Hulpmiddelen · Checklist voor fabrikanten
Nalevingsmatrix
Elke verplichting voor fabrikanten van producten met digitale elementen, uiteengezet over de gehele levenscyclus van het product met de bijbehorende verwijzing naar het artikel. Werk deze door en volg uw voortgang; de volledige checklist is gratis in te zien. De voortgang wordt in deze browser bewaard.
Standaard · route
Standaardproducten mogen een zelfbeoordeling uitvoeren volgens Module A. Er is geen aangemelde instantie vereist, maar het volledige technische dossier en de DoC moeten wel aanwezig zijn.
1 · Grondslagen
Grondslagen op bedrijfsniveau
0 / 4Organisatorische vereisten die op orde moeten zijn voordat enig productspecifiek werk begint.
Gedocumenteerde Security Development LifecycleOnderhoud een gedocumenteerde SDL waarin fasen, rollen en verantwoordelijkheden zijn vastgelegd. Externe certificering (IEC 62443-4-1, ISO/IEC 27001) is optioneel, maar leidt tot een vermoeden van conformiteit.
Art. 13(1) · bijlage I
Bewijs van conformiteit met de SDLWanneer geen externe certificering aanwezig is, bewaar dan gedocumenteerd bewijs van interne conformiteit met de SDL.
Bijlage I · Deel I
SDL omvat secure-by-design en secure-by-defaultNIEUWDe SDL moet uitdrukkelijk ingaan op de wijze waarop het product zijn aanvalsoppervlak minimaliseert zonder configuratie door de eindgebruiker.
Bijlage I · I(2)(3)
Gemachtigde in de EU (fabrikanten buiten de EU)NIEUWFabrikanten buiten de EU moeten door middel van een schriftelijk mandaat een in de EU gevestigde gemachtigde aanwijzen, die in de technische documentatie en de DoC wordt vermeld.
Art. 19
2 · Vóór de ontwikkeling
Voordat de ontwikkeling begint
0 / 9Classificatie, risicobeoordeling en technische randvoorwaarden bepalen het toepassingsgebied voor alles wat volgt.
De productclassificatie bepalenNIEUWTOOL BESCHIKBAARStel vast of het product een standaardproduct, een belangrijk product (klasse I/II) of een kritiek product is (bijlagen III en IV). De classificatie bepaalt de route voor de conformiteitsbeoordeling.
Bijlage III/IV
Bepaal de route voor de conformiteitsbeoordelingNIEUWStandaard: zelfbeoordeling volgens Module A. Belangrijk klasse I: Module A met een geharmoniseerde norm, anders B+C of H. Belangrijk klasse II en kritiek: altijd via een aangemelde instantie. Doorlooptijden van 4–10 maanden komen vaak voor.
Art. 32 · bijlage VIII
Productspecifieke risicobeoordeling op het gebied van cyberbeveiligingVoer vóór de ontwikkeling een risicobeoordeling uit. Bewaar alle versies; de eerste versie van vóór de ontwikkeling maakt deel uit van de technische documentatie.
Bijlage I · I(1)
DreigingsmodelleringNIEUWBreng het aanvalsoppervlak, de dreigingsactoren, de aanvalsvectoren en de daaruit voortvloeiende beveiligingseisen in kaart. Documenteer de gehanteerde methodologie.
Bijlage I · I(1)
Beleid voor componenten van derden en opensourcecomponentenNIEUWTOOL BESCHIKBAARBepaal hoe componenten van derden en opensourcecomponenten worden geselecteerd, beoordeeld en goedgekeurd, inclusief minimale EOL- en kwetsbaarheidsresponsverplichtingen.
Bijlage I · Deel II
EOL-controle voor tools en afhankelijkhedenTOOL BESCHIKBAARControleer de End-of-Life-datum van alle belangrijke tools, kernels, databases en bibliotheken. Vermijd componenten waarvan de EOL binnen de ondersteuningsduur van het product valt.
Bijlage I · Deel II
Haalbaarheid van opslagversleutelingBevestig dat de doelhardware versleuteling van data-at-rest ondersteunt; een verplichte eis die een hardwarewijziging kan afdwingen.
