Eszközök · Gyártói ellenőrzőlista
Megfelelőségi mátrix
A digitális elemeket tartalmazó termékek gyártóira vonatkozó minden kötelezettség, a termék életciklusa mentén, a cikkhivatkozásával együtt feltüntetve. Dolgozza végig, és kövesse nyomon az előrehaladását; a teljes ellenőrzőlista ingyenesen megtekinthető. Az előrehaladást ebben a böngészőben tároljuk.
Alapértelmezett · route
Az alapértelmezett termékek önértékelést végezhetnek az A modul szerint. Bejelentett szervezet nem szükséges, de a teljes műszaki dokumentációnak és a DoC-nak ekkor is rendelkezésre kell állnia.
1 · Alapok
Vállalati szintű alapok
0 / 4Szervezeti követelmények, amelyeknek bármilyen termékspecifikus munka megkezdése előtt teljesülniük kell.
Dokumentált biztonságos fejlesztési életciklusTartson fenn egy dokumentált SDL-t, amely meghatározza a szakaszokat, szerepköröket és felelősségi köröket. A külső tanúsítás (IEC 62443-4-1, ISO/IEC 27001) nem kötelező, de megfelelőségi vélelmet keletkeztet.
13. cikk (1) · I. melléklet
Az SDL-nek való megfelelés bizonyítékaAhol nincs külső tanúsítvány, őrizzen meg dokumentált bizonyítékot az SDL-nek való belső megfelelésről.
I. melléklet · I. rész
Az SDL kiterjed a tervezetten biztonságos és az alapértelmezetten biztonságos elvreÚJAz SDL-nek kifejezetten foglalkoznia kell azzal, hogyan minimalizálja a termék a támadási felületét a végfelhasználó beavatkozása nélkül.
I. melléklet · I(2)(3)
EU meghatalmazott képviselő (EU-n kívüli gyártók)ÚJAz EU-n kívüli gyártóknak írásbeli meghatalmazással ki kell jelölniük egy, az EU-ban letelepedett képviselőt, akit a műszaki dokumentációban és a DoC-ban meg kell nevezni.
Art. 19
2 · A fejlesztés előtt
A fejlesztés megkezdése előtt
0 / 9Az osztályozás, a kockázatértékelés és a műszaki előfeltételek határozzák meg a hatályt minden további lépéshez.
Határozza meg a termék osztályozásátÚJESZKÖZ ELÉRHETŐÁllapítsa meg, hogy a termék alapértelmezett, fontos I/II. osztályú vagy kritikus (III. és IV. melléklet). Az osztályozás határozza meg a megfelelőségértékelési útvonalat.
III/IV. melléklet
Azonosítsa a megfelelőségértékelési útvonalatÚJAlapértelmezett: A modul szerinti önértékelés. Fontos I. osztály: A modul harmonizált szabvánnyal, egyébként B+C vagy H. Fontos II. osztály és kritikus: mindig bejelentett szervezeten keresztül. A 4–10 hónapos átfutási idő gyakori.
32. cikk · VIII. melléklet
Termékspecifikus kiberbiztonsági kockázatértékelésVégezzen kockázatértékelést a fejlesztés előtt. Őrizzen meg minden változatot; a fejlesztés előtti kezdeti változat a műszaki dokumentáció része.
I. melléklet · I(1)
FenyegetésmodellezésÚJAzonosítsa a támadási felületet, a fenyegetést jelentő szereplőket, a támadási vektorokat és az ezekből eredő biztonsági követelményeket. Dokumentálja az alkalmazott módszertant.
I. melléklet · I(1)
Harmadik fél általi és nyílt forráskódú összetevőkre vonatkozó szabályzatÚJESZKÖZ ELÉRHETŐHatározza meg, hogyan választják ki, értékelik és hagyják jóvá a harmadik féltől származó és nyílt forráskódú összetevőket, beleértve a minimális EOL-ra és a sebezhetőségekre adott válaszra vonatkozó kötelezettségeket is.
I. melléklet · II. rész
EOL-ellenőrzés az eszközökhöz és függőségekhezESZKÖZ ELÉRHETŐEllenőrizze az összes kulcsfontosságú eszköz, kernel, adatbázis és könyvtár életciklusvégi dátumát. Kerülje azokat az összetevőket, amelyek EOL-je a termék támogatási élettartamán belülre esik.
I. melléklet · II. rész
A tárolótitkosítás megvalósíthatóságaErősítse meg, hogy a célhardver támogatja a nyugalmi állapotú adatok titkosítását; ez kötelező követelmény, amely hardvercserét kényszeríthet ki.
