規則(EU)2024/2847に関する独立したガイド · ステータス:発効中
このページは自動(AI)翻訳であり、人によるレビューは行われていません。
ツール · 製造者向けチェックリスト

コンプライアンスマトリクス

デジタル要素を含む製品の製造者に対するすべての義務を、製品ライフサイクル全体にわたって条文への参照付きで示します。これに取り組み、進捗を追跡してください。チェックリスト全体は無償で閲覧できます。進捗はこのブラウザに保持されます。

0% 完了0 / 40 項目
印刷
デフォルト · route

デフォルト製品はモジュールAの下で自己評価が可能です。認証機関は不要ですが、完全な技術ファイルおよびDoCはなお整備されていなければなりません。

1 · 基礎

企業レベルの基盤

0 / 4

製品固有の作業を開始する前に整備されていなければならない組織的要件。

文書化されたセキュア開発ライフサイクル段階、役割および責任を定義した文書化されたSDLを維持します。外部認証(IEC 62443-4-1、ISO/IEC 27001)は任意ですが、適合の推定を生み出します。
第13条(1) · 附属書I未完了
SDLとの適合の証拠外部認証を保有していない場合は、SDLとの内部的な適合の文書化された証拠を保持します。
附属書I · 第I部未完了
SDLは設計段階からの安全性および既定での安全性を網羅します新着SDLは、製品がエンドユーザーによる構成なしにその攻撃対象領域をどのように最小化するかを明示的に取り扱わなければなりません。
附属書I · I(2)(3)未完了
EU認定代理人(EU域外の製造者)新着EU域外の製造者は、書面による委任により、EU域内に設立された代理人を指定しなければならず、その代理人は技術文書およびDoCに記載されます。
Art. 19未完了
2 · 開発前

開発開始前

0 / 9

分類、リスクアセスメントおよび技術的前提条件が、以降のすべての適用範囲を定めます。

製品分類を判定する新着ツール利用可能製品がデフォルト、重要クラスI/II、または重大(附属書IIIおよびIV)のいずれであるかを特定します。分類が適合性評価ルートを決定します。
附属書III/IV未完了
適合性評価ルートを特定する新着デフォルト:モジュールAの自己評価。重要クラスI:整合規格を用いたモジュールA、それ以外はB+CまたはH。重要クラスIIおよび重大:常に認証機関を通じて。4~10か月のリードタイムが一般的です。
第32条 · 附属書VIII未完了
製品固有のサイバーセキュリティリスクアセスメント開発前にリスクアセスメントを実施します。すべての版を保持してください。開発前の初期版は技術文書の一部です。
附属書I · I(1)未完了
脅威モデリング新着攻撃対象領域、脅威アクター、攻撃ベクトルおよび結果として生じるセキュリティ要件を特定します。使用した方法論を文書化します。
附属書I · I(1)未完了
第三者およびオープンソースの構成要素ポリシー新着ツール利用可能第三者およびオープンソースの構成要素がどのように選定、評価および承認されるかを、最低EOLおよび脆弱性対応義務を含めて定めます。
附属書I · 第II部未完了
ツールおよび依存関係のEOLチェックツール利用可能すべての主要なツール、カーネル、データベースおよびライブラリの使用終了(End-of-Life)日を確認します。EOLが製品のサポート寿命内に到来する構成要素は避けてください。
附属書I · 第II部未完了
保存時の暗号化の実現可能性対象ハードウェアが保存データの暗号化をサポートしていることを確認します。これはハードウェアの変更を強いる可能性のある必須要件です。
附属書I · I(4)(e)未完了
攻撃対象領域を最小化した設計新着意図された機能に必要のないすべてのインターフェース、サービス、ポートおよびプロトコルを、既定で削除または無効化することを計画します。
附属書I · I(2)(b)未完了
既定の認証情報ポリシー新着既定のパスワードなしで出荷するか、初回使用時に一意の認証情報を設定するよう利用者に強制します。
附属書I · I(2)(c)未完了
3 · 開発

開発中

0 / 5

セキュアコーディング、試験および更新メカニズム。ビルド全体を通じて証拠化されます。

サイバーセキュリティに焦点を当てた試験計画認証、アクセス制御、入力検証、暗号化およびエラー処理を対象とするテストケース。文書化され技術ファイルに保持されます。
附属書I · I(1)未完了
SDL遵守の証拠SDLが各段階で遵守されたことを、文書化された証拠をもって実証します。
附属書I · 第I部未完了
ペネトレーションテスト/脆弱性評価新着リリース前に、製品または代表的なビルドに対してセキュリティ試験を実施します。
附属書I · I(1)未完了
安全なソフトウェア更新メカニズム新着デバイスがインストール前に検証可能で、可能な場合は自動化された、認証され完全性が検証された更新メカニズム。
附属書I · I(2)(f)未完了
データ最小化新着意図された機能のために厳密に必要なデータのみを収集、処理および保存します。
附属書I · I(4)(f)未完了
4 · リリース前

