Instrumente · Lista de verificare a fabricantului
Matricea de conformitate
Fiecare obligație a fabricanților de produse cu elemente digitale, prezentată de-a lungul ciclului de viață al produsului, cu trimiterea la articolul corespunzător. Parcurgeți-o și monitorizați-vă progresul; întreaga listă de verificare poate fi consultată gratuit. Progresul este păstrat în acest browser.
Implicit · route
Produsele implicite pot face obiectul autoevaluării în temeiul modulului A. Nu este necesar niciun organism notificat, dar dosarul tehnic complet și DoC trebuie să existe în continuare.
1 · Fundamente
Fundamente la nivelul societății
0 / 4Cerințe organizatorice care trebuie să existe înainte de începerea oricărei activități specifice produsului.
Ciclu de viață al dezvoltării securizate documentatMențineți un SDL documentat care definește etapele, rolurile și responsabilitățile. Certificarea externă (IEC 62443-4-1, ISO/IEC 27001) este opțională, dar creează o prezumție de conformitate.
art. 13(1) · anexa I
Dovezi privind conformitatea cu SDLÎn cazul în care nu se deține nicio certificare externă, păstrați dovezi documentate privind conformitatea internă cu SDL.
anexa I · partea I
SDL acoperă securitatea încă din faza de proiectare și securitatea în mod implicitNOUSDL-ul trebuie să trateze în mod explicit modul în care produsul își reduce la minimum suprafața de atac fără a fi configurat de utilizatorul final.
anexa I · I(2)(3)
Reprezentant autorizat în UE (fabricanți din afara UE)NOUFabricanții din afara UE trebuie să desemneze, prin mandat scris, un reprezentant stabilit în UE, menționat în documentația tehnică și în DoC.
Art. 19
2 · Înainte de dezvoltare
Înainte de începerea dezvoltării
0 / 9Clasificarea, evaluarea riscurilor și condițiile prealabile tehnice stabilesc domeniul de aplicare pentru tot ce urmează.
Stabiliți clasificarea produsuluiNOUINSTRUMENT DISPONIBILIdentificați dacă produsul este implicit, important clasa I/II sau critic (anexele III și IV). Clasificarea determină procedura de evaluare a conformității.
anexa III/IV
Identificați procedura de evaluare a conformitățiiNOUImplicit: autoevaluare prin modulul A. Important clasa I: modulul A cu un standard armonizat, în caz contrar B+C sau H. Important clasa II și critic: întotdeauna prin intermediul unui organism notificat. Termenele de execuție de 4-10 luni sunt frecvente.
art. 32 · anexa VIII
Evaluarea riscurilor de securitate cibernetică specifică produsuluiEfectuați o evaluare a riscurilor înainte de dezvoltare. Păstrați toate versiunile; versiunea inițială, anterioară dezvoltării, face parte din documentația tehnică.
anexa I · I(1)
Modelarea amenințărilorNOUIdentificați suprafața de atac, actorii amenințători, vectorii de atac și cerințele de securitate care rezultă. Documentați metodologia utilizată.
anexa I · I(1)
Politica privind componentele provenite de la terți și componentele cu sursă deschisăNOUINSTRUMENT DISPONIBILDefiniți modul în care sunt selectate, evaluate și aprobate componentele provenite de la terți și componentele cu sursă deschisă, inclusiv EOL-ul minim și obligațiile de răspuns la vulnerabilități.
anexa I · partea II
Verificarea EOL pentru instrumente și dependențeINSTRUMENT DISPONIBILVerificați data sfârșitului duratei de viață a tuturor instrumentelor, nucleelor, bazelor de date și bibliotecilor cheie. Evitați componentele al căror EOL survine în perioada de asistență a produsului.
anexa I · partea II
Fezabilitatea criptării stocăriiConfirmați că hardware-ul țintă acceptă criptarea datelor în repaus; o cerință obligatorie care poate impune o modificare a hardware-ului.