I. melléklet · I(4)(e)
Minimális támadási felületű tervezésÚJTervezze meg, hogy alapértelmezetten eltávolít vagy letilt minden olyan interfészt, szolgáltatást, portot és protokollt, amely nem szükséges a tervezett funkcióhoz.
I. melléklet · I(2)(b)
Alapértelmezett hitelesítőadat-szabályzatÚJSzállítson alapértelmezett jelszavak nélkül, vagy kényszerítse a felhasználót egyedi hitelesítő adat beállítására az első használatkor.
I. melléklet · I(2)(c)
3 · Fejlesztés
A fejlesztés során
0 / 5Biztonságos kódolás, tesztelés és a frissítési mechanizmus, az összeállítás során végig bizonyítva.
Kiberbiztonság-központú teszttervA hitelesítést, a hozzáférés-ellenőrzést, a bemenetellenőrzést, a titkosítást és a hibakezelést célzó tesztesetek. Dokumentálva és megőrizve a műszaki dokumentációban.
I. melléklet · I(1)
Az SDL-megfelelés bizonyítékaIgazolja dokumentált bizonyítékokkal, hogy az SDL-t minden szakaszban betartották.
I. melléklet · I. rész
Behatolásteszt / sebezhetőségértékelésÚJVégezzen biztonsági tesztelést a terméken vagy egy reprezentatív összeállításon a kiadás előtt.
I. melléklet · I(1)
Biztonságos szoftverfrissítési mechanizmusÚJEgy hitelesített, sértetlenség-ellenőrzött frissítési mechanizmus, amelyet az eszköz a telepítés előtt ellenőrizhet, és amely lehetőség szerint automatikus.
I. melléklet · I(2)(f)
AdattakarékosságÚJKizárólag a tervezett funkcióhoz feltétlenül szükséges adatokat gyűjtse, dolgozza fel és tárolja.
I. melléklet · I(4)(f)
4 · A kiadás előtt
A termék kiadása előtt
0 / 12SBOM, hálózati audit, EOL, megfelelőségértékelés, CE-jelölés és a műszaki dokumentáció.
SBOM elkészítve és sebezhetőségre átvizsgálvaESZKÖZ ELÉRHETŐKészítsen egy SBOM-ot, amely legalább az összes legfelső szintű függőségre kiterjed, és ellenőrizze, hogy egyetlen összetevő sem hordoz ismert, már javított sebezhetőséget. Egy orvosolt CVE feltüntetése közvetlen jogsértés.
I. melléklet · II(1)
SBOM géppel olvasható formátumbanÚJESZKÖZ ELÉRHETŐTárolja az SBOM-ot SPDX vagy CycloneDX formátumban (JSON/XML). A PDF nem géppel olvashatóként elutasítható.
I. melléklet · II. rész
Bejövő kapcsolatok listájaSorolja fel és egyenként indokolja meg minden bejövő kapcsolatot és nyitott portot; alapértelmezetten távolítson el vagy tiltson le mindent, ami nem szükséges.
I. melléklet · I(2)(b)
Kimenő kapcsolatok listájaAuditálja és indokolja meg az összes kimenő kapcsolatot, beleértve az operációs rendszerből, a harmadik fél könyvtáraiból és a telemetriából származókat is.
I. melléklet · I. rész
Nyilvánítsa ki a termék életciklusának végétESZKÖZ ELÉRHETŐSzámítsa ki és nyilvánítsa ki az EOL-t; az nem haladhatja meg a kulcsfontosságú függőségek EOL-jét. Minimum 5 éves támogatási időszak, kivéve, ha a várható használati élettartam rövidebb.
Art. 13(8)
Végezze el a megfelelőségértékeléstÚJVégezze el az alkalmazandó eljárást (A modul, vagy B+C / H / bejelentett szervezet), és dokumentálja azt a CE-jelölés elhelyezése előtt.
Art. 32
Készítse el az EU-megfelelőségi nyilatkozatotÚJESZKÖZ ELÉRHETŐKészítse el és írja alá a DoC-ot az V. melléklet szerint, hivatkozva a rendeletre, a termékre és az értékelési eljárásra. Tartsa elérhetővé 10 évig.
28. cikk · V. melléklet
Helyezze el a CE-jelöléstÚJHelyezzen el látható, olvasható, eltávolíthatatlan CE-jelölést. CE-jelölés nélkül 2027. dec. 11-től nincs uniós piac.