Bijlage I · I(4)(e)
Ontwerp met een minimaal aanvalsoppervlakNIEUWZorg ervoor dat elke interface, dienst, poort en elk protocol dat niet vereist is voor de beoogde functie standaard wordt verwijderd of uitgeschakeld.
Bijlage I · I(2)(b)
Beleid voor standaardinloggegevensNIEUWLever het product zonder standaardwachtwoorden, of verplicht de gebruiker bij het eerste gebruik een uniek wachtwoord in te stellen.
Bijlage I · I(2)(c)
3 · Ontwikkeling
Tijdens de ontwikkeling
0 / 5Veilig programmeren, testen en het updatemechanisme, onderbouwd gedurende het hele bouwproces.
Op cyberbeveiliging gericht testplanTestgevallen gericht op authenticatie, toegangscontrole, invoervalidatie, versleuteling en foutafhandeling. Gedocumenteerd en bewaard in het technische dossier.
Bijlage I · I(1)
Bewijs van naleving van de SDLToon met gedocumenteerd bewijs aan dat de SDL in elke fase is gevolgd.
Bijlage I · Deel I
Penetratietesten / kwetsbaarheidsbeoordelingNIEUWVoer beveiligingstests uit op het product of op een representatieve build vóór de release.
Bijlage I · I(1)
Beveiligd software-updatemechanismeNIEUWEen geverifieerd updatemechanisme met integriteitscontrole, dat door het apparaat vóór installatie kan worden gecontroleerd en waar mogelijk automatisch is.
Bijlage I · I(2)(f)
GegevensminimalisatieNIEUWVerzamel, verwerk en bewaar uitsluitend de gegevens die strikt noodzakelijk zijn voor de beoogde functie.
Bijlage I · I(4)(f)
4 · Vóór de uitgave
Vóór de productrelease
0 / 12SBOM, netwerkaudit, EOL, conformiteitsbeoordeling, CE-markering en het technische dossier.
SBOM opgesteld en op kwetsbaarheden gecontroleerdTOOL BESCHIKBAARStel een softwarestuklijst (SBOM) op die ten minste alle afhankelijkheden op het hoogste niveau omvat en controleer of geen enkel component een bekende, reeds verholpen kwetsbaarheid bevat. Het opnemen van een opgeloste CVE is een rechtstreekse overtreding.
Bijlage I · II(1)
SBOM in een machineleesbaar formaatNIEUWTOOL BESCHIKBAARBewaar de SBOM als SPDX of CycloneDX (JSON/XML). PDF kan als niet-machineleesbaar worden afgewezen.
Bijlage I · Deel II
Lijst van inkomende verbindingenInventariseer elke inkomende verbinding en open poort en motiveer deze afzonderlijk; verwijder of schakel standaard alles uit wat niet vereist is.
Bijlage I · I(2)(b)
Lijst van uitgaande verbindingenControleer en rechtvaardig alle uitgaande verbindingen, inclusief die van het besturingssysteem, bibliotheken van derden en telemetrie.
Bijlage I · Deel I
De End-of-Life van het product verklarenTOOL BESCHIKBAARBereken en verklaar de EOL; deze mag de EOL van belangrijke afhankelijkheden niet overschrijden. Een ondersteuningsperiode van minimaal 5 jaar, tenzij de verwachte gebruiksduur korter is.
Art. 13(8)
Voltooi de conformiteitsbeoordelingNIEUWVoer de toepasselijke procedure uit (Module A, of B+C / H / aangemelde instantie) en documenteer deze voordat u de CE-markering aanbrengt.
Art. 32
Stel de EU-conformiteitsverklaring opNIEUWTOOL BESCHIKBAARStel de conformiteitsverklaring op volgens bijlage V en onderteken deze, met verwijzing naar de verordening, het product en de beoordelingsprocedure. Houd deze 10 jaar beschikbaar.
Art. 28 · bijlage V
Breng de CE-markering aanNIEUWBreng een zichtbare, leesbare en onuitwisbare CE-markering aan. Geen CE-markering, geen EU-markt vanaf 11 dec. 2027.
