Għodod · Lista ta' kontroll tal-manifattur
Matriċi tal-konformità
Kull obbligu għall-manifatturi ta' prodotti b'elementi diġitali, stabbilit matul iċ-ċiklu tal-ħajja tal-prodott bir-referenza tal-artikolu tiegħu. Aħdem fuqu u segwi l-progress tiegħek; il-lista ta' kontroll kollha tista' tarah bla ħlas. Il-progress jinżamm f'dan il-browser.
Awtomatiku · route
Il-prodotti awtomatiċi jistgħu jiġu awtovalutati taħt il-Module A. Ma jinħtieġ l-ebda Korp Notifikat, iżda l-fajl tekniku sħiħ u d-DoC xorta jridu jkunu fis-seħħ.
1 · Pedamenti
Pedamenti fil-livell tal-kumpanija
0 / 4Rekwiżiti organizzattivi li jridu jkunu fis-seħħ qabel jibda kwalunkwe xogħol speċifiku għall-prodott.
Ċiklu ta' Żvilupp tas-Sigurtà dokumentatŻomm SDL dokumentat li jiddefinixxi l-fażijiet, ir-rwoli u r-responsabbiltajiet. Iċ-ċertifikazzjoni esterna (IEC 62443-4-1, ISO/IEC 27001) hija mhux obbligatorja iżda toħloq preżunzjoni ta' konformità.
Art. 13(1) · Anness I
Evidenza tal-konformità mas-SDLFejn ma jkun hemm l-ebda ċertifikazzjoni esterna, żomm evidenza dokumentata ta' konformità interna mas-SDL.
Anness I · Pt I
L-SDL ikopri sigur-mid-disinn u sigur-b'mod-awtomatikuĠDIDL-SDL irid jindirizza b'mod espliċitu kif il-prodott jimminimizza s-superfiċje tal-attakk tiegħu mingħajr konfigurazzjoni mill-utent finali.
Anness I · I(2)(3)
Rappreżentant Awtorizzat tal-UE (manifatturi mhux tal-UE)ĠDIDIl-manifatturi barra mill-UE jridu jaħtru, b'mandat bil-miktub, rappreżentant stabbilit fl-UE, imsemmi fid-dokumentazzjoni teknika u fid-DoC.
Art. 19
2 · Qabel l-iżvilupp
Qabel ma jibda l-iżvilupp
0 / 9Il-klassifikazzjoni, il-valutazzjoni tar-riskju u l-prerekwiżiti tekniċi jistabbilixxu l-kamp ta' applikazzjoni għal dak kollu li jiġi wara.
Iddetermina l-klassifikazzjoni tal-prodottĠDIDGĦODDA DISPONIBBLIIdentifika jekk il-prodott huwiex Awtomatiku, Importanti Klassi I/II jew Kritiku (Annessi III u IV). Il-klassifikazzjoni tiddetermina r-rotta tal-valutazzjoni tal-konformità.
Anness III/IV
Identifika r-rotta tal-valutazzjoni tal-konformitàĠDIDAwtomatiku: awtovalutazzjoni Module A. Importanti Klassi I: Module A bi standard armonizzat, inkella B+C jew H. Importanti Klassi II u Kritiku: dejjem permezz ta' Korp Notifikat. Żminijiet ta' twassil ta' 4–10 xhur huma komuni.
Art. 32 · Anness VIII
Valutazzjoni tar-riskju taċ-ċibersigurtà speċifika għall-prodottWettaq valutazzjoni tar-riskju qabel l-iżvilupp. Żomm il-verżjonijiet kollha; il-verżjoni inizjali ta' qabel l-iżvilupp hija parti mid-dokumentazzjoni teknika.
Anness I · I(1)
Mudellar tat-theddidietĠDIDIdentifika s-superfiċje tal-attakk, l-atturi ta' theddid, il-vetturi tal-attakk u r-rekwiżiti tas-sigurtà li jirriżultaw. Iddokumenta l-metodoloġija użata.
Anness I · I(1)
Politika tal-komponenti ta' partijiet terzi u b'sors miftuħĠDIDGĦODDA DISPONIBBLIIddefinixxi kif jintgħażlu, jiġu evalwati u approvati l-komponenti ta' partijiet terzi u b'sors miftuħ, inkluż l-EOL minimu u l-obbligi ta' rispons għall-vulnerabbiltajiet.
Anness I · Pt II
Verifika EOL għall-għodod u d-dipendenziGĦODDA DISPONIBBLIIċċekkja d-data tat-Tmiem tal-Ħajja tal-għodod, il-kernels, il-bażijiet tad-data u l-libreriji ewlenin kollha. Evita komponenti li l-EOL tagħhom jaqa' fil-ħajja tal-appoġġ tal-prodott.
Anness I · Pt II
Fattibbiltà tal-kriptaġġ tal-ħażnaIkkonferma li l-hardware fil-mira jappoġġja l-kriptaġġ tad-data fil-mistrieħ; rekwiżit obbligatorju li jista' jġiegħlek tibdel il-hardware.