anexa I · I(4)(e)
Proiectare cu suprafață de atac minimăNOUPlanificați eliminarea sau dezactivarea în mod implicit a fiecărei interfețe, fiecărui serviciu, port și protocol care nu este necesar pentru funcția prevăzută.
anexa I · I(2)(b)
Politica privind acreditările impliciteNOULivrați produsul fără parole implicite sau obligați utilizatorul să stabilească o acreditare unică la prima utilizare.
anexa I · I(2)(c)
3 · Dezvoltare
În timpul dezvoltării
0 / 5Programare securizată, testare și mecanismul de actualizare, documentate pe tot parcursul compilării.
Plan de testare axat pe securitatea ciberneticăCazuri de testare care vizează autentificarea, controlul accesului, validarea datelor de intrare, criptarea și gestionarea erorilor. Documentate și păstrate în dosarul tehnic.
anexa I · I(1)
Dovezi privind conformitatea cu SDLDemonstrați, cu dovezi documentate, că SDL a fost respectat în fiecare etapă.
anexa I · partea I
Testare de penetrare / evaluare a vulnerabilitățilorNOUEfectuați teste de securitate asupra produsului sau a unei versiuni reprezentative înainte de lansare.
anexa I · I(1)
Mecanism securizat de actualizare a software-uluiNOUUn mecanism de actualizare autentificat și cu integritate verificată, care poate fi verificat de dispozitiv înainte de instalare și automat, atunci când este posibil.
anexa I · I(2)(f)
Reducerea la minimum a datelorNOUColectați, prelucrați și stocați numai datele strict necesare pentru funcția prevăzută.
anexa I · I(4)(f)
4 · Înainte de lansare
Înainte de lansarea produsului
0 / 12SBOM, auditul rețelei, EOL, evaluarea conformității, marcajul CE și dosarul tehnic.
SBOM pregătit și verificat în privința vulnerabilitățilorINSTRUMENT DISPONIBILPregătiți un SBOM care să acopere cel puțin toate dependențele de nivel superior și verificați ca nicio componentă să nu prezinte o vulnerabilitate cunoscută, deja corectată. Includerea unui CVE soluționat constituie o încălcare directă.
anexa I · II(1)
SBOM într-un format care poate fi citit automatNOUINSTRUMENT DISPONIBILStocați SBOM-ul în format SPDX sau CycloneDX (JSON/XML). Formatul PDF poate fi respins ca neputând fi citit automat.
anexa I · partea II
Lista conexiunilor de intrareEnumerați și justificați în mod individual fiecare conexiune de intrare și fiecare port deschis; eliminați sau dezactivați în mod implicit tot ce nu este necesar.
anexa I · I(2)(b)
Lista conexiunilor de ieșireAuditați și justificați toate conexiunile de ieșire, inclusiv cele provenite de la sistemul de operare, bibliotecile terților și telemetrie.
anexa I · partea I
Declarați sfârșitul duratei de viață a produsuluiINSTRUMENT DISPONIBILCalculați și declarați EOL; acesta nu poate depăși EOL-ul dependențelor cheie. Perioadă de asistență de minimum 5 ani, cu excepția cazului în care durata de utilizare preconizată este mai scurtă.
Art. 13(8)
Finalizați evaluarea conformitățiiNOUEfectuați procedura aplicabilă (modulul A sau B+C / H / organism notificat) și documentați-o înainte de a aplica marcajul CE.
Art. 32
Pregătiți declarația de conformitate UENOUINSTRUMENT DISPONIBILRedactați și semnați DoC în conformitate cu anexa V, cu trimitere la regulament, la produs și la procedura de evaluare. Păstrați-o disponibilă timp de 10 ani.
art. 28 · anexa V
Aplicați marcajul CENOUAplicați un marcaj CE vizibil, lizibil și de neșters. Fără marcaj CE, nu există acces pe piața UE începând cu 11 dec. 2027.
