Orodja · Kontrolni seznam proizvajalca

Matrika skladnosti

Vsaka obveznost za proizvajalce izdelkov z digitalnimi elementi, predstavljena skozi življenjski cikel izdelka s sklicem na člen. Predelajte jo in spremljajte svoj napredek; celoten kontrolni seznam je na voljo za brezplačen ogled. Napredek se shranjuje v tem brskalniku.

0% dokončano0 / 40 postavk

Natisni

Privzeto · route

Privzeti izdelki se lahko ocenijo sami v skladu z modulom A. Priglašeni organ ni potreben, vendar morata biti še vedno vzpostavljeni popolna tehnična dokumentacija in DoC.

1 · Temelji

Temelji na ravni podjetja

0 / 4

Organizacijske zahteve, ki morajo biti vzpostavljene, preden se začne kakršno koli delo, specifično za izdelek.

Dokumentiran življenjski cikel varnega razvojaVzdržujte dokumentiran SDL, ki opredeljuje faze, vloge in odgovornosti. Zunanje certificiranje (IEC 62443-4-1, ISO/IEC 27001) je neobvezno, vendar ustvarja domnevo o skladnosti.

člen 13(1) · Priloga INeopravljeno

Dokazila o skladnosti s SDLKjer ni zunanjega certificiranja, hranite dokumentirana dokazila o notranji skladnosti s SDL.

Priloga I · del INeopravljeno

SDL zajema varnost po zasnovi in privzeto varnostNOVOSDL mora izrecno obravnavati, kako izdelek čim bolj zmanjša svojo napadalno površino brez konfiguracije s strani končnega uporabnika.

Priloga I · I(2)(3)Neopravljeno

Pooblaščeni zastopnik EU (proizvajalci zunaj EU)NOVOProizvajalci zunaj EU morajo s pisnim pooblastilom imenovati zastopnika s sedežem v EU, ki je naveden v tehnični dokumentaciji in DoC.

Art. 19Neopravljeno

2 · Pred razvojem

Pred začetkom razvoja

0 / 9

Klasifikacija, ocena tveganja in tehnični predpogoji določajo obseg vsega, kar sledi.

Določite klasifikacijo izdelkaNOVOORODJE NA VOLJOUgotovite, ali je izdelek privzet, pomemben razreda I/II ali kritičen (Prilogi III in IV). Klasifikacija določa pot ugotavljanja skladnosti.

Priloga III/IVNeopravljeno

Določite pot ugotavljanja skladnostiNOVOPrivzeto: samoocena po modulu A. Pomembni razred I: modul A s harmoniziranim standardom, sicer B+C ali H. Pomembni razred II in kritični: vedno prek priglašenega organa. Pripravljalni časi 4–10 mesecev so običajni.

člen 32 · Priloga VIIINeopravljeno

Ocena kibernetskovarnostnih tveganj, specifična za izdelekPred razvojem izvedite oceno tveganja. Hranite vse različice; začetna različica pred razvojem je del tehnične dokumentacije.

Priloga I · I(1)Neopravljeno

Modeliranje groženjNOVOPrepoznajte napadalno površino, akterje groženj, napadalne vektorje in iz njih izhajajoče varnostne zahteve. Dokumentirajte uporabljeno metodologijo.

Priloga I · I(1)Neopravljeno

Politika za komponente tretjih oseb in odprtokodne komponenteNOVOORODJE NA VOLJOOpredelite, kako se izbirajo, vrednotijo in odobrijo komponente tretjih oseb in odprtokodne komponente, vključno z najkrajšim EOL in obveznostmi glede odzivanja na ranljivosti.

Priloga I · del IINeopravljeno

Preverjanje EOL za orodja in odvisnostiORODJE NA VOLJOPreverite datum konca življenjske dobe vseh ključnih orodij, jeder, podatkovnih zbirk in knjižnic. Izogibajte se komponentam, katerih EOL nastopi znotraj obdobja podpore izdelka.

Priloga I · del IINeopravljeno

Izvedljivost šifriranja shrambePotrdite, da ciljna strojna oprema podpira šifriranje mirujočih podatkov; obvezna zahteva, ki lahko zahteva spremembo strojne opreme.

