도구 · 제조자 체크리스트
규정 준수 매트릭스
디지털 요소가 포함된 제품 제조자의 모든 의무를, 제품 수명 주기 전반에 걸쳐 그 조항 참조와 함께 제시합니다. 이를 작업해 나가며 진행 상황을 추적하십시오; 전체 체크리스트는 무료로 볼 수 있습니다. 진행 상황은 이 브라우저에 보관됩니다.
기본 · route
기본 제품은 모듈 A에 따라 자가 평가가 가능합니다. 인증 기관은 필요하지 않지만, 전체 기술 파일과 DoC는 여전히 갖추어져 있어야 합니다.
1 · 기초
회사 수준의 기초
0 / 4제품별 작업이 시작되기 전에 갖추어져야 하는 조직적 요구사항.
문서화된 보안 개발 수명 주기단계, 역할 및 책임을 정의하는 문서화된 SDL을 유지하십시오. 외부 인증(IEC 62443-4-1, ISO/IEC 27001)은 선택사항이지만 적합성 추정을 생성합니다.
제13조(1) · 부속서 I
SDL과의 적합성 증거외부 인증을 보유하지 않은 경우, SDL과의 내부 적합성에 대한 문서화된 증거를 보관하십시오.
부속서 I · 제I부
SDL은 설계 기반 보안 및 기본 보안을 포함합니다신규SDL은 최종 사용자의 구성 없이 제품이 공격 표면을 최소화하는 방법을 명시적으로 다루어야 합니다.
부속서 I · I(2)(3)
EU 공인 대리인 (EU 외부 제조자)신규EU 외부의 제조자는 EU 내에 설립된 대리인을 서면 위임을 통해 지정해야 하며, 기술 문서 및 DoC에 그 이름을 명시해야 합니다.
Art. 19
2 · 개발 전
개발이 시작되기 전에
0 / 9분류, 위험 평가 및 기술적 전제조건이 이후 모든 사항의 범위를 설정합니다.
제품 분류를 결정하십시오신규도구 이용 가능제품이 기본, 중요 등급 I/II 또는 핵심인지 식별하십시오 (부속서 III 및 IV). 분류는 적합성 평가 경로를 결정합니다.
부속서 III/IV
적합성 평가 경로를 식별하십시오신규기본: 모듈 A 자가 평가. 중요 등급 I: 조화된 표준이 있는 경우 모듈 A, 그렇지 않으면 B+C 또는 H. 중요 등급 II 및 핵심: 항상 인증 기관을 통해. 4–10개월의 리드 타임이 일반적입니다.
제32조 · 부속서 VIII
제품별 사이버보안 위험 평가개발 전에 위험 평가를 수행하십시오. 모든 버전을 보관하십시오; 최초 개발 전 버전은 기술 문서의 일부입니다.
부속서 I · I(1)
위협 모델링신규공격 표면, 위협 행위자, 공격 벡터 및 그 결과 보안 요구사항을 식별하십시오. 사용된 방법론을 문서화하십시오.
부속서 I · I(1)
제3자 및 오픈소스 구성요소 정책신규도구 이용 가능최소 EOL 및 취약점 대응 의무를 포함하여 제3자 및 오픈소스 구성요소가 어떻게 선정, 평가 및 승인되는지를 정의하십시오.
부속서 I · 제II부
도구 및 종속성에 대한 EOL 점검도구 이용 가능모든 주요 도구, 커널, 데이터베이스 및 라이브러리의 수명 종료(EOL) 날짜를 확인하십시오. EOL이 제품의 지원 수명 내에 도래하는 구성요소를 피하십시오.
부속서 I · 제II부
저장 암호화 실현 가능성대상 하드웨어가 저장 데이터의 암호화를 지원하는지 확인하십시오; 이는 하드웨어 변경을 강제할 수 있는 필수 요구사항입니다.
부속서 I · I(4)(e)
최소 공격 표면 설계신규의도된 기능에 필요하지 않은 모든 인터페이스, 서비스, 포트 및 프로토콜을 기본적으로 제거하거나 비활성화할 계획을 세우십시오.
부속서 I · I(2)(b)
기본 자격증명 정책신규기본 비밀번호 없이 출하하거나, 최초 사용 시 사용자가 고유한 자격증명을 설정하도록 강제하십시오.
부속서 I · I(2)(c)
3 · 개발
개발 중
0 / 5빌드 전반에 걸쳐 입증된, 안전한 코딩, 테스트 및 업데이트 메커니즘.
사이버보안 중심 시험 계획인증, 접근 제어, 입력 검증, 암호화 및 오류 처리를 대상으로 하는 테스트 케이스. 문서화하여 기술 파일에 보관됩니다.
부속서 I · I(1)
SDL 준수 증거SDL이 각 단계에서 준수되었음을 문서화된 증거로 입증하십시오.
부속서 I · 제I부
침투 테스트 / 취약점 평가신규출시 전 제품 또는 대표 빌드에 대한 보안 테스트를 수행하십시오.
부속서 I · I(1)
안전한 소프트웨어 업데이트 메커니즘신규설치 전에 기기가 검증할 수 있고 가능한 경우 자동으로 이루어지는, 인증되고 무결성이 검증된 업데이트 메커니즘.
부속서 I · I(2)(f)
데이터 최소화신규의도된 기능에 엄격히 필요한 데이터만 수집, 처리 및 저장하십시오.
부속서 I · I(4)(f)
4 · 출시 전
제품 출시 전에
0 / 12SBOM, 네트워크 감사, EOL, 적합성 평가, CE 마킹 및 기술 파일.