Anness I · I(4)(e)
Disinn b'superfiċje tal-attakk minimaĠDIDIppjana li tneħħi jew tiddiżattiva b'mod awtomatiku kull interfaċċa, servizz, port u protokoll mhux meħtieġ għall-funzjoni intenzjonata.
Anness I · I(2)(b)
Politika tal-kredenzjali awtomatiċiĠDIDIkkonsenja mingħajr passwords awtomatiċi, jew ġiegħel lill-utent jissettja kredenzjal uniku mal-ewwel użu.
Anness I · I(2)(c)
3 · Żvilupp
Matul l-iżvilupp
0 / 5Ikkowdjar sigur, ittestjar u l-mekkaniżmu tal-aġġornament, evidenzjati matul il-build.
Pjan tat-testijiet iffokat fuq iċ-ċibersigurtàKażijiet ta' test immirati lejn l-awtentikazzjoni, il-kontroll tal-aċċess, il-validazzjoni tal-input, il-kriptaġġ u l-ġestjoni tal-iżbalji. Dokumentati u miżmuma fil-fajl tekniku.
Anness I · I(1)
Evidenza tal-konformità mal-SDLUri, b'evidenza dokumentata, li s-SDL ġie segwit f'kull fażi.
Anness I · Pt I
Ittestjar tal-penetrazzjoni / valutazzjoni tal-vulnerabbiltajietĠDIDWettaq ittestjar tas-sigurtà fuq il-prodott jew fuq build rappreżentattiv qabel ir-rilaxx.
Anness I · I(1)
Mekkaniżmu sigur ta' aġġornament tas-softwareĠDIDMekkaniżmu ta' aġġornament awtentikat u verifikat fl-integrità, verifikabbli mill-apparat qabel l-installazzjoni u awtomatiku fejn ikun fattibbli.
Anness I · I(2)(f)
Minimizzazzjoni tad-dataĠDIDIġbor, ipproċessa u aħżen biss id-data strettament meħtieġa għall-funzjoni intenzjonata.
Anness I · I(4)(f)
4 · Qabel ir-rilaxx
Qabel ir-rilaxx tal-prodott
0 / 12SBOM, awditu tan-network, EOL, valutazzjoni tal-konformità, immarkar CE u l-fajl tekniku.
SBOM imħejji u skrinjat għall-vulnerabbiltajietGĦODDA DISPONIBBLIĦejji SBOM li jkopri tal-anqas id-dipendenzi kollha tal-ogħla livell u vverifika li l-ebda komponent ma jġorr vulnerabbiltà magħrufa u diġà rranġata. L-inklużjoni ta' CVE riżolt huwa ksur dirett.
Anness I · II(1)
SBOM f'format li jinqara mill-magniĠDIDGĦODDA DISPONIBBLIAħżen is-SBOM bħala SPDX jew CycloneDX (JSON/XML). Il-PDF jista' jiġi rrifjutat bħala mhux li jinqara mill-magni.
Anness I · Pt II
Lista ta' konnessjonijiet deħlinElenka u ġġustifika individwalment kull konnessjoni dieħla u port miftuħ; neħħi jew iddiżattiva b'mod awtomatiku kull ma mhux meħtieġ.
Anness I · I(2)(b)
Lista ta' konnessjonijiet ħerġinAwdita u ġġustifika l-konnessjonijiet kollha li joħorġu, inklużi dawk mis-sistema operattiva, mil-libreriji ta' partijiet terzi u mit-telemetrija.
Anness I · Pt I
Iddikjara t-Tmiem tal-Ħajja tal-prodottGĦODDA DISPONIBBLIIkkalkula u ddikjara l-EOL; ma jistax jaqbeż l-EOL tad-dipendenzi ewlenin. Perjodu ta' appoġġ minimu ta' 5 snin sakemm il-ħajja tal-użu mistenni ma tkunx iqsar.
Art. 13(8)
Lesti l-valutazzjoni tal-konformitàĠDIDWettaq il-proċedura applikabbli (Module A, jew B+C / H / Korp Notifikat) u ddokumentaha qabel ma twaħħal l-immarkar CE.
Art. 32
Ħejji d-Dikjarazzjoni ta' Konformità tal-UEĠDIDGĦODDA DISPONIBBLIAbbozza u ffirma d-DoC skont l-Anness V, b'referenza għar-regolament, il-prodott u l-proċedura tal-valutazzjoni. Żommha disponibbli għal 10 snin.
Art. 28 · Anness V
Twaħħal l-immarkar CEĠDIDApplika immarkar CE viżibbli, li jinqara u li ma jitħassarx. Mingħajr immarkar CE, m'hemmx suq tal-UE mill-11 ta' Diċ 2027.
