Nástroje · Kontrolní seznam výrobce
Matice souladu
Každá povinnost výrobců produktů s digitálními prvky, uspořádaná podle životního cyklu produktu s odkazem na příslušný článek. Projděte ji a sledujte svůj postup; celý kontrolní seznam je k nahlédnutí zdarma. Postup se ukládá v tomto prohlížeči.
Výchozí · route
Výchozí produkty mohou provést samoposouzení podle modulu A. Oznámený subjekt není vyžadován, avšak kompletní technická dokumentace a DoC musí být i tak k dispozici.
1 · Základy
Základy na úrovni společnosti
0 / 4Organizační požadavky, které musí být splněny dříve, než začne jakákoli práce specifická pro produkt.
Zdokumentovaný životní cyklus bezpečného vývojeUdržujte zdokumentovaný SDL, který vymezuje fáze, role a odpovědnosti. Externí certifikace (IEC 62443-4-1, ISO/IEC 27001) je volitelná, ale zakládá předpoklad shody.
Čl. 13 odst. 1 · příloha I
Doklady o shodě se SDLPokud není držena žádná externí certifikace, uchovávejte zdokumentované doklady o interní shodě se SDL.
Příloha I · část I
SDL pokrývá bezpečnost již v návrhu a bezpečnost ve výchozím nastaveníNOVÉSDL musí výslovně řešit, jak produkt minimalizuje svůj prostor pro útok bez konfigurace ze strany koncového uživatele.
Příloha I · I(2)(3)
Zplnomocněný zástupce v EU (výrobci mimo EU)NOVÉVýrobci mimo EU musí písemným pověřením jmenovat zástupce usazeného v EU, uvedeného v technické dokumentaci a v DoC.
Art. 19
2 · Před vývojem
Než začne vývoj
0 / 9Zařazení, posouzení rizik a technické předpoklady vymezují rozsah všeho, co následuje.
Určete zařazení produktuNOVÉNÁSTROJ K DISPOZICIUrčete, zda je produkt výchozí, významný třídy I/II nebo kritický (přílohy III a IV). Zařazení určuje postup posuzování shody.
Příloha III/IV
Určete postup posuzování shodyNOVÉVýchozí: samoposouzení podle modulu A. Významný třídy I: modul A s harmonizovanou normou, jinak B+C nebo H. Významný třídy II a kritický: vždy prostřednictvím oznámeného subjektu. Běžné jsou dodací lhůty 4–10 měsíců.
Čl. 32 · příloha VIII
Posouzení kybernetických bezpečnostních rizik specifické pro produktProveďte posouzení rizik před vývojem. Uchovávejte všechny verze; prvotní verze z fáze před vývojem je součástí technické dokumentace.
Příloha I · I(1)
Modelování hrozebNOVÉIdentifikujte prostor pro útok, aktéry hrozeb, vektory útoku a z nich plynoucí bezpečnostní požadavky. Zdokumentujte použitou metodiku.
Příloha I · I(1)
Zásady pro komponenty třetích stran a open-sourceNOVÉNÁSTROJ K DISPOZICIVymezte, jak se vybírají, hodnotí a schvalují komponenty třetích stran a open-source, včetně minimálního EOL a povinností reagovat na zranitelnosti.
Příloha I · část II
Kontrola EOL pro nástroje a závislostiNÁSTROJ K DISPOZICIZkontrolujte datum konce životnosti všech klíčových nástrojů, jader, databází a knihoven. Vyhněte se komponentám, jejichž EOL spadá do období podpory produktu.
Příloha I · část II
Proveditelnost šifrování úložištěOvěřte, že cílový hardware podporuje šifrování dat v klidu; jde o povinný požadavek, který si může vynutit změnu hardwaru.
Příloha I · I(4)(e)
Návrh s minimálním prostorem pro útokNOVÉNaplánujte ve výchozím nastavení odstranění nebo deaktivaci každého rozhraní, služby, portu a protokolu, které nejsou potřebné pro zamýšlenou funkci.
