Įrankiai · Gamintojo kontrolinis sąrašas
Atitikties matrica
Kiekviena skaitmeninių elementų turinčių produktų gamintojų prievolė, išdėstyta per visą produkto gyvavimo ciklą su nuoroda į straipsnį. Peržiūrėkite ją žingsnis po žingsnio ir stebėkite savo pažangą; visą kontrolinį sąrašą galima peržiūrėti nemokamai. Pažanga saugoma šioje naršyklėje.
Numatytasis · route
Numatytuosius produktus galima vertinti savarankiškai pagal A modulį. Notifikuotosios įstaigos nereikia, tačiau vis tiek turi būti parengta visa techninė byla ir DoC.
1 · Pagrindai
Įmonės lygmens pagrindai
0 / 4Organizaciniai reikalavimai, kurie turi būti įgyvendinti prieš pradedant bet kokį konkrečiam produktui skirtą darbą.
Dokumentuotas saugaus kūrimo gyvavimo ciklasTvarkykite dokumentuotą SDL, kuriame apibrėžti etapai, vaidmenys ir atsakomybė. Išorinis sertifikavimas (IEC 62443-4-1, ISO/IEC 27001) yra neprivalomas, tačiau sukuria atitikties prezumpciją.
13 str. 1 d. · I priedas
Atitikties SDL įrodymaiKai išorinis sertifikatas neturimas, saugokite dokumentuotus vidinės atitikties SDL įrodymus.
I priedas · I d.
SDL apima saugumą pagal projektą ir saugumą pagal numatytąsias nuostatasNAUJIENASDL turi aiškiai nustatyti, kaip produktas minimizuoja savo atakų paviršių be galutinio naudotojo konfigūravimo.
I priedas · I(2)(3)
ES įgaliotasis atstovas (ne ES gamintojams)NAUJIENANe ES gamintojai privalo rašytiniu įgaliojimu paskirti ES įsisteigusį atstovą, nurodytą techninėje dokumentacijoje ir DoC.
Art. 19
2 · Prieš kūrimą
Prieš pradedant kūrimą
0 / 9Klasifikacija, rizikos vertinimas ir techninės išankstinės sąlygos nustato visų tolesnių veiksmų aprėptį.
Nustatykite produkto klasifikacijąNAUJIENAĮRANKIS PRIEINAMASNustatykite, ar produktas yra numatytasis, svarbus (I/II klasės) ar ypatingos svarbos (III ir IV priedai). Klasifikacija nulemia atitikties vertinimo procedūrą.
III/IV priedas
Nustatykite atitikties vertinimo procedūrąNAUJIENANumatytasis: A modulio savarankiškas vertinimas. Svarbus I klasės: A modulis taikant darnųjį standartą, kitu atveju B+C arba H. Svarbus II klasės ir ypatingos svarbos: visada per notifikuotąją įstaigą. Dažnai trunka 4–10 mėnesių.
32 str. · VIII priedas
Konkrečiam produktui skirtas kibernetinio saugumo rizikos vertinimasAtlikite rizikos vertinimą prieš kūrimą. Saugokite visas versijas; pradinė ikiplėtros versija yra techninės dokumentacijos dalis.
I priedas · I(1)
Grėsmių modeliavimasNAUJIENANustatykite atakų paviršių, grėsmių subjektus, atakų vektorius ir iš jų kylančius saugumo reikalavimus. Dokumentuokite taikytą metodiką.
I priedas · I(1)
Trečiųjų šalių ir atvirojo kodo komponentų politikaNAUJIENAĮRANKIS PRIEINAMASNustatykite, kaip atrenkami, vertinami ir tvirtinami trečiųjų šalių ir atvirojo kodo komponentai, įskaitant minimalaus EOL ir reagavimo į pažeidžiamumus prievoles.
I priedas · II d.
Įrankių ir priklausomybių EOL patikraĮRANKIS PRIEINAMASPatikrinkite visų pagrindinių įrankių, branduolių, duomenų bazių ir bibliotekų gyvavimo ciklo pabaigos (EOL) datą. Venkite komponentų, kurių EOL patenka į produkto paramos laikotarpį.
I priedas · II d.
Saugyklos šifravimo įgyvendinamumasPatvirtinkite, kad tikslinė aparatinė įranga palaiko saugomų duomenų šifravimą; tai privalomas reikalavimas, dėl kurio gali tekti keisti aparatinę įrangą.