Priloga I · I(4)(e)Neopravljeno

Zasnova s čim manjšo napadalno površinoNOVONačrtujte privzeto odstranitev ali onemogočenje vsakega vmesnika, storitve, vrat in protokola, ki niso potrebni za predvideno funkcijo.

Priloga I · I(2)(b)Neopravljeno

Politika privzetih poverilnicNOVODobavljajte brez privzetih gesel ali uporabnika prisilite, da ob prvi uporabi nastavi enolično poverilnico.

Priloga I · I(2)(c)Neopravljeno

3 · Razvoj

Med razvojem

0 / 5

Varno kodiranje, preskušanje in mehanizem za posodabljanje, dokazani skozi celotno gradnjo.

Načrt preskusov, osredotočen na kibernetsko varnostPreskusni primeri, usmerjeni v avtentikacijo, nadzor dostopa, preverjanje vnosa, šifriranje in obravnavanje napak. Dokumentirani in hranjeni v tehnični dokumentaciji.

Priloga I · I(1)Neopravljeno

Dokazila o skladnosti s SDLZ dokumentiranimi dokazili dokažite, da je bil SDL upoštevan v vsaki fazi.

Priloga I · del INeopravljeno

Penetracijsko preskušanje / ocena ranljivostiNOVOPred izdajo izvedite varnostno preskušanje izdelka ali reprezentativne različice.

Priloga I · I(1)Neopravljeno

Mehanizem za varno posodabljanje programske opremeNOVOMehanizem za posodabljanje z avtentikacijo in preverjeno celovitostjo, ki ga naprava lahko preveri pred namestitvijo in je, kjer je izvedljivo, samodejen.

Priloga I · I(2)(f)Neopravljeno

Najmanjši obseg podatkovNOVOZbirajte, obdelujte in shranjujte le podatke, ki so nujno potrebni za predvideno funkcijo.

Priloga I · I(4)(f)Neopravljeno

4 · Pred izdajo

Pred izdajo izdelka

0 / 12

SBOM, presoja omrežja, EOL, ugotavljanje skladnosti, oznaka CE in tehnična dokumentacija.

SBOM pripravljen in preverjen glede ranljivostiORODJE NA VOLJOPripravite SBOM, ki zajema vsaj vse odvisnosti najvišje ravni, in preverite, da nobena komponenta ne nosi znane, že popravljene ranljivosti. Vključitev odpravljenega CVE je neposredna kršitev.

Priloga I · II(1)Neopravljeno

SBOM v strojno berljivi oblikiNOVOORODJE NA VOLJOSBOM shranite kot SPDX ali CycloneDX (JSON/XML). PDF je lahko zavrnjen kot strojno neberljiv.

Priloga I · del IINeopravljeno

Seznam dohodnih povezavNaštejte in posamično utemeljite vsako dohodno povezavo in odprta vrata; vse, kar ni potrebno, privzeto odstranite ali onemogočite.

Priloga I · I(2)(b)Neopravljeno

Seznam odhodnih povezavPresodite in utemeljite vse odhodne povezave, vključno s tistimi iz OS, knjižnic tretjih oseb in telemetrije.

Priloga I · del INeopravljeno

Deklarirajte konec življenjske dobe izdelkaORODJE NA VOLJOIzračunajte in deklarirajte EOL; ne sme presegati EOL ključnih odvisnosti. Najkrajše obdobje podpore je 5 let, razen če je pričakovana življenjska doba uporabe krajša.

Art. 13(8)Neopravljeno

Dokončajte ugotavljanje skladnostiNOVOIzvedite ustrezni postopek (modul A ali B+C / H / priglašeni organ) in ga dokumentirajte, preden namestite oznako CE.

Art. 32Neopravljeno

Pripravite izjavo EU o skladnostiNOVOORODJE NA VOLJOSestavite in podpišite DoC v skladu s Prilogo V, s sklici na uredbo, izdelek in postopek ocenjevanja. Hranite na voljo 10 let.

člen 28 · Priloga VNeopravljeno

Namestite oznako CENOVONamestite vidno, čitljivo in neizbrisno oznako CE. Brez oznake CE od 11. dec. 2027 ni dostopa do trga EU.

