Nástroje · Kontrolný zoznam výrobcu
Matica súladu
Každá povinnosť výrobcov produktov s digitálnymi prvkami, usporiadaná naprieč životným cyklom produktu s odkazom na článok. Prejdite ňou a sledujte svoj pokrok; celý kontrolný zoznam je možné zobraziť bezplatne. Pokrok sa uchováva v tomto prehliadači.
Predvolený · route
Predvolené produkty môžu vykonať vlastné posúdenie podľa modulu A. Notifikovaný orgán sa nevyžaduje, ale kompletná technická dokumentácia a DoC musia byť aj tak k dispozícii.
1 · Základy
Základy na úrovni spoločnosti
0 / 4Organizačné požiadavky, ktoré musia byť splnené pred začatím akejkoľvek práce špecifickej pre produkt.
Zdokumentovaný bezpečný vývojový životný cyklus (SDL)Udržiavajte zdokumentovaný SDL vymedzujúci fázy, úlohy a zodpovednosti. Externá certifikácia (IEC 62443-4-1, ISO/IEC 27001) je voliteľná, ale vytvára predpoklad zhody.
čl. 13 ods. 1 · príloha I
Dôkaz o zhode s SDLAk nemáte externú certifikáciu, uchovávajte zdokumentované dôkazy o internej zhode s SDL.
Príloha I · Časť I
SDL pokrýva bezpečnosť už pri návrhu a predvolenú bezpečnosťNOVÉSDL musí výslovne riešiť, ako produkt minimalizuje svoj útočný povrch bez konfigurácie zo strany koncového používateľa.
Príloha I · I(2)(3)
Splnomocnený zástupca v EÚ (výrobcovia mimo EÚ)NOVÉVýrobcovia mimo EÚ musia písomným poverením určiť zástupcu usadeného v EÚ, uvedeného v technickej dokumentácii a v DoC.
Art. 19
2 · Pred vývojom
Pred začatím vývoja
0 / 9Klasifikácia, posúdenie rizík a technické predpoklady určujú rozsah všetkého, čo nasleduje.
Určte klasifikáciu produktuNOVÉNÁSTROJ K DISPOZÍCIIZistite, či je produkt predvolený, dôležitý triedy I/II alebo kritický (prílohy III a IV). Klasifikácia určuje postup posudzovania zhody.
Príloha III/IV
Identifikujte postup posudzovania zhodyNOVÉPredvolený: vlastné posúdenie podľa modulu A. Dôležitý trieda I: modul A s harmonizovanou normou, inak B+C alebo H. Dôležitý trieda II a kritický: vždy prostredníctvom notifikovaného orgánu. Bežné sú lehoty na vybavenie 4 – 10 mesiacov.
čl. 32 · príloha VIII
Posúdenie kybernetickobezpečnostných rizík špecifické pre produktVykonajte posúdenie rizík pred vývojom. Uchovávajte všetky verzie; počiatočná verzia pred vývojom je súčasťou technickej dokumentácie.
Príloha I · I(1)
Modelovanie hroziebNOVÉIdentifikujte útočný povrch, aktérov hrozieb, vektory útokov a z nich vyplývajúce bezpečnostné požiadavky. Zdokumentujte použitú metodiku.
Príloha I · I(1)
Politika komponentov tretích strán a open-source komponentovNOVÉNÁSTROJ K DISPOZÍCIIVymedzte, ako sa vyberajú, hodnotia a schvaľujú komponenty tretích strán a open-source komponenty, vrátane minimálneho EOL a povinností reakcie na zraniteľnosti.
Príloha I · Časť II
Kontrola EOL pre nástroje a závislostiNÁSTROJ K DISPOZÍCIISkontrolujte dátum konca životnosti všetkých kľúčových nástrojov, jadier, databáz a knižníc. Vyhnite sa komponentom, ktorých EOL spadá do obdobia podpory produktu.
Príloha I · Časť II
Realizovateľnosť šifrovania úložiskaPotvrďte, že cieľový hardvér podporuje šifrovanie údajov v pokoji; povinná požiadavka, ktorá si môže vynútiť zmenu hardvéru.