Art. 30
Állítsa össze a műszaki dokumentációtÚJÁllítsa össze a VII. melléklet szerinti csomagot: leírás, kockázatértékelés, SDL-bizonyíték, teszteredmények, SBOM, kapcsolati auditok, DoC és EOL-nyilatkozat.
31. cikk · VII. melléklet
10 éves megőrzési tervÚJArchiváljon minden műszaki dokumentációt, beleértve minden SBOM-változatot is, az első forgalomba hozataltól számított legalább 10 évig.
Art. 31(3)
Felhasználói dokumentációÚJTájékoztasson a tervezett felhasználásról, a kiberbiztonsági tulajdonságokról, a biztonság konfigurálásának módjáról, a kinyilvánított EOL-ról és a sebezhetőségek bejelentésének módjáról.
II. melléklet · 13. cikk (18)
Sebezhetőség-közzétételi kapcsolattartó közzétéveÚJTegyen közzé egyetlen, aktívan felügyelt kapcsolattartási pontot a sebezhetőségek bejelentéséhez.
Art. 13(5)
5 · A kiadás után
A termék kiadása után
0 / 10Folyamatos felügyelet, a 14. cikk szerinti jelentéstételi ütemterv és frissítési kötelezettségek a támogatási időszak során.
Frissítse a kockázatértékelést jelentős változás eseténVégezzen újraértékelést, ha jelentős termékváltozást, jelentős új fenyegetést vagy kihasznált sebezhetőséget azonosít; dokumentálja a kiváltó okot és az eredményt.
I. melléklet · I(1)
Automatizált SBOM-sebezhetőségfelügyeletESZKÖZ ELÉRHETŐVezessen be olyan eszközöket, amelyek elég gyakran felügyelik az SBOM-összetevőket az aktuális adatfolyamokkal (NVD, EUVD, OSV) összevetve ahhoz, hogy megfeleljenek a 24 órás jelentéstételi időkeretnek. A kézi felügyelet nem elegendő.
Art. 14
24 órás kezdeti sebezhetőségi jelentésÚJEgy aktívan kihasznált sebezhetőség tudomására jutásakor 24 órán belül nyújtson be kezdeti jelentést az ENISA egyetlen jelentéstételi platformján keresztül. 2026. szept. 11-től alkalmazandó.
Art. 14(2)
72 órás műszaki jelentésÚJNyújtson be részletes műszaki jelentést az ENISA-nak és a nemzeti CSIRT-nek 72 órán belül, beleértve a súlyosságot és bármilyen kárenyhítést.
Art. 14(3)
Végleges jelentés az orvoslástól számított 14 napon belülÚJNyújtson be végleges jelentést legkésőbb 14 nappal egy biztonsági frissítés vagy kerülő megoldás rendelkezésre bocsátását követően.
Art. 14(4)
Súlyos incidens bejelentéseÚJJelentse a termék biztonságát érintő súlyos incidenseket ugyanazon 24/72 órás határidőkkel.
Art. 14(2)
Automatikus frissítés a harmadik fél sebezhetőségeihezTartson fenn egy automatikus frissítési rendszert, amely képes a harmadik fél összetevőinek sebezhetőségeit javítani. A 24 órán belüli javítás a jelentéstétel alól mentesít, a javítás alól nem.
Art. 14(2)(a)
Díjmentes biztonsági frissítésekÚJBiztosítson minden biztonsági frissítést díjmentesen a támogatási időszak teljes tartama alatt.
Art. 13(9)
Előzetes értesítés az életciklus végérőlÚJÉrtesítse a felhasználókat legalább 12 hónappal az utolsó biztonsági frissítés előtt, ahol megvalósítható.
Art. 13(8)
Korrekciós intézkedések a nem megfelelő termékek esetébenÚJOrvosolja, vonja ki vagy hívja vissza a nem megfelelő termékeket, és értesítse a piacfelügyeletet. A tétlenség önmagában jogsértés.
Art. 13(14)
Az ellenőrzőlista vége · mind 40 a fentiekben látható tétel
Exportálás (nem kötelező)
Exportálja a mátrixot az aktuális előrehaladásával együtt
A fentiek mind ingyenesen olvashatók és nyomtathatók. Ha le szeretné tölteni az ellenőrzőlistát és az aktuális állapotát táblázatként vagy PDF-ként, adjon meg egy e-mail-címet, és felvesszük a CRA-hírlevélre.