Art. 30
Stel het technische dossier samenNIEUWStel het pakket conform bijlage VII samen: beschrijving, risicobeoordeling, SDL-bewijs, testresultaten, SBOM, verbindingsaudits, DoC en EOL-verklaring.
Art. 31 · bijlage VII
Bewaarplan van 10 jaarNIEUWBewaar alle technische documentatie, inclusief elke SBOM-versie, gedurende ten minste 10 jaar na het voor het eerst in de handel brengen.
Art. 31(3)
Documentatie voor gebruikersNIEUWCommuniceer het beoogde gebruik, de cyberbeveiligingseigenschappen, hoe de beveiliging te configureren, de verklaarde EOL en hoe kwetsbaarheden gemeld kunnen worden.
Bijlage II · Art. 13(18)
Contactpunt voor kwetsbaarheidsmelding gepubliceerdNIEUWPubliceer één actief bewaakt contactpunt voor het melden van kwetsbaarheden.
Art. 13(5)
5 · Na de uitgave
Na uitgave van het product
0 / 10Doorlopende monitoring, de meldingstermijn van artikel 14 en updateverplichtingen gedurende de ondersteuningsperiode.
Werk de risicobeoordeling bij bij belangrijke wijzigingenVoer een nieuwe beoordeling uit wanneer een ingrijpende productwijziging, een belangrijke nieuwe dreiging of een misbruikte kwetsbaarheid wordt vastgesteld; documenteer de aanleiding en de uitkomst.
Bijlage I · I(1)
Geautomatiseerde monitoring van SBOM-kwetsbaarhedenTOOL BESCHIKBAARZet tooling in die SBOM-componenten vaak genoeg toetst aan live feeds (NVD, EUVD, OSV) om binnen het rapportagevenster van 24 uur te blijven. Handmatige monitoring is ontoereikend.
Art. 14
Eerste kwetsbaarheidsrapport binnen 24 uurNIEUWZodra u op de hoogte raakt van een actief misbruikte kwetsbaarheid, dient u binnen 24 uur een eerste melding in via het centrale meldingsplatform van ENISA. Van toepassing vanaf 11 sep. 2026.
Art. 14(2)
Technisch rapport binnen 72 uurNIEUWDien binnen 72 uur een gedetailleerd technisch rapport in bij ENISA en het nationale CSIRT, met inbegrip van de ernst en eventuele mitigerende maatregelen.
Art. 14(3)
Eindverslag binnen 14 dagen na verhelpingNIEUWDien uiterlijk 14 dagen nadat een beveiligingsupdate of tijdelijke oplossing beschikbaar is gesteld een eindrapport in.
Art. 14(4)
Melding van ernstige incidentenNIEUWMeld ernstige incidenten die de beveiliging van het product raken volgens hetzelfde tijdschema van 24/72 uur.
Art. 14(2)
Automatische update voor kwetsbaarheden in onderdelen van derdenOnderhoud een automatisch updatesysteem dat kwetsbaarheden in componenten van derden kan patchen. Een oplossing binnen 24 uur ontheft van de meldplicht, niet van de hersteltaak.
Art. 14(2)(a)
Beveiligingsupdates gratisNIEUWVerstrek alle beveiligingsupdates gratis voor de duur van de ondersteuningsperiode.
Art. 13(9)
Voorafgaande kennisgeving van End-of-LifeNIEUWStel gebruikers waar mogelijk ten minste 12 maanden vóór de laatste beveiligingsupdate op de hoogte.
Art. 13(8)
Corrigerende maatregelen voor niet-conforme productenNIEUWVerhelp non-conforme producten, neem ze uit de handel of roep ze terug, en stel het markttoezicht hiervan in kennis. Niets doen is op zichzelf al een overtreding.
Art. 13(14)
Einde van de checklist · alle 40 items hierboven weergegeven
Exporteren (optioneel)
Exporteer uw matrix met uw huidige voortgang
Alles hierboven is gratis te lezen en af te drukken. Om de checklist en uw actuele status als spreadsheet of PDF te downloaden, laat u een e-mailadres achter en voegen wij u toe aan de CRA-nieuwsbrief.