolaznu vezu i otvoreni priključak; uklonite ili po zadanim postavkama onemogućite sve što nije potrebno.

Prilog I. · I(2)(b)Neispunjeno

Popis odlaznih vezaRevidirajte i opravdajte sve odlazne veze, uključujući one iz operativnog sustava, biblioteka trećih strana i telemetrije.

Prilog I. · dio I.Neispunjeno

Izjavite kraj životnog vijeka proizvodaALAT DOSTUPANIzračunajte i izjavite EOL; ne smije prelaziti EOL ključnih ovisnosti. Najmanje 5-godišnje razdoblje podrške, osim ako je očekivani vijek upotrebe kraći.

Art. 13(8)Neispunjeno

Dovršite ocjenjivanje sukladnostiNOVOProvedite primjenjivi postupak (modul A ili B+C / H / prijavljeno tijelo) i dokumentirajte ga prije stavljanja oznake CE.

Art. 32Neispunjeno

Pripremite EU izjavu o sukladnostiNOVOALAT DOSTUPANSastavite i potpišite DoC u skladu s Prilogom V., uz upućivanje na uredbu, proizvod i postupak ocjenjivanja. Držite dostupnim 10 godina.

Čl. 28 · Prilog V.Neispunjeno

Stavite oznaku CENOVOStavite vidljivu, čitljivu i neizbrisivu oznaku CE. Bez oznake CE nema tržišta EU-a od 11. pros. 2027.

Art. 30Neispunjeno

Sastavite tehničku dokumentacijuNOVOSastavite paket iz Priloga VII.: opis, procjenu rizika, dokaze o SDL-u, rezultate ispitivanja, SBOM, revizije veza, DoC i izjavu o EOL-u.

Čl. 31 · Prilog VII.Neispunjeno

Plan čuvanja od 10 godinaNOVOArhivirajte svu tehničku dokumentaciju, uključujući svaku verziju SBOM-a, najmanje 10 godina od prvog stavljanja na tržište.

Art. 31(3)Neispunjeno

Dokumentacija namijenjena korisnikuNOVOPriopćite namjeravanu upotrebu, kibernetičkosigurnosna svojstva, način konfiguriranja sigurnosti, izjavljeni EOL i način prijave ranjivosti.

Prilog II. · čl. 13(18)Neispunjeno

Objavljen kontakt za objavu ranjivostiNOVOObjavite jedinstvenu, aktivno nadziranu kontaktnu točku za prijavu ranjivosti.

Art. 13(5)Neispunjeno

5 · Nakon izdavanja

Nakon izdavanja proizvoda

0 / 10

Tekuće praćenje, vremenski plan izvješćivanja iz članka 14. i obveze ažuriranja tijekom razdoblja podrške.

Ažurirajte procjenu rizika pri znatnoj promjeniPonovno procijenite kad se utvrdi velika promjena proizvoda, znatna nova prijetnja ili iskorištena ranjivost; dokumentirajte okidač i ishod.

Prilog I. · I(1)Neispunjeno

Automatizirano praćenje ranjivosti SBOM-aALAT DOSTUPANUvedite alate koji prate komponente SBOM-a u odnosu na aktualne izvore (NVD, EUVD, OSV) dovoljno često da se ispuni rok izvješćivanja od 24 sata. Ručno praćenje nije dostatno.

Art. 14Neispunjeno

Početno izvješće o ranjivosti u roku od 24 sataNOVONakon saznanja za aktivno iskorištavanu ranjivost, podnesite početno izvješće u roku od 24 sata putem ENISA-ine jedinstvene platforme za izvješćivanje. Primjenjuje se od 11. ruj. 2026.

Art. 14(2)Neispunjeno

Tehničko izvješće u roku od 72 sataNOVOPodnesite detaljno tehničko izvješće ENISA-i i nacionalnom CSIRT-u u roku od 72 sata, uključujući ozbiljnost i sve mjere ublažavanja.

Art. 14(3)Neispunjeno

Završno izvješće u roku od 14 dana od ispravljanjaNOVOPodnesite završno izvješće najkasnije 14 dana nakon što sigurnosno ažuriranje ili zaobilazno rješenje postane dostupno.

Art. 14(4)Neispunjeno

Izvješćivanje o ozbiljnim incidentimaNOVOPrijavite ozbiljne incidente koji utječu na sigurnost proizvoda prema istim rokovima od 24/72 sata.

Art. 14(2)Neispunjeno

Automatsko ažuriranje za ranjivosti trećih stranaOdržavajte sustav automatskog ažuriranja sposoban za zakrpanje ranjivosti komponenata trećih strana. Ispravak u roku od 24 sata izuzima od izvješćivanja, ne od ispravljanja.

Art. 14(2)(a)Neispunjeno

Besplatna sigurnosna ažuriranjaNOVOPružajte sva sigurnosna ažuriranja besplatno tijekom trajanja razdoblja podrške.

Art. 13(9)Neispunjeno

Prethodna obavijest o kraju životnog vijekaNOVOObavijestite korisnike najmanje 12 mjeseci prije završnog sigurnosnog ažuriranja, ako je izvedivo.

Art. 13(8)Neispunjeno

Korektivne mjere za nesukladne proizvodeNOVOIspravite, povucite ili opozovite nesukladne proizvode i obavijestite nadzor tržišta. Nepoduzimanje radnji samo je po sebi povreda.

Art. 13(14)Neispunjeno

Kraj kontrolnog popisa · sve 40 stavki prikazano iznad

Izvoz (neobavezno)

Izvezite svoju matricu s trenutačnim napretkom

Sve gore navedeno besplatno je za čitanje i ispis. Da biste preuzeli kontrolni popis i svoj trenutačni status kao proračunsku tablicu ili PDF, ostavite e-poštu i dodat ćemo vas na CRA bilten.