Verktyg · Tillverkarens checklista
Efterlevnadsmatris
Varje skyldighet för tillverkare av produkter med digitala element, uppställd över produktens livscykel med sin artikelhänvisning. Arbeta dig igenom den och följ dina framsteg; hela checklistan är gratis att se. Framstegen sparas i denna webbläsare.
Standard · route
Standardprodukter får göra en självbedömning enligt Module A. Inget anmält organ krävs, men den fullständiga tekniska dokumentationen och DoC måste ändå finnas på plats.
1 · Grunder
Grundläggande krav på företagsnivå
0 / 4Organisatoriska krav som måste vara på plats innan något produktspecifikt arbete inleds.
Dokumenterad säker utvecklingslivscykel (SDL)Upprätthåll en dokumenterad SDL som definierar faser, roller och ansvar. Extern certifiering (IEC 62443-4-1, ISO/IEC 27001) är frivillig men ger en presumtion om överensstämmelse.
Artikel 13(1) · bilaga I
Bevis på överensstämmelse med SDLOm ingen extern certifiering finns, bevara dokumenterade bevis för intern överensstämmelse med SDL.
Bilaga I · Del I
SDL omfattar säker konstruktion (secure-by-design) och säkra standardinställningar (secure-by-default)NYTTSDL ska uttryckligen behandla hur produkten minimerar sin angreppsyta utan att slutanvändaren behöver göra någon konfiguration.
Bilaga I · I(2)(3)
Tillverkarens representant i EU (tillverkare utanför EU)NYTTTillverkare utanför EU måste genom skriftlig fullmakt utse en representant som är etablerad i EU och som anges i den tekniska dokumentationen och i DoC.
Art. 19
2 · Före utveckling
Innan utvecklingen påbörjas
0 / 9Klassificering, riskbedömning och tekniska förutsättningar fastställer tillämpningsområdet för allt som följer.
Fastställ produktens klassificeringNYTTVERKTYG TILLGÄNGLIGTFastställ om produkten är en standardprodukt, en viktig produkt klass I/II eller en kritisk produkt (bilaga III och IV). Klassificeringen avgör förfarandet för bedömning av överensstämmelse.
Bilaga III/IV
Fastställ förfarandet för bedömning av överensstämmelseNYTTStandard: självbedömning enligt Module A. Viktig klass I: Module A med en harmoniserad standard, annars B+C eller H. Viktig klass II och kritisk: alltid via ett anmält organ. Ledtider på 4–10 månader är vanliga.
Artikel 32 · bilaga VIII
Produktspecifik cybersäkerhetsriskbedömningGenomför en riskbedömning innan utvecklingen påbörjas. Bevara samtliga versioner; den ursprungliga versionen före utveckling utgör en del av den tekniska dokumentationen.
Bilaga I · I(1)
HotmodelleringNYTTIdentifiera angreppsyta, hotaktörer, angreppsvektorer och de säkerhetskrav som följer av dessa. Dokumentera den metod som använts.
Bilaga I · I(1)
Policy för komponenter från tredje part och öppen källkodNYTTVERKTYG TILLGÄNGLIGTFastställ hur komponenter från tredje part och öppen källkod väljs ut, utvärderas och godkänns, inklusive lägsta EOL och skyldigheter att åtgärda sårbarheter.
Bilaga I · Del II
EOL-kontroll för verktyg och beroendenVERKTYG TILLGÄNGLIGTKontrollera End-of-Life-datumet för alla centrala verktyg, kärnor, databaser och bibliotek. Undvik komponenter vars EOL infaller inom produktens stödperiod.
Bilaga I · Del II
Genomförbarhet av lagringskrypteringBekräfta att målhårdvaran stöder kryptering av lagrade data; ett obligatoriskt krav som kan tvinga fram en ändring av hårdvaran.