Příloha I · I(2)(b)
Zásady výchozích přihlašovacích údajůNOVÉDodávejte bez výchozích hesel, nebo donuťte uživatele nastavit při prvním použití jedinečné přihlašovací údaje.
Příloha I · I(2)(c)
3 · Vývoj
Během vývoje
0 / 5Bezpečné psaní kódu, testování a aktualizační mechanismus, doložené po celý průběh sestavení.
Plán testování zaměřený na kybernetickou bezpečnostTestovací případy zaměřené na ověřování totožnosti, řízení přístupu, validaci vstupů, šifrování a zpracování chyb. Zdokumentované a uchovávané v technické dokumentaci.
Příloha I · I(1)
Doklady o souladu se SDLProkažte zdokumentovanými doklady, že SDL byl dodržen v každé fázi.
Příloha I · část I
Penetrační testování / posouzení zranitelnostíNOVÉProveďte bezpečnostní testování produktu nebo reprezentativního sestavení před vydáním.
Příloha I · I(1)
Bezpečný mechanismus aktualizace softwaruNOVÉMechanismus aktualizace s ověřenou identitou a integritou, ověřitelný zařízením před instalací a pokud možno automatický.
Příloha I · I(2)(f)
Minimalizace údajůNOVÉShromažďujte, zpracovávejte a uchovávejte pouze údaje nezbytně nutné pro zamýšlenou funkci.
Příloha I · I(4)(f)
4 · Před vydáním
Před vydáním produktu
0 / 12SBOM, audit sítě, EOL, posouzení shody, označení CE a technická dokumentace.
SBOM připraven a prověřen na zranitelnostiNÁSTROJ K DISPOZICIPřipravte SBOM zahrnující alespoň všechny závislosti nejvyšší úrovně a ověřte, že žádná komponenta nenese známou, již opravenou zranitelnost. Zahrnutí vyřešeného CVE je přímým porušením.
Příloha I · II(1)
SBOM ve strojově čitelném formátuNOVÉNÁSTROJ K DISPOZICIUkládejte SBOM jako SPDX nebo CycloneDX (JSON/XML). PDF může být odmítnuto jako strojově nečitelné.
Příloha I · část II
Seznam příchozích připojeníVyjmenujte a jednotlivě odůvodněte každé příchozí připojení a otevřený port; vše, co není potřeba, ve výchozím nastavení odstraňte nebo deaktivujte.
Příloha I · I(2)(b)
Seznam odchozích připojeníAuditujte a odůvodněte veškerá odchozí připojení, včetně těch z operačního systému, knihoven třetích stran a telemetrie.
Příloha I · část I
Deklarujte konec životnosti produktuNÁSTROJ K DISPOZICIVypočítejte a deklarujte EOL; nemůže přesáhnout EOL klíčových závislostí. Minimální období podpory 5 let, ledaže je očekávaná doba používání kratší.
Art. 13(8)
Dokončete posouzení shodyNOVÉProveďte příslušný postup (modul A nebo B+C / H / oznámený subjekt) a zdokumentujte jej před připojením označení CE.
Art. 32
Připravte EU prohlášení o shoděNOVÉNÁSTROJ K DISPOZICIVypracujte a podepište DoC podle přílohy V s odkazem na nařízení, produkt a postup posouzení. Uchovávejte k dispozici po dobu 10 let.
Čl. 28 · příloha V
Připojte označení CENOVÉPřipojte viditelné, čitelné a nesmazatelné označení CE. Bez označení CE žádný trh EU od 11. prosince 2027.
Art. 30
Sestavte technickou dokumentaciNOVÉSestavte balíček podle přílohy VII: popis, posouzení rizik, doklady o SDL, výsledky testů, SBOM, audity připojení, DoC a prohlášení o EOL.
Čl. 31 · příloha VII
Plán uchovávání po dobu 10 letNOVÉArchivujte veškerou technickou dokumentaci, včetně každé verze SBOM, alespoň 10 let od prvního uvedení na trh.
Art. 31(3)
Dokumentace pro uživateleNOVÉSdělte zamýšlené použití, bezpečnostní vlastnosti, způsob konfigurace zabezpečení, deklarovaný EOL a