Art. 30
Iġbor il-fajl teknikuĠDIDIġbor il-pakkett tal-Anness VII: deskrizzjoni, valutazzjoni tar-riskju, evidenza tal-SDL, riżultati tat-testijiet, SBOM, awditi tal-konnessjonijiet, DoC u dikjarazzjoni tal-EOL.
Art. 31 · Anness VII
Pjan ta' żamma ta' 10 sninĠDIDArkivja d-dokumentazzjoni teknika kollha, inkluża kull verżjoni tas-SBOM, għal tal-anqas 10 snin mill-ewwel tqegħid fis-suq.
Art. 31(3)
Dokumentazzjoni għall-utentĠDIDIkkomunika l-użu intenzjonat, il-proprjetajiet taċ-ċibersigurtà, kif tikkonfigura s-sigurtà, l-EOL iddikjarat u kif tirrapporta l-vulnerabbiltajiet.
Anness II · Art. 13(18)
Kuntatt għall-iżvelar tal-vulnerabbiltajiet ippubblikatĠDIDIppubblika punt ta' kuntatt uniku u mmonitorjat b'mod attiv għar-rappurtar tal-vulnerabbiltajiet.
Art. 13(5)
5 · Wara r-rilaxx
Wara r-rilaxx tal-prodott
0 / 10Monitoraġġ kontinwu, l-iskeda taż-żmien ta' rappurtar tal-Artikolu 14 u l-obbligi ta' aġġornament matul il-perjodu ta' appoġġ.
Aġġorna l-valutazzjoni tar-riskju ma' bidla sinifikantiErġa' vvaluta meta tiġi identifikata bidla maġġuri fil-prodott, theddida ġdida sinifikanti jew vulnerabbiltà sfruttata; iddokumenta l-kawża u r-riżultat.
Anness I · I(1)
Monitoraġġ awtomatizzat tal-vulnerabbiltajiet tas-SBOMGĦODDA DISPONIBBLIUża għodod li jimmonitorjaw il-komponenti tas-SBOM kontra feeds attivi (NVD, EUVD, OSV) ta' spiss biżżejjed biex jissodisfaw il-perjodu ta' rappurtar ta' 24 siegħa. Il-monitoraġġ manwali mhux suffiċjenti.
Art. 14
Rapport inizjali tal-vulnerabbiltà fi 24 siegħaĠDIDMeta ssir konxju minn vulnerabbiltà sfruttata b'mod attiv, ressaq rapport inizjali fi żmien 24 siegħa permezz tal-pjattaforma unika ta' rappurtar tal-ENISA. Japplika mill-11 ta' Set 2026.
Art. 14(2)
Rapport tekniku ta' 72 siegħaĠDIDIssottometti rapport tekniku dettaljat lill-ENISA u lis-CSIRT nazzjonali fi żmien 72 siegħa, inkluż il-gravità u kwalunkwe mitigazzjoni.
Art. 14(3)
Rapport finali fi żmien 14-il jum mir-rimedjuĠDIDIssottometti rapport finali mhux aktar tard minn 14-il jum wara li jsir disponibbli aġġornament tas-sigurtà jew soluzzjoni alternattiva.
Art. 14(4)
Rappurtar ta' inċidenti graviĠDIDIrrapporta l-inċidenti gravi li jaffettwaw is-sigurtà tal-prodott fuq l-istess skeda taż-żmien ta' 24/72 siegħa.
Art. 14(2)
Aġġornament awtomatiku għall-vulnerabbiltajiet ta' partijiet terziŻomm sistema ta' aġġornament awtomatiku kapaċi tirranġa l-vulnerabbiltajiet tal-komponenti ta' partijiet terzi. Rimedju fi żmien 24 siegħa jeżenta r-rappurtar, mhux ir-rimedju.
Art. 14(2)(a)
Aġġornamenti tas-sigurtà bla ħlasĠDIDIpprovdi l-aġġornamenti tas-sigurtà kollha mingħajr ħlas għat-tul tal-perjodu ta' appoġġ.
Art. 13(9)
Avviż minn qabel tat-Tmiem tal-ĦajjaĠDIDInnotifika lill-utenti tal-anqas 12-il xahar qabel l-aħħar aġġornament tas-sigurtà, fejn ikun fattibbli.
Art. 13(8)
Miżuri korrettivi għal prodotti mhux konformiĠDIDIrrimedja, irtira jew sejjaħ lura prodotti mhux konformi u nnotifika lis-sorveljanza tas-suq. In-nuqqas ta' azzjoni huwa fih innifsu ksur.
Art. 13(14)
Tmiem tal-lista ta' kontroll · kollha 40 oġġetti murija hawn fuq
Esportazzjoni (mhux obbligatorja)
Esporta l-matriċi tiegħek bil-progress attwali tiegħek
Kull ma hemm hawn fuq tista' taqrah u tistampah bla ħlas. Biex tniżżel il-lista ta' kontroll u l-istatus attwali tiegħek bħala spreadsheet jew PDF, ħalli email u nżiduk man-newsletter CRA.