I priedas · I(4)(e)
Minimalaus atakų paviršiaus projektavimasNAUJIENASuplanuokite pašalinti arba pagal numatytąsias nuostatas išjungti kiekvieną sąsają, paslaugą, prievadą ir protokolą, nereikalingą numatytajai funkcijai.
I priedas · I(2)(b)
Numatytųjų prisijungimo duomenų politikaNAUJIENAPateikite be numatytųjų slaptažodžių arba įpareikite naudotoją pirmojo naudojimo metu nustatyti unikalius prisijungimo duomenis.
I priedas · I(2)(c)
3 · Kūrimas
Kūrimo metu
0 / 5Saugus programavimas, testavimas ir atnaujinimo mechanizmas, įrodyti per visą kūrimo procesą.
Į kibernetinį saugumą orientuotas bandymų planasBandymų atvejai, skirti autentifikavimui, prieigos kontrolei, įvesties patvirtinimui, šifravimui ir klaidų valdymui. Dokumentuoti ir saugomi techninėje byloje.
I priedas · I(1)
SDL atitikties įrodymaiDokumentuotais įrodymais įrodykite, kad SDL buvo laikomasi kiekviename etape.
I priedas · I d.
Įsiskverbimo bandymai / pažeidžiamumų vertinimasNAUJIENAPrieš išleidimą atlikite produkto arba reprezentatyvios versijos saugumo testavimą.
I priedas · I(1)
Saugus programinės įrangos atnaujinimo mechanizmasNAUJIENAAutentifikuotas, vientisumo požiūriu patikrintas atnaujinimo mechanizmas, kurį įrenginys gali patikrinti prieš diegimą ir kuris veikia automatiškai, kai įmanoma.
I priedas · I(2)(f)
Duomenų kiekio mažinimasNAUJIENARinkite, tvarkykite ir saugokite tik tuos duomenis, kurie būtinai reikalingi numatytajai funkcijai.
I priedas · I(4)(f)
4 · Prieš išleidimą
Prieš išleidžiant produktą
0 / 12SBOM, tinklo auditas, EOL, atitikties vertinimas, CE ženklinimas ir techninė byla.
SBOM parengtas ir patikrintas dėl pažeidžiamumųĮRANKIS PRIEINAMASParenkite SBOM, apimantį bent visas aukščiausio lygmens priklausomybes, ir patikrinkite, kad nė vienas komponentas neturėtų žinomo, jau pataisyto pažeidžiamumo. Pašalinto CVE įtraukimas yra tiesioginis pažeidimas.
I priedas · II(1)
SBOM mašininiu būdu nuskaitomu formatuNAUJIENAĮRANKIS PRIEINAMASSaugokite SBOM kaip SPDX arba CycloneDX (JSON/XML). PDF gali būti atmestas kaip nenuskaitomas mašininiu būdu.
I priedas · II d.
Įeinančių ryšių sąrašasIšvardykite ir atskirai pagrįskite kiekvieną įeinantį ryšį ir atvirą prievadą; pašalinkite arba pagal numatytąsias nuostatas išjunkite viską, kas nereikalinga.
I priedas · I(2)(b)
Išeinančių ryšių sąrašasAuditą atlikite ir pagrįskite visus išeinančius ryšius, įskaitant tuos, kurie kyla iš OS, trečiųjų šalių bibliotekų ir telemetrijos.
I priedas · I d.
Deklaruokite produkto gyvavimo ciklo pabaigąĮRANKIS PRIEINAMASApskaičiuokite ir deklaruokite EOL; jis negali viršyti pagrindinių priklausomybių EOL. Mažiausiai 5 metų paramos laikotarpis, nebent numatoma naudojimo trukmė trumpesnė.
Art. 13(8)
Užbaikite atitikties vertinimąNAUJIENAAtlikite taikytiną procedūrą (A modulis arba B+C / H / notifikuotoji įstaiga) ir ją dokumentuokite prieš pažymėdami CE ženklu.
Art. 32
Parenkite ES atitikties deklaracijąNAUJIENAĮRANKIS PRIEINAMASParenkite ir pasirašykite DoC pagal V priedą, nurodydami reglamentą, produktą ir vertinimo procedūrą. Laikykite prieinamą 10 metų.
28 str. · V priedas
Pažymėkite CE ženkluNAUJIENAPažymėkite matomu, įskaitomu, neištrinamu CE ženklu. Nuo 2027 m. gruodžio 11 d. be CE ženklo – nėra prieigos prie ES rinkos.
Art. 30
Parenkite techninę byląNAUJIENASurinkite VII priedo paketą: aprašymą, rizikos vertinimą, SDL įrodymus, bandymų rezultatus, SBOM, ryšių auditus, DoC ir EOL deklaraciją.
31 str. · VII priedas
10 metų saugojimo planasNAUJIENAArchyvuokite visą techninę dokumentaciją, įskaitant kiekvieną SBOM versiją, bent 10 metų nuo pirmojo pateikimo rinkai.
Art. 31(3)
Naudotojui skirta dokumentacijaNAUJIENAPateikite informaciją apie numatytą naudojimą, kibernetinio saugumo savybes, kaip sukonfigūruoti saugumą, deklaruotą EOL ir kaip pranešti apie pažeidžiamumus.
II priedas · 13 str. 18 d.
Pažeidžiamumų atskleidimo kontaktas paskelbtasNAUJIENAPaskelbkite vieną, aktyviai stebimą kontaktinį punktą pažeidžiamumams pranešti.
Art. 13(5)
5 · Po išleidimo
Po produkto išleidimo
0 / 10Nuolatinė stebėsena, 14 straipsnyje nustatyti pranešimo terminai ir atnaujinimo prievolės per visą paramos laikotarpį.
Atnaujinkite rizikos vertinimą įvykus reikšmingam pakeitimuiIš naujo įvertinkite, kai nustatomas esminis produkto pakeitimas, reikšminga nauja grėsmė ar išnaudotas pažeidžiamumas; dokumentuokite priežastį ir rezultatą.
I priedas · I(1)
Automatizuota SBOM pažeidžiamumų stebėsenaĮRANKIS PRIEINAMASĮdiekite įrankius, kurie stebi SBOM komponentus pagal aktualius srautus (NVD, EUVD, OSV) pakankamai dažnai, kad būtų laikomasi 24 valandų pranešimo termino. Rankinė stebėsena nepakankama.
Art. 14
24 valandų pradinė pažeidžiamumo ataskaitaNAUJIENASužinoję apie aktyviai išnaudojamą pažeidžiamumą, per 24 valandas pateikite pradinę ataskaitą per ENISA bendrą pranešimų teikimo platformą. Taikoma nuo 2026 m. rugsėjo 11 d.
Art. 14(2)
72 valandų techninė ataskaitaNAUJIENAPer 72 valandas pateikite ENISA ir nacionaliniam CSIRT išsamią techninę ataskaitą, įskaitant sunkumą ir bet kokias rizikos mažinimo priemones.
Art. 14(3)
Galutinė ataskaita per 14 dienų nuo ištaisymoNAUJIENAGalutinę ataskaitą pateikite ne vėliau kaip per 14 dienų po to, kai tampa prieinamas saugumo atnaujinimas ar laikinasis sprendimas.
Art. 14(4)
Pranešimas apie didelius incidentusNAUJIENAApie didelius incidentus, paveikiančius produkto saugumą, praneškite laikydamiesi tų pačių 24/72 valandų terminų.
Art. 14(2)
Automatinis atnaujinimas trečiųjų šalių pažeidžiamumams pašalintiTurėkite automatinę atnaujinimų sistemą, gebančią pataisyti trečiųjų šalių komponentų pažeidžiamumus. Pataisa per 24 valandas atleidžia nuo pranešimo, bet ne nuo taisymo.
Art. 14(2)(a)
Nemokami saugumo atnaujinimaiNAUJIENAVisus saugumo atnaujinimus teikite nemokamai per visą paramos laikotarpį.
Art. 13(9)
Išankstinis pranešimas apie gyvavimo ciklo pabaigąNAUJIENAKai įmanoma, informuokite naudotojus likus bent 12 mėnesių iki paskutinio saugumo atnaujinimo.
Art. 13(8)
Taisomosios priemonės reikalavimų neatitinkantiems produktamsNAUJIENAIštaisykite, pašalinkite iš rinkos arba atšaukite reikalavimų neatitinkančius produktus ir praneškite rinkos priežiūros institucijoms. Neveikimas pats savaime yra pažeidimas.
Art. 13(14)
Kontrolinio sąrašo pabaiga · visi 40 punktų parodyta pirmiau
Eksportuoti (neprivaloma)
Eksportuokite savo matricą su dabartine pažanga
Viskas, kas pateikta pirmiau, yra nemokamai skaitoma ir spausdinama. Norėdami atsisiųsti kontrolinį sąrašą ir savo dabartinę būseną kaip skaičiuoklę arba PDF, palikite el. pašto adresą, ir mes įtrauksime jus į CRA naujienlaiškį.