Art. 30
Întocmiți dosarul tehnicNOUÎntocmiți pachetul prevăzut în anexa VII: descriere, evaluare a riscurilor, dovezi SDL, rezultatele testelor, SBOM, audituri ale conexiunilor, DoC și declarația privind EOL.
art. 31 · anexa VII
Plan de păstrare pe 10 aniNOUArhivați toată documentația tehnică, inclusiv fiecare versiune a SBOM-ului, timp de cel puțin 10 ani de la prima introducere pe piață.
Art. 31(3)
Documentație destinată utilizatoruluiNOUComunicați utilizarea prevăzută, proprietățile de securitate cibernetică, modul de configurare a securității, EOL-ul declarat și modul de raportare a vulnerabilităților.
anexa II · art. 13(18)
Punct de contact pentru divulgarea vulnerabilităților publicatNOUPublicați un punct unic de contact, monitorizat în mod activ, pentru raportarea vulnerabilităților.
Art. 13(5)
5 · După lansare
După lansarea produsului
0 / 10Monitorizarea continuă, calendarul de raportare prevăzut la articolul 14 și obligațiile de actualizare pe parcursul perioadei de asistență.
Actualizați evaluarea riscurilor în cazul unei modificări semnificativeReevaluați atunci când se identifică o modificare majoră a produsului, o nouă amenințare semnificativă sau o vulnerabilitate exploatată; documentați elementul declanșator și rezultatul.
anexa I · I(1)
Monitorizarea automată a vulnerabilităților SBOMINSTRUMENT DISPONIBILImplementați instrumente care monitorizează componentele SBOM în raport cu fluxurile active (NVD, EUVD, OSV) suficient de frecvent pentru a respecta termenul de raportare de 24 de ore. Monitorizarea manuală este insuficientă.
Art. 14
Raport inițial privind vulnerabilitatea în termen de 24 de oreNOULa luarea la cunoștință a unei vulnerabilități exploatate în mod activ, depuneți un raport inițial în termen de 24 de ore prin intermediul platformei unice de raportare a ENISA. Se aplică începând cu 11 sept. 2026.
Art. 14(2)
Raport tehnic în termen de 72 de oreNOUTransmiteți ENISA și CSIRT-ului național un raport tehnic detaliat în termen de 72 de ore, inclusiv gravitatea și orice măsură de atenuare.
Art. 14(3)
Raport final în termen de 14 zile de la remediereNOUTransmiteți un raport final în cel mult 14 zile de la punerea la dispoziție a unei actualizări de securitate sau a unei soluții temporare.
Art. 14(4)
Raportarea incidentelor graveNOURaportați incidentele grave care afectează securitatea produsului în același termen de 24/72 de ore.
Art. 14(2)
Actualizare automată pentru vulnerabilitățile terțilorMențineți un sistem de actualizare automată capabil să corecteze vulnerabilitățile componentelor terților. O corecție în termen de 24 de ore exonerează de la raportare, nu de la remediere.
Art. 14(2)(a)
Actualizări de securitate gratuiteNOUFurnizați toate actualizările de securitate gratuit pe durata perioadei de asistență.
Art. 13(9)
Aviz prealabil privind sfârșitul duratei de viațăNOUNotificați utilizatorii cu cel puțin 12 luni înainte de actualizarea finală de securitate, atunci când este posibil.
Art. 13(8)
Măsuri corective pentru produsele neconformeNOURemediați, retrageți sau rechemați produsele neconforme și notificați supravegherea pieței. Inacțiunea constituie ea însăși o încălcare.
Art. 13(14)
Sfârșitul listei de verificare · toate 40 elemente prezentate mai sus
Export (opțional)
Exportați-vă matricea cu progresul dumneavoastră actual
Tot ce este prezentat mai sus poate fi citit și imprimat gratuit. Pentru a descărca lista de verificare și starea dumneavoastră actuală sub formă de foaie de calcul sau PDF, lăsați o adresă de e-mail și vă vom adăuga la buletinul informativ CRA.