SBOM 준비 및 취약점 선별 완료도구 이용 가능최소한 모든 최상위 종속성을 포함하는 SBOM을 준비하고 어떤 구성요소도 알려진, 이미 패치된 취약점을 가지고 있지 않은지 검증하십시오. 해결된 CVE를 포함하는 것은 직접적인 위반입니다.
부속서 I · II(1)
기계 판독이 가능한 형식의 SBOM신규도구 이용 가능SBOM을 SPDX 또는 CycloneDX(JSON/XML)로 저장하십시오. PDF는 기계 판독이 불가능하다는 이유로 거부될 수 있습니다.
부속서 I · 제II부
인바운드 연결 목록모든 인바운드 연결과 개방 포트를 나열하고 개별적으로 정당화하십시오; 필요하지 않은 것은 기본적으로 제거하거나 비활성화하십시오.
부속서 I · I(2)(b)
아웃바운드 연결 목록OS, 제3자 라이브러리 및 원격 측정으로부터의 연결을 포함하여 모든 아웃바운드 연결을 감사하고 정당화하십시오.
부속서 I · 제I부
제품 수명 종료를 선언하십시오도구 이용 가능EOL을 계산하고 선언하십시오; 이는 주요 종속성의 EOL을 초과할 수 없습니다. 예상 사용 수명이 더 짧지 않은 한 최소 5년의 지원 기간.
Art. 13(8)
적합성 평가를 완료하십시오신규귀하의 등급에 해당하는 절차(모듈 A, 또는 B+C / H / 인증 기관)를 수행하고 CE 마킹을 부착하기 전에 이를 문서화하십시오.
Art. 32
EU 적합성 선언서를 준비하십시오신규도구 이용 가능규정, 제품 및 평가 절차를 참조하여 부속서 V에 따라 DoC를 작성하고 서명하십시오. 10년간 이용 가능하게 유지하십시오.
제28조 · 부속서 V
CE 마킹을 부착하십시오신규보이고 읽을 수 있으며 지워지지 않는 CE 마킹을 부착하십시오. 2027년 12월 11일부터 CE 마킹이 없으면 EU 시장 진입이 불가능합니다.
Art. 30
기술 파일을 편집하십시오신규부속서 VII 패키지를 조립하십시오: 설명, 위험 평가, SDL 증거, 시험 결과, SBOM, 연결 감사, DoC 및 EOL 선언.
제31조 · 부속서 VII
10년 보관 계획신규모든 SBOM 버전을 포함한 모든 기술 문서를 최초 시장 출시로부터 최소 10년간 보관하십시오.
Art. 31(3)
사용자 대상 문서신규의도된 용도, 사이버보안 속성, 보안 구성 방법, 선언된 EOL 및 취약점 보고 방법을 전달하십시오.
부속서 II · 제13조(18)
취약점 공개 연락처 공표됨신규취약점 보고를 위한 단일의, 적극적으로 모니터링되는 연락처를 공표하십시오.
Art. 13(5)
5 · 출시 후
제품 출시 후
0 / 10지원 기간 전반에 걸친 지속적인 모니터링, 제14조 보고 일정 및 업데이트 의무.
중대한 변경 시 위험 평가를 업데이트하십시오주요 제품 변경, 중대한 신규 위협 또는 악용된 취약점이 식별되면 재평가하십시오; 그 계기와 결과를 문서화하십시오.
부속서 I · I(1)
자동화된 SBOM 취약점 모니터링도구 이용 가능24시간 보고 기한을 충족할 수 있을 만큼 충분히 자주 SBOM 구성요소를 실시간 피드(NVD, EUVD, OSV)와 대조하여 모니터링하는 도구를 배포하십시오. 수동 모니터링은 불충분합니다.
Art. 14
24시간 초기 취약점 보고신규적극적으로 악용되는 취약점을 인지하면 ENISA의 단일 보고 플랫폼을 통해 24시간 이내에 초기 보고서를 제출하십시오. 2026년 9월 11일부터 적용됩니다.
Art. 14(2)
72시간 기술 보고서신규심각도 및 모든 완화 조치를 포함하여 72시간 이내에 ENISA 및 국가 CSIRT에 상세한 기술 보고서를 제출하십시오.
Art. 14(3)
시정 후 14일 이내 최종 보고서신규보안 업데이트 또는 우회 방법이 제공된 후 늦어도 14일 이내에 최종 보고서를 제출하십시오.
Art. 14(4)
심각한 사고 보고신규제품 보안에 영향을 미치는 심각한 사고를 동일한 24/72시간 일정에 따라 보고하십시오.
Art. 14(2)
제3자 취약점에 대한 자동 업데이트제3자 구성요소 취약점을 패치할 수 있는 자동 업데이트 시스템을 유지하십시오. 24시간 이내의 수정은 보고를 면제하는 것이지 수정을 면제하는 것이 아닙니다.
Art. 14(2)(a)
무료 보안 업데이트신규지원 기간 동안 모든 보안 업데이트를 무료로 제공하십시오.
Art. 13(9)
수명 종료(EOL)에 대한 사전 통지신규가능한 경우 최종 보안 업데이트 최소 12개월 전에 사용자에게 통지하십시오.
Art. 13(8)
부적합 제품에 대한 시정 조치신규부적합 제품을 시정, 철수 또는 리콜하고 시장 감시 당국에 통보하십시오. 무대응 자체가 위반입니다.
Art. 13(14)
체크리스트 끝 · 전체 40 위에 표시된 항목
내보내기 (선택사항)
현재 진행 상황과 함께 매트릭스를 내보내십시오
위의 모든 내용은 무료로 읽고 인쇄할 수 있습니다. 체크리스트와 귀하의 실시간 상태를 스프레드시트 또는 PDF로 다운로드하려면 이메일을 남겨 주시면 CRA 뉴스레터에 추가해 드리겠습니다.