Niezależny przewodnik po rozporządzeniu (UE) 2024/2847 · Status: obowiązuje
Niniejsza strona stanowi tłumaczenie automatyczne (AI) i nie została sprawdzona przez człowieka.
Narzędzia · Lista kontrolna producenta

Macierz zgodności

Każdy obowiązek producentów produktów z elementami cyfrowymi, przedstawiony w całym cyklu życia produktu wraz z odniesieniem do artykułu. Przejdź przez niego i śledź swoje postępy; cała lista kontrolna jest dostępna bezpłatnie do wglądu. Postępy są zapisywane w tej przeglądarce.

0% ukończono0 / 40 pozycje
Drukuj
Domyślny · route

Produkty domyślne mogą podlegać samoocenie w ramach modułu Module A. Jednostka notyfikowana nie jest wymagana, lecz pełna dokumentacja techniczna oraz DoC i tak muszą być przygotowane.

1 · Podstawy

Fundamenty na poziomie organizacji

0 / 4

Wymagania organizacyjne, które muszą zostać spełnione przed rozpoczęciem jakichkolwiek prac dotyczących konkretnego produktu.

Udokumentowany cykl życia bezpiecznego oprogramowania (SDL)Należy utrzymywać udokumentowany SDL określający fazy, role i zakresy odpowiedzialności. Certyfikacja zewnętrzna (IEC 62443-4-1, ISO/IEC 27001) jest opcjonalna, lecz tworzy domniemanie zgodności.
art. 13 ust. 1 · załącznik IDo wykonania
Dowody zgodności z SDLW przypadku braku zewnętrznej certyfikacji należy przechowywać udokumentowane dowody wewnętrznej zgodności z SDL.
Załącznik I · cz. IDo wykonania
SDL obejmuje zasady secure-by-design i secure-by-defaultNOWOŚĆSDL musi wyraźnie określać, w jaki sposób produkt minimalizuje swoją powierzchnię ataku bez konieczności konfiguracji przez użytkownika końcowego.
Załącznik I · I(2)(3)Do wykonania
Upoważniony przedstawiciel w UE (producenci spoza UE)NOWOŚĆProducenci mający siedzibę poza UE muszą wyznaczyć, na podstawie pisemnego pełnomocnictwa, przedstawiciela mającego siedzibę w UE, wskazanego w dokumentacji technicznej oraz w DoC.
Art. 19Do wykonania
2 · Przed rozpoczęciem prac rozwojowych

Przed rozpoczęciem prac rozwojowych

0 / 9

Klasyfikacja, ocena ryzyka i techniczne warunki wstępne wyznaczają zakres wszystkich dalszych działań.

Ustal klasyfikację produktuNOWOŚĆDOSTĘPNE NARZĘDZIEUstal, czy produkt jest domyślny, istotny klasy I/II czy krytyczny (załączniki III i IV). Klasyfikacja określa ścieżkę oceny zgodności.
Załącznik III/IVDo wykonania
Określ ścieżkę oceny zgodnościNOWOŚĆDomyślny: samoocena w ramach Module A. Ważny, klasa I: Module A z normą zharmonizowaną, w przeciwnym razie B+C lub H. Ważny, klasa II i krytyczny: zawsze za pośrednictwem jednostki notyfikowanej. Powszechne są czasy realizacji wynoszące 4–10 miesięcy.
art. 32 · załącznik VIIIDo wykonania
Ocena ryzyka w zakresie cyberbezpieczeństwa właściwa dla produktuPrzeprowadź ocenę ryzyka przed rozpoczęciem prac rozwojowych. Zachowaj wszystkie wersje; pierwotna wersja sprzed prac rozwojowych stanowi część dokumentacji technicznej.
Załącznik I · I(1)Do wykonania
Modelowanie zagrożeńNOWOŚĆZidentyfikuj powierzchnię ataku, podmioty stwarzające zagrożenie, wektory ataku oraz wynikające z nich wymagania w zakresie bezpieczeństwa. Udokumentuj zastosowaną metodykę.
Załącznik I · I(1)Do wykonania
Polityka dotycząca komponentów stron trzecich i otwartego oprogramowaniaNOWOŚĆDOSTĘPNE NARZĘDZIEOkreśl, w jaki sposób komponenty zewnętrzne i otwarte oprogramowanie są wybierane, oceniane i zatwierdzane, z uwzględnieniem minimalnych wymogów dotyczących EOL oraz obowiązków w zakresie reagowania na podatności.
Załącznik I · cz. IIDo wykonania
Sprawdzenie EOL narzędzi i zależnościDOSTĘPNE NARZĘDZIESprawdź datę zakończenia wsparcia (EOL) wszystkich kluczowych narzędzi, jąder systemu, baz danych i bibliotek. Unikaj składników, których data EOL przypada w okresie wsparcia produktu.
Załącznik I · cz. IIDo wykonania
Wykonalność szyfrowania danych w pamięciPotwierdź, że docelowy sprzęt obsługuje szyfrowanie danych przechowywanych; jest to wymóg obowiązkowy, który może wymusić zmianę sprzętu.
Załącznik I · I(4)(e)Do wykonania
Projekt minimalizujący powierzchnię atakuNOWOŚĆZaplanuj usunięcie lub domyślne wyłączenie każdego interfejsu, usługi, portu i protokołu, które nie są niezbędne do przewidzianej funkcji.
Załącznik I · I(2)(b)Do wykonania
Polityka dotycząca domyślnych poświadczeńNOWOŚĆNależy dostarczać produkt bez domyślnych haseł lub wymuszać na użytkowniku ustanowienie unikalnych danych uwierzytelniających przy pierwszym użyciu.
Załącznik I · I(2)(c)Do wykonania
3 · Prace rozwojowe

W trakcie opracowywania

0 / 5

Bezpieczne kodowanie, testowanie i mechanizm aktualizacji, udokumentowane w toku całego procesu wytwarzania.

Plan testów ukierunkowany na cyberbezpieczeństwoPrzypadki testowe ukierunkowane na uwierzytelnianie, kontrolę dostępu, walidację danych wejściowych, szyfrowanie i obsługę błędów. Udokumentowane i przechowywane w dokumentacji technicznej.
Załącznik I · I(1)Do wykonania
Dowody zgodności z SDLWykaż, na podstawie udokumentowanych dowodów, że SDL był przestrzegany na każdym etapie.
Załącznik I · cz. IDo wykonania
Testy penetracyjne / ocena podatnościNOWOŚĆPrzed wprowadzeniem do obrotu przeprowadź testy bezpieczeństwa produktu lub reprezentatywnej wersji kompilacji.
Załącznik I · I(1)Do wykonania
Bezpieczny mechanizm aktualizacji oprogramowaniaNOWOŚĆUwierzytelniony mechanizm aktualizacji z weryfikacją integralności, który urządzenie może zweryfikować przed instalacją oraz, w miarę możliwości, działający automatycznie.
Załącznik I · I(2)(f)Do wykonania
Minimalizacja danychNOWOŚĆZbieraj, przetwarzaj i przechowuj wyłącznie dane ściśle niezbędne do realizacji zamierzonej funkcji.
Załącznik I · I(4)(f)Do wykonania
4 · Przed wprowadzeniem do obrotu

Przed udostępnieniem produktu

0 / 12

SBOM, audyt sieci, EOL, ocena zgodności, oznakowanie CE oraz dokumentacja techniczna.

SBOM przygotowany i przeskanowany pod kątem podatnościDOSTĘPNE NARZĘDZIEPrzygotuj zestawienie składników oprogramowania (SBOM) obejmujące co najmniej wszystkie zależności najwyższego poziomu i zweryfikuj, czy żaden składnik nie zawiera znanej, już naprawionej podatności. Uwzględnienie usuniętego CVE stanowi bezpośrednie naruszenie.
Załącznik I · II(1)Do wykonania
SBOM w formacie nadającym się do odczytu maszynowegoNOWOŚĆDOSTĘPNE NARZĘDZIEProszę przechowywać SBOM w formacie SPDX lub CycloneDX (JSON/XML). PDF może zostać odrzucony jako nieczytelny maszynowo.
Załącznik I · cz. IIDo wykonania
Lista połączeń przychodzącychNależy wymienić i indywidualnie uzasadnić każde połączenie przychodzące oraz otwarty port; domyślnie usunąć lub wyłączyć wszystko, co nie jest niezbędne.
Załącznik I · I(2)(b)Do wykonania
Lista połączeń wychodzącychPoddaj audytowi i uzasadnij wszystkie połączenia wychodzące, w tym te pochodzące z systemu operacyjnego, bibliotek innych firm oraz telemetrii.
Załącznik I · cz. IDo wykonania
Zadeklaruj zakończenie cyklu życia produktu (EOL)DOSTĘPNE NARZĘDZIEOblicz i zadeklaruj datę EOL; nie może ona przekraczać daty EOL kluczowych zależności. Minimalny okres wsparcia wynosi 5 lat, chyba że spodziewany okres użytkowania jest krótszy.
Art. 13(8)Do wykonania
Przeprowadź ocenę zgodnościNOWOŚĆPrzeprowadź właściwą procedurę (Module A albo B+C / H / jednostka notyfikowana) i udokumentuj ją przed umieszczeniem oznakowania CE.
Art. 32Do wykonania
Przygotuj deklarację zgodności UENOWOŚĆDOSTĘPNE NARZĘDZIESporządź i podpisz DoC zgodnie z załącznikiem V, z odniesieniem do rozporządzenia, produktu oraz procedury oceny. Przechowuj przez 10 lat.
art. 28 · załącznik VDo wykonania
Umieść oznakowanie CENOWOŚĆUmieść widoczne, czytelne i trwałe oznakowanie CE. Bez oznakowania CE nie ma dostępu do rynku UE od 11 grudnia 2027 r.
Art. 30Do wykonania
Zgromadź dokumentację technicznąNOWOŚĆSkompletuj pakiet zgodny z załącznikiem VII: opis, ocenę ryzyka, dowody stosowania SDL, wyniki testów, SBOM, audyty połączeń, DoC oraz deklarację EOL.
art. 31 · załącznik VIIDo wykonania
10-letni plan przechowywaniaNOWOŚĆArchiwizuj całą dokumentację techniczną, w tym każdą wersję SBOM, przez co najmniej 10 lat od pierwszego wprowadzenia do obrotu.
Art. 31(3)Do wykonania
Dokumentacja dla użytkownikaNOWOŚĆPrzekaż informacje o zamierzonym zastosowaniu, właściwościach w zakresie cyberbezpieczeństwa, sposobie konfiguracji zabezpieczeń, zadeklarowanej dacie EOL oraz sposobie zgłaszania podatności.
Załącznik II · art. 13 ust. 18Do wykonania
Opublikowano kontakt do zgłaszania podatnościNOWOŚĆOpublikuj jeden, aktywnie monitorowany punkt kontaktowy do zgłaszania podatności.
Art. 13(5)Do wykonania
5 · Po wprowadzeniu

Po wprowadzeniu produktu

0 / 10

Bieżące monitorowanie, terminy zgłaszania wynikające z artykułu 14 oraz obowiązki dotyczące aktualizacji w całym okresie wsparcia.

Zaktualizuj ocenę ryzyka przy istotnej zmianiePrzeprowadź ponowną ocenę w przypadku istotnej zmiany produktu, pojawienia się znaczącego nowego zagrożenia lub wykorzystywanej podatności; udokumentuj jej przyczynę i wynik.
Załącznik I · I(1)Do wykonania
Zautomatyzowane monitorowanie podatności w SBOMDOSTĘPNE NARZĘDZIEWdróż narzędzia, które monitorują komponenty SBOM względem aktualnych źródeł danych (NVD, EUVD, OSV) wystarczająco często, aby dotrzymać 24-godzinnego terminu zgłaszania. Monitorowanie ręczne jest niewystarczające.
Art. 14Do wykonania
Wstępne sprawozdanie o podatności w ciągu 24 godzinNOWOŚĆPo powzięciu wiedzy o aktywnie wykorzystywanej podatności należy złożyć wstępne zgłoszenie w ciągu 24 godzin za pośrednictwem jednolitej platformy zgłoszeniowej ENISA. Obowiązuje od 11 września 2026 r.
Art. 14(2)Do wykonania
Raport techniczny w ciągu 72 godzinNOWOŚĆProszę przekazać szczegółowy raport techniczny do ENISA i krajowego CSIRT w ciągu 72 godzin, wraz z informacją o powadze i wszelkich środkach ograniczających.
Art. 14(3)Do wykonania
Sprawozdanie końcowe w terminie 14 dni od usunięcia podatnościNOWOŚĆProszę przekazać raport końcowy nie później niż w ciągu 14 dni od udostępnienia aktualizacji zabezpieczeń lub rozwiązania zastępczego.
Art. 14(4)Do wykonania
Zgłaszanie poważnych incydentówNOWOŚĆZgłaszaj poważne incydenty mające wpływ na bezpieczeństwo produktu w tym samym terminie 24/72 godzin.
Art. 14(2)Do wykonania
Automatyczna aktualizacja w odpowiedzi na podatności w komponentach innych firmNależy utrzymywać automatyczny system aktualizacji zdolny do usuwania podatności w składnikach pochodzących od osób trzecich. Usunięcie podatności w ciągu 24 godzin zwalnia z obowiązku zgłoszenia, lecz nie z obowiązku jej naprawienia.
Art. 14(2)(a)Do wykonania
Bezpłatne aktualizacje zabezpieczeńNOWOŚĆZapewniaj wszystkie aktualizacje zabezpieczeń bezpłatnie przez cały okres wsparcia.
Art. 13(9)Do wykonania
Powiadomienie z wyprzedzeniem o zakończeniu wsparcia (End-of-Life)NOWOŚĆPowiadamiaj użytkowników co najmniej 12 miesięcy przed ostatnią aktualizacją zabezpieczeń, jeżeli jest to wykonalne.
Art. 13(8)Do wykonania
Środki naprawcze w odniesieniu do produktów niezgodnychNOWOŚĆUsuń nieprawidłowości, wycofaj z obrotu lub od użytkowników produkty niezgodne z wymaganiami i powiadom organy nadzoru rynku. Bezczynność sama w sobie stanowi naruszenie.
Art. 13(14)Do wykonania
Koniec listy kontrolnej · wszystkie 40 pozycji pokazanych powyżej
Eksport (opcjonalnie)

Wyeksportuj swoją macierz wraz z bieżącym postępem

Wszystko powyżej można bezpłatnie przeczytać i wydrukować. Aby pobrać listę kontrolną i bieżący status w formie arkusza kalkulacyjnego lub PDF, podaj adres e-mail, a dodamy Cię do newslettera CRA.

Dodamy Państwa do newslettera poświęconego CRA. Rezygnacja możliwa w dowolnym momencie. Bez spamu. Prosimy zapoznać się z naszą polityką prywatności.