Bilaga I · I(4)(e)
Utformning för minimal attackytaNYTTPlanera att som standard ta bort eller inaktivera varje gränssnitt, tjänst, port och protokoll som inte krävs för den avsedda funktionen.
Bilaga I · I(2)(b)
Policy för standardinloggningsuppgifterNYTTLeverera utan standardlösenord, eller tvinga användaren att ange en unik inloggningsuppgift vid första användningen.
Bilaga I · I(2)(c)
3 · Utveckling
Under utvecklingen
0 / 5Säker kodning, testning och uppdateringsmekanism, dokumenterat genom hela utvecklingen.
Testplan med inriktning på cybersäkerhetTestfall inriktade på autentisering, åtkomstkontroll, indatavalidering, kryptering och felhantering. Dokumenterade och bevarade i den tekniska dokumentationen.
Bilaga I · I(1)
Bevis på efterlevnad av SDLVisa, med dokumenterade bevis, att SDL följdes i varje fas.
Bilaga I · Del I
Penetrationstestning/sårbarhetsbedömningNYTTGenomför säkerhetstester på produkten eller en representativ version innan den släpps.
Bilaga I · I(1)
Säker mekanism för programvaruuppdateringNYTTEn autentiserad uppdateringsmekanism med integritetsverifiering, som kan verifieras av enheten före installation och som är automatisk där det är möjligt.
Bilaga I · I(2)(f)
UppgiftsminimeringNYTTSamla in, behandla och lagra endast de uppgifter som är strikt nödvändiga för den avsedda funktionen.
Bilaga I · I(4)(f)
4 · Före lansering
Innan produkten lanseras
0 / 12SBOM, nätverksgranskning, EOL, bedömning av överensstämmelse, CE-märkning och den tekniska dokumentationen.
SBOM upprättad och sårbarhetsgranskadVERKTYG TILLGÄNGLIGTTa fram en SBOM som omfattar åtminstone samtliga beroenden på översta nivån och kontrollera att ingen komponent har en känd, redan åtgärdad sårbarhet. Att inkludera en åtgärdad CVE är en direkt överträdelse.
Bilaga I · II(1)
SBOM i maskinläsbart formatNYTTVERKTYG TILLGÄNGLIGTLagra SBOM som SPDX eller CycloneDX (JSON/XML). PDF kan avvisas som icke maskinläsbar.
Bilaga I · Del II
Förteckning över inkommande anslutningarFörteckna och motivera varje inkommande anslutning och öppen port var för sig; ta bort eller inaktivera som standard allt som inte behövs.
Bilaga I · I(2)(b)
Lista över utgående anslutningarGranska och motivera alla utgående anslutningar, inklusive de från operativsystemet, tredjepartsbibliotek och telemetri.
Bilaga I · Del I
Fastställ produktens slutdatum (End-of-Life)VERKTYG TILLGÄNGLIGTBeräkna och deklarera EOL; den får inte överstiga EOL för centrala beroenden. Minst 5 års stödperiod, om inte den förväntade användningstiden är kortare.
Art. 13(8)
Slutför bedömningen av överensstämmelseNYTTGenomför det tillämpliga förfarandet (Module A, eller B+C / H / anmält organ) och dokumentera det innan CE-märkningen anbringas.
Art. 32
Upprätta EU-försäkran om överensstämmelseNYTTVERKTYG TILLGÄNGLIGTUpprätta och underteckna DoC enligt bilaga V, med hänvisning till förordningen, produkten och bedömningsförfarandet. Håll den tillgänglig i 10 år.
Artikel 28 · bilaga V
Anbringa CE-märkningenNYTTAnbringa en synlig, läsbar och outplånlig CE-märkning. Ingen CE-märkning, ingen EU-marknad från och med den 11 dec 2027.
Art. 30
Sammanställ den tekniska dokumentationenNYTTSammanställ paketet enligt bilaga VII: beskrivning, riskbedömning, SDL-bevis, testresultat, SBOM, granskningar av anslutningar, DoC och EOL-förklaring.