製品リリース前

0 / 12

SBOM、ネットワーク監査、EOL、適合性評価、CEマーキングおよび技術ファイル。

SBOMを準備し脆弱性を審査済みツール利用可能少なくともすべての最上位の依存関係を網羅するSBOMを準備し、いずれの構成要素も既知の、既にパッチ適用済みの脆弱性を抱えていないことを検証します。解決済みのCVEを含めることは直接的な違反です。
附属書I · II(1)未完了
機械可読な形式のSBOM新着ツール利用可能SBOMをSPDXまたはCycloneDX(JSON/XML)として保存します。PDFは機械可読でないとして拒否される可能性があります。
附属書I · 第II部未完了
内向き接続のリストすべての内向き接続および開放ポートを列挙し、それぞれ個別に正当化します。必要のないものはすべて既定で削除または無効化します。
附属書I · I(2)(b)未完了
外向き接続のリストOS、第三者ライブラリおよびテレメトリからのものを含め、すべての外向き接続を監査し正当化します。
附属書I · 第I部未完了
製品の使用終了(End-of-Life)を宣言するツール利用可能EOLを算定し宣言します。これは主要な依存関係のEOLを超えることはできません。想定される使用寿命がより短い場合を除き、最低5年のサポート期間です。
Art. 13(8)未完了
適合性評価を完了する新着お客様のクラスに該当する手続き(モジュールA、またはB+C/H/認証機関)を実施し、CEマーキングを貼付する前にそれを文書化します。
Art. 32未完了
EU適合宣言を準備する新着ツール利用可能附属書Vに従ってDoCを作成・署名し、規則、製品および評価手続きを参照します。10年間利用可能な状態で保管します。
第28条 · 附属書V未完了
CEマーキングを貼付する新着見やすく、判読可能で、消えないCEマーキングを貼付します。CEマーキングがなければ、2027年12月11日以降はEU市場で販売できません。
Art. 30未完了
技術ファイルを編集する新着附属書VIIの一式を編集します。すなわち、説明、リスクアセスメント、SDLの証拠、試験結果、SBOM、接続監査、DoCおよびEOL宣言です。
第31条 · 附属書VII未完了
10年間の保存計画新着SBOMのすべての版を含むすべての技術文書を、最初の上市から少なくとも10年間保管します。
Art. 31(3)未完了
利用者向けの文書新着意図された使用、サイバーセキュリティ特性、セキュリティの構成方法、宣言されたEOL、および脆弱性の報告方法を伝えます。
附属書II · 第13条(18)未完了
脆弱性開示の連絡先を公表済み新着脆弱性報告のための単一の、積極的に監視される連絡窓口を公表します。
Art. 13(5)未完了
5 · リリース後

製品リリース後

0 / 10

継続的な監視、第14条の報告タイムライン、およびサポート期間全体にわたる更新義務。

重大な変更時にリスクアセスメントを更新する製品の大幅な変更、重大な新たな脅威、または悪用された脆弱性が特定された場合に再評価します。トリガーおよび結果を文書化してください。
附属書I · I(1)未完了
自動化されたSBOM脆弱性監視ツール利用可能SBOMの構成要素を、24時間の報告期限を満たすのに十分な頻度で、ライブのフィード(NVD、EUVD、OSV)に対して監視するツールを導入します。手動の監視では不十分です。
Art. 14未完了
24時間以内の初期脆弱性報告新着実際に悪用されている脆弱性を認識した時点で、ENISAの単一の報告プラットフォームを通じて24時間以内に初期報告を提出します。2026年9月11日から適用されます。
Art. 14(2)未完了
72時間以内の技術報告新着重大度およびあらゆる緩和策を含む詳細な技術報告を、72時間以内にENISAおよび各国CSIRTに提出します。
Art. 14(3)未完了
是正から14日以内の最終報告新着セキュリティ更新または回避策が利用可能になってから14日以内に最終報告を提出します。
Art. 14(4)未完了
重大なインシデントの報告新着製品のセキュリティに影響を及ぼす重大なインシデントを、同じ24/72時間のタイムラインで報告します。
Art. 14(2)未完了
第三者の脆弱性に対する自動更新第三者の構成要素の脆弱性にパッチを適用できる自動更新システムを維持します。24時間以内の修正は、修正することではなく報告することを免除します。
Art. 14(2)(a)未完了
セキュリティ更新を無償で新着サポート期間中、すべてのセキュリティ更新を無償で提供します。
Art. 13(9)未完了
使用終了(End-of-Life)の事前通知新着可能な場合、最終のセキュリティ更新の少なくとも12か月前に利用者に通知します。
Art. 13(8)未完了
不適合製品に対する是正措置新着不適合製品を是正、撤去またはリコールし、市場監視に通知します。何もしないこと自体が違反です。
Art. 13(14)未完了
チェックリストの末尾 · すべて 40 上記に表示された項目
エクスポート(任意)

現在の進捗とともにマトリクスをエクスポートする

上記のすべては無償で閲覧・印刷できます。チェックリストおよびお客様のライブステータスをスプレッドシートまたはPDFとしてダウンロードするには、メールアドレスをご入力ください。CRAニュースレターに登録いたします。

CRAニュースレターに登録いたします。いつでも登録解除できます。スパムはありません。以下をご覧ください。 プライバシーポリシー.