Art. 30Neopravljeno

Pripravite tehnično dokumentacijoNOVOSestavite paket iz Priloge VII: opis, oceno tveganja, dokazila o SDL, rezultate preskusov, SBOM, presoje povezav, DoC in izjavo o EOL.

člen 31 · Priloga VIINeopravljeno

Načrt hrambe za 10 letNOVOVso tehnično dokumentacijo, vključno z vsako različico SBOM, arhivirajte vsaj 10 let od prvega dajanja na trg.

Art. 31(3)Neopravljeno

Dokumentacija za uporabnikaNOVOSporočite predvideno uporabo, kibernetskovarnostne lastnosti, kako konfigurirati varnost, deklarirani EOL in kako prijaviti ranljivosti.

Priloga II · člen 13(18)Neopravljeno

Objavljen kontakt za razkrivanje ranljivostiNOVOObjavite enotno, aktivno spremljano kontaktno točko za prijavo ranljivosti.

Art. 13(5)Neopravljeno

5 · Po izdaji

Po izdaji izdelka

0 / 10

Tekoče spremljanje, časovnica poročanja iz člena 14 in obveznosti posodabljanja skozi obdobje podpore.

Posodobite oceno tveganja ob pomembni spremembiPonovno ocenite ob ugotovljeni večji spremembi izdelka, pomembni novi grožnji ali izkoriščeni ranljivosti; dokumentirajte sprožilec in izid.

Priloga I · I(1)Neopravljeno

Samodejno spremljanje ranljivosti SBOMORODJE NA VOLJOUvedite orodja, ki komponente SBOM spremljajo glede na aktualne vire (NVD, EUVD, OSV) dovolj pogosto, da je izpolnjen 24-urni rok za poročanje. Ročno spremljanje ne zadostuje.

Art. 14Neopravljeno

Začetno poročilo o ranljivosti v 24 urahNOVOKo se seznanite z aktivno izkoriščeno ranljivostjo, v 24 urah prek enotne platforme za poročanje ENISA vložite začetno poročilo. Velja od 11. sep. 2026.

Art. 14(2)Neopravljeno

Tehnično poročilo v 72 urahNOVOV 72 urah ENISA in nacionalnemu CSIRT predložite podrobno tehnično poročilo, vključno z resnostjo in morebitnimi ukrepi za ublažitev.

Art. 14(3)Neopravljeno

Končno poročilo v 14 dneh po odpraviNOVONajpozneje v 14 dneh po razpoložljivosti varnostne posodobitve ali obvozne rešitve predložite končno poročilo.

Art. 14(4)Neopravljeno

Poročanje o resnih incidentihNOVOO resnih incidentih, ki vplivajo na varnost izdelka, poročajte po isti časovnici 24/72 ur.

Art. 14(2)Neopravljeno

Samodejna posodobitev za ranljivosti tretjih osebVzdržujte sistem samodejnega posodabljanja, ki je sposoben popraviti ranljivosti komponent tretjih oseb. Popravek v 24 urah oprošča poročanja, ne pa odprave.

Art. 14(2)(a)Neopravljeno

Brezplačne varnostne posodobitveNOVOVse varnostne posodobitve zagotavljajte brezplačno ves čas trajanja obdobja podpore.

Art. 13(9)Neopravljeno

Predhodno obvestilo o koncu življenjske dobeNOVOKjer je izvedljivo, uporabnike obvestite vsaj 12 mesecev pred zadnjo varnostno posodobitvijo.

Art. 13(8)Neopravljeno

Korektivni ukrepi za neskladne izdelkeNOVONeskladne izdelke odpravite, umaknite ali odpokličite in obvestite nadzor trga. Nedejavnost je sama po sebi kršitev.

Art. 13(14)Neopravljeno

Konec kontrolnega seznama · vse 40 postavk je prikazanih zgoraj

Izvoz (neobvezno)

Izvozite svojo matriko s trenutnim napredkom

Vse zgornje je na voljo za brezplačno branje in tisk. Za prenos kontrolnega seznama in vašega trenutnega stanja kot preglednice ali PDF pustite e-poštni naslov in dodali vas bomo na glasilo CRA.