Artikel 31 · bilaga VII
Plan för 10 års bevarandeNYTTArkivera all teknisk dokumentation, inklusive samtliga versioner av SBOM, i minst 10 år från det att produkten första gången släpptes ut på marknaden.
Art. 31(3)
Användarriktad dokumentationNYTTInformera om avsedd användning, cybersäkerhetsegenskaper, hur säkerheten konfigureras, det deklarerade EOL och hur sårbarheter rapporteras.
Bilaga II · artikel 13(18)
Kontaktpunkt för sårbarhetsoffentliggörande publiceradNYTTOffentliggör en enda, aktivt övervakad kontaktpunkt för rapportering av sårbarheter.
Art. 13(5)
5 · Efter lansering
Efter produktlansering
0 / 10Löpande övervakning, rapporteringstidsfristerna i artikel 14 och skyldigheterna att tillhandahålla uppdateringar under hela stödperioden.
Uppdatera riskbedömningen vid väsentlig förändringGör en ny bedömning när en större produktändring, ett betydande nytt hot eller en utnyttjad sårbarhet identifieras; dokumentera den utlösande händelsen och utfallet.
Bilaga I · I(1)
Automatiserad sårbarhetsövervakning av SBOMVERKTYG TILLGÄNGLIGTInför verktyg som övervakar SBOM-komponenter mot liveflöden (NVD, EUVD, OSV) tillräckligt ofta för att klara tidsfristen på 24 timmar för rapportering. Manuell övervakning är inte tillräcklig.
Art. 14
Inledande sårbarhetsrapport inom 24 timmarNYTTNär en aktivt utnyttjad sårbarhet upptäcks ska en första rapport lämnas inom 24 timmar via ENISA:s gemensamma rapporteringsplattform. Gäller från och med den 11 sep 2026.
Art. 14(2)
Teknisk rapport inom 72 timmarNYTTLämna in en detaljerad teknisk rapport till ENISA och den nationella CSIRT-enheten inom 72 timmar, inklusive allvarlighetsgrad och eventuella riskreducerande åtgärder.
Art. 14(3)
Slutrapport inom 14 dagar från åtgärdandeNYTTLämna in en slutrapport senast 14 dagar efter att en säkerhetsuppdatering eller tillfällig lösning har gjorts tillgänglig.
Art. 14(4)
Rapportering av allvarliga incidenterNYTTRapportera allvarliga incidenter som påverkar produktens säkerhet enligt samma tidsplan på 24/72 timmar.
Art. 14(2)
Automatisk uppdatering för sårbarheter i tredjepartskomponenterUpprätthåll ett automatiskt uppdateringssystem som kan åtgärda sårbarheter i komponenter från tredje part. En åtgärd inom 24 timmar undantar från rapportering, inte från att åtgärda.
Art. 14(2)(a)
Säkerhetsuppdateringar utan kostnadNYTTTillhandahåll alla säkerhetsuppdateringar gratis under hela stödperioden.
Art. 13(9)
Förhandsmeddelande om End-of-LifeNYTTUnderrätta användarna minst 12 månader före den sista säkerhetsuppdateringen, där så är möjligt.
Art. 13(8)
Korrigerande åtgärder för produkter som inte uppfyller kravenNYTTÅtgärda, dra tillbaka eller återkalla produkter som inte uppfyller kraven och underrätta marknadskontrollen. Underlåtenhet att agera utgör i sig en överträdelse.
Art. 13(14)
Slut på checklistan · alla 40 poster som visas ovan
Exportera (valfritt)
Exportera din matris med dina aktuella framsteg
Allt ovanför är gratis att läsa och skriva ut. För att ladda ner checklistan och din aktuella status som ett kalkylblad eller PDF, lämna en e-postadress så lägger vi till dig i CRA-nyhetsbrevet.