Príloha I · I(4)(e)
Návrh s minimálnym útočným povrchomNOVÉNaplánujte odstránenie alebo predvolené zakázanie každého rozhrania, služby, portu a protokolu, ktoré nie sú potrebné pre zamýšľanú funkciu.
Príloha I · I(2)(b)
Politika predvolených prihlasovacích údajovNOVÉDodávajte bez predvolených hesiel alebo vynúťte, aby si používateľ pri prvom použití nastavil jedinečný prihlasovací údaj.
Príloha I · I(2)(c)
3 · Vývoj
Počas vývoja
0 / 5Bezpečné kódovanie, testovanie a mechanizmus aktualizácie, doložené v priebehu celého zostavovania.
Plán testovania zameraný na kybernetickú bezpečnosťTestovacie prípady zamerané na autentifikáciu, kontrolu prístupu, validáciu vstupov, šifrovanie a spracovanie chýb. Zdokumentované a uchovávané v technickej dokumentácii.
Príloha I · I(1)
Dôkaz o súlade s SDLPreukážte zdokumentovanými dôkazmi, že SDL bol dodržaný v každej fáze.
Príloha I · Časť I
Penetračné testovanie / posúdenie zraniteľnostíNOVÉPred vydaním vykonajte bezpečnostné testovanie na produkte alebo na reprezentatívnom zostavení.
Príloha I · I(1)
Mechanizmus bezpečnej aktualizácie softvéruNOVÉAutentifikovaný mechanizmus aktualizácie s overenou integritou, ktorý zariadenie dokáže overiť pred inštaláciou a ktorý je automatický tam, kde je to realizovateľné.
Príloha I · I(2)(f)
Minimalizácia údajovNOVÉZhromažďujte, spracúvajte a uchovávajte len údaje nevyhnutne potrebné pre zamýšľanú funkciu.
Príloha I · I(4)(f)
4 · Pred vydaním
Pred vydaním produktu
0 / 12SBOM, sieťový audit, EOL, posúdenie zhody, označenie CE a technická dokumentácia.
SBOM pripravený a preverený na zraniteľnostiNÁSTROJ K DISPOZÍCIIPripravte SBOM pokrývajúci aspoň všetky závislosti najvyššej úrovne a overte, že žiadny komponent nenesie známu, už opravenú zraniteľnosť. Zahrnutie vyriešeného CVE je priamym porušením.
Príloha I · II(1)
SBOM v strojovo čitateľnom formáteNOVÉNÁSTROJ K DISPOZÍCIIUkladajte SBOM ako SPDX alebo CycloneDX (JSON/XML). PDF môže byť zamietnuté ako strojovo nečitateľné.
Príloha I · Časť II
Zoznam prichádzajúcich pripojeníVymenujte a jednotlivo zdôvodnite každé prichádzajúce pripojenie a otvorený port; odstráňte alebo predvolene zakážte všetko, čo nie je potrebné.
Príloha I · I(2)(b)
Zoznam odchádzajúcich pripojeníAuditujte a zdôvodnite všetky odchádzajúce pripojenia vrátane tých z operačného systému, knižníc tretích strán a telemetrie.
Príloha I · Časť I
Vyhláste koniec životnosti produktuNÁSTROJ K DISPOZÍCIIVypočítajte a vyhláste EOL; nemôže presiahnuť EOL kľúčových závislostí. Minimálne 5-ročné obdobie podpory, pokiaľ nie je očakávaná životnosť používania kratšia.
Art. 13(8)
Dokončite posúdenie zhodyNOVÉVykonajte príslušný postup (modul A alebo B+C / H / notifikovaný orgán) a zdokumentujte ho pred umiestnením označenia CE.
Art. 32
Pripravte EÚ vyhlásenie o zhodeNOVÉNÁSTROJ K DISPOZÍCIIVypracujte a podpíšte DoC podľa prílohy V s odkazom na nariadenie, produkt a postup posudzovania. Uchovávajte k dispozícii 10 rokov.
čl. 28 · príloha V
Umiestnite označenie CENOVÉUmiestnite viditeľné, čitateľné a nezmazateľné označenie CE. Bez označenia CE niet od 11. dec. 2027 prístupu na trh EÚ.
