Ferramentas · Lista de verificação do fabricante
Matriz de conformidade
Todas as obrigações dos fabricantes de produtos com elementos digitais, apresentadas ao longo do ciclo de vida do produto com a respetiva referência ao artigo. Percorra-as e acompanhe o seu progresso; a lista de verificação completa pode ser consultada gratuitamente. O progresso é guardado neste navegador.
Por defeito · route
Os produtos por defeito podem efetuar uma autoavaliação ao abrigo do Module A. Não é necessário qualquer organismo notificado, mas o processo técnico completo e a DoC têm, ainda assim, de estar disponíveis.
1 · Fundamentos
Bases ao nível da empresa
0 / 4Requisitos organizacionais que devem estar implementados antes do início de qualquer trabalho específico do produto.
Ciclo de vida de desenvolvimento seguro documentadoManter um SDL documentado que defina fases, funções e responsabilidades. A certificação externa (IEC 62443-4-1, ISO/IEC 27001) é opcional, mas cria uma presunção de conformidade.
Art. 13.º, n.º 1 · Anexo I
Evidências de conformidade com o SDLCaso não possua uma certificação externa, conserve provas documentadas da conformidade interna com o SDL.
Anexo I · Pt I
O SDL abrange a segurança desde a conceção e a segurança por defeitoNOVOO SDL deve abordar explicitamente a forma como o produto minimiza a sua superfície de ataque sem necessidade de configuração por parte do utilizador final.
Anexo I · I(2)(3)
Mandatário na UE (fabricantes de fora da UE)NOVOOs fabricantes estabelecidos fora da UE devem designar, mediante mandato escrito, um mandatário estabelecido na UE, identificado na documentação técnica e na DoC.
Art. 19
2 · Antes do desenvolvimento
Antes do início do desenvolvimento
0 / 9A classificação, a avaliação dos riscos e os pré-requisitos técnicos definem o âmbito de tudo o que se segue.
Determinar a classificação do produtoNOVOFERRAMENTA DISPONÍVELIdentifique se o produto é por defeito, importante de classe I/II ou crítico (anexos III e IV). A classificação determina a via de avaliação da conformidade.
Anexo III/IV
Identifique a via de avaliação da conformidadeNOVOPor defeito: autoavaliação Module A. Importante Classe I: Module A com uma norma harmonizada, caso contrário B+C ou H. Importante Classe II e Crítico: sempre através de um organismo notificado. São comuns prazos de 4 a 10 meses.
Art. 32.º · Anexo VIII
Avaliação dos riscos de cibersegurança específica do produtoRealize uma avaliação dos riscos antes do desenvolvimento. Conserve todas as versões; a versão inicial anterior ao desenvolvimento faz parte da documentação técnica.
Anexo I · I(1)
Modelação de ameaçasNOVOIdentifique a superfície de ataque, os agentes de ameaça, os vetores de ataque e os requisitos de segurança daí resultantes. Documente a metodologia utilizada.
Anexo I · I(1)
Política de componentes de terceiros e de fonte abertaNOVOFERRAMENTA DISPONÍVELDefinir a forma como os componentes de terceiros e de fonte aberta são selecionados, avaliados e aprovados, incluindo o EOL mínimo e as obrigações de resposta a vulnerabilidades.
Anexo I · Pt II
Verificação de EOL para ferramentas e dependênciasFERRAMENTA DISPONÍVELVerifique a data de fim de vida (End-of-Life) de todas as ferramentas, kernels, bases de dados e bibliotecas essenciais. Evite componentes cujo EOL ocorra dentro do tempo de vida de apoio do produto.
Anexo I · Pt II
Viabilidade de cifragem do armazenamentoConfirme que o hardware-alvo suporta a cifragem de dados em repouso; um requisito obrigatório que pode obrigar a uma alteração de hardware.
Anexo I · I(4)(e)
Conceção com superfície de ataque mínimaNOVOPlaneie remover ou desativar por predefinição todas as interfaces, serviços, portas e protocolos não necessários para a função prevista.
Anexo I · I(2)(b)
Política de credenciais por defeitoNOVOFornecer o produto sem palavras-passe predefinidas, ou obrigar o utilizador a definir uma credencial única na primeira utilização.
Anexo I · I(2)(c)
3 · Desenvolvimento
Durante o desenvolvimento
0 / 5Codificação segura, testes e mecanismo de atualização, comprovados ao longo de todo o desenvolvimento.
Plano de testes centrado na cibersegurançaCasos de teste dirigidos à autenticação, ao controlo de acessos, à validação de entradas, à cifragem e ao tratamento de erros. Documentados e conservados na documentação técnica.
Anexo I · I(1)
Evidências de conformidade com o SDLDemonstrar, com provas documentadas, que o SDL foi seguido em cada fase.
Anexo I · Pt I
Testes de penetração / avaliação de vulnerabilidadesNOVORealize testes de segurança ao produto, ou a uma versão de compilação representativa, antes da disponibilização.
Anexo I · I(1)
Mecanismo seguro de atualização de softwareNOVOUm mecanismo de atualização autenticado e com integridade verificada, verificável pelo dispositivo antes da instalação e automático sempre que viável.
Anexo I · I(2)(f)
Minimização dos dadosNOVORecolha, trate e armazene apenas os dados estritamente necessários para a função prevista.
Anexo I · I(4)(f)
4 · Antes do lançamento
Antes do lançamento do produto
0 / 12SBOM, auditoria de rede, EOL, avaliação da conformidade, marcação CE e o ficheiro técnico.
SBOM preparada e analisada quanto a vulnerabilidadesFERRAMENTA DISPONÍVELPrepare uma SBOM que abranja, pelo menos, todas as dependências de nível superior e verifique que nenhum componente apresenta uma vulnerabilidade conhecida e já corrigida. Incluir uma CVE já resolvida constitui uma violação direta.
Anexo I · II(1)
SBOM em formato legível por máquinaNOVOFERRAMENTA DISPONÍVELArmazene a SBOM em SPDX ou CycloneDX (JSON/XML). O PDF pode ser rejeitado por não ser legível por máquina.
Anexo I · Pt II
Lista de ligações de entradaEnumerar e justificar individualmente cada ligação de entrada e cada porta aberta; remover ou desativar por predefinição tudo o que não for necessário.
Anexo I · I(2)(b)
Lista de ligações de saídaAuditar e justificar todas as ligações de saída, incluindo as do sistema operativo, das bibliotecas de terceiros e da telemetria.
Anexo I · Pt I
Declarar o fim de vida do produtoFERRAMENTA DISPONÍVELCalcule e declare o EOL; este não pode exceder o EOL das dependências essenciais. Período de apoio mínimo de 5 anos, salvo se o tempo de vida de utilização previsto for inferior.
Art. 13(8)
Concluir a avaliação da conformidadeNOVORealize o procedimento aplicável (Module A, ou B+C / H / organismo notificado) e documente-o antes de apor a marcação CE.
Art. 32
Elaborar a declaração UE de conformidadeNOVOFERRAMENTA DISPONÍVELElabore e assine a DoC de acordo com o anexo V, fazendo referência ao regulamento, ao produto e ao procedimento de avaliação. Mantenha-a disponível durante 10 anos.
Art. 28.º · Anexo V
Apor a marcação CENOVOApor a marcação CE de forma visível, legível e indelével. Sem marcação CE, não há acesso ao mercado da UE a partir de 11 de dezembro de 2027.
Art. 30
Compile o processo técnicoNOVOReunir o conjunto previsto no anexo VII: descrição, avaliação dos riscos, evidências do SDL, resultados dos ensaios, SBOM, auditorias de ligações, DoC e declaração de EOL.
Art. 31.º · Anexo VII
Plano de conservação de 10 anosNOVOArquivar toda a documentação técnica, incluindo todas as versões da SBOM, durante pelo menos 10 anos a contar da primeira colocação no mercado.
Art. 31(3)
Documentação destinada ao utilizadorNOVOComunique a utilização prevista, as propriedades de cibersegurança, a forma de configurar a segurança, o EOL declarado e a forma de comunicar vulnerabilidades.
Anexo II · Art. 13.º(18)
Contacto para divulgação de vulnerabilidades publicadoNOVOPublique um ponto de contacto único e ativamente monitorizado para a comunicação de vulnerabilidades.
Art. 13(5)
5 · Após a disponibilização
Após a disponibilização do produto
0 / 10Monitorização contínua, o calendário de notificação do artigo 14.º e as obrigações de atualização ao longo do período de apoio.
Atualizar a avaliação dos riscos em caso de alteração significativaReavalie sempre que seja identificada uma alteração importante do produto, uma nova ameaça significativa ou uma vulnerabilidade explorada; documente o fator desencadeante e o resultado.
Anexo I · I(1)
Monitorização automatizada de vulnerabilidades na SBOMFERRAMENTA DISPONÍVELImplementar ferramentas que monitorizem os componentes da SBOM face a fontes em tempo real (NVD, EUVD, OSV) com frequência suficiente para cumprir o prazo de comunicação de 24 horas. A monitorização manual é insuficiente.
Art. 14
Relatório inicial de vulnerabilidade no prazo de 24 horasNOVOAo tomar conhecimento de uma vulnerabilidade ativamente explorada, apresente um relatório inicial no prazo de 24 horas através da plataforma única de notificação da ENISA. Aplicável a partir de 11 set. 2026.
Art. 14(2)
Relatório técnico em 72 horasNOVOApresente um relatório técnico pormenorizado à ENISA e à CSIRT nacional no prazo de 72 horas, incluindo a gravidade e eventuais medidas de mitigação.
Art. 14(3)
Relatório final no prazo de 14 dias após a correçãoNOVOApresente um relatório final no prazo máximo de 14 dias após a disponibilização de uma atualização de segurança ou de uma solução alternativa.
Art. 14(4)
Notificação de incidentes gravesNOVONotifique os incidentes graves que afetem a segurança do produto no mesmo prazo de 24/72 horas.
Art. 14(2)
Atualização automática para vulnerabilidades de terceirosManter um sistema de atualização automática capaz de corrigir vulnerabilidades de componentes de terceiros. Uma correção no prazo de 24 horas dispensa a comunicação, mas não a correção.
Art. 14(2)(a)
Atualizações de segurança a título gratuitoNOVODisponibilizar gratuitamente todas as atualizações de segurança durante o período de apoio.
Art. 13(9)
Aviso prévio de fim de vidaNOVONotificar os utilizadores com pelo menos 12 meses de antecedência relativamente à última atualização de segurança, sempre que viável.
Art. 13(8)
Medidas corretivas para produtos não conformesNOVOCorrija, retire ou recolha os produtos não conformes e notifique a fiscalização do mercado. A inação constitui, por si só, uma infração.
Art. 13(14)
Fim da lista de verificação · todos 40 itens apresentados acima
Exportar (opcional)
Exporte a sua matriz com o progresso atual
Tudo o que está acima pode ser lido e impresso gratuitamente. Para descarregar a lista de verificação e o seu estado atualizado em folha de cálculo ou PDF, deixe um endereço de email e iremos adicioná-lo ao boletim informativo do CRA.