Art. 30
Zostavte technickú dokumentáciuNOVÉZostavte balík podľa prílohy VII: opis, posúdenie rizík, dôkazy SDL, výsledky testov, SBOM, audity pripojení, DoC a vyhlásenie o EOL.
čl. 31 · príloha VII
Plán uchovávania na 10 rokovNOVÉArchivujte všetku technickú dokumentáciu vrátane každej verzie SBOM aspoň 10 rokov od prvého uvedenia na trh.
Art. 31(3)
Dokumentácia určená používateľoviNOVÉOznámte zamýšľané použitie, kybernetickobezpečnostné vlastnosti, spôsob konfigurácie zabezpečenia, vyhlásený EOL a spôsob nahlasovania zraniteľností.
Príloha II · čl. 13 ods. 18
Kontakt na zverejňovanie zraniteľností zverejnenýNOVÉZverejnite jediné, aktívne monitorované kontaktné miesto na nahlasovanie zraniteľností.
Art. 13(5)
5 · Po vydaní
Po vydaní produktu
0 / 10Priebežné monitorovanie, harmonogram oznamovania podľa článku 14 a povinnosti aktualizácie počas obdobia podpory.
Aktualizujte posúdenie rizík pri významnej zmenePrehodnoťte, keď sa zistí významná zmena produktu, závažná nová hrozba alebo zneužitá zraniteľnosť; zdokumentujte podnet a výsledok.
Príloha I · I(1)
Automatizované monitorovanie zraniteľností SBOMNÁSTROJ K DISPOZÍCIINasaďte nástroje, ktoré monitorujú komponenty SBOM voči aktuálnym zdrojom (NVD, EUVD, OSV) dostatočne často na splnenie 24-hodinového okna na oznamovanie. Manuálne monitorovanie nepostačuje.
Art. 14
Počiatočná správa o zraniteľnosti do 24 hodínNOVÉPo zistení aktívne zneužívanej zraniteľnosti podajte počiatočnú správu do 24 hodín prostredníctvom jednotnej platformy na oznamovanie agentúry ENISA. Uplatňuje sa od 11. sep. 2026.
Art. 14(2)
Technická správa do 72 hodínNOVÉPredložte podrobnú technickú správu agentúre ENISA a národnej CSIRT do 72 hodín vrátane závažnosti a akýchkoľvek zmierňujúcich opatrení.
Art. 14(3)
Záverečná správa do 14 dní od nápravyNOVÉPredložte záverečnú správu najneskôr 14 dní po sprístupnení bezpečnostnej aktualizácie alebo náhradného riešenia.
Art. 14(4)
Oznamovanie závažných incidentovNOVÉOznamujte závažné incidenty ovplyvňujúce bezpečnosť produktu v rovnakom harmonograme 24/72 hodín.
Art. 14(2)
Automatická aktualizácia pri zraniteľnostiach tretích stránUdržiavajte systém automatických aktualizácií schopný opraviť zraniteľnosti komponentov tretích strán. Oprava do 24 hodín oslobodzuje od oznamovania, nie od opravy.
Art. 14(2)(a)
Bezpečnostné aktualizácie bezplatneNOVÉPoskytujte všetky bezpečnostné aktualizácie bezplatne počas celého obdobia podpory.
Art. 13(9)
Predbežné oznámenie o konci životnostiNOVÉTam, kde je to realizovateľné, informujte používateľov aspoň 12 mesiacov pred poslednou bezpečnostnou aktualizáciou.
Art. 13(8)
Nápravné opatrenia pri nevyhovujúcich produktochNOVÉNaprávajte, stiahnite z trhu alebo stiahnite z používania nevyhovujúce produkty a informujte dohľad nad trhom. Nečinnosť je sama osebe porušením.
Art. 13(14)
Koniec kontrolného zoznamu · všetko 40 položiek zobrazených vyššie
Export (voliteľné)
Exportujte svoju maticu s aktuálnym pokrokom
Všetko vyššie je možné čítať a tlačiť bezplatne. Ak si chcete stiahnuť kontrolný zoznam a svoj aktuálny stav ako tabuľku alebo PDF, zanechajte e-mail a pridáme vás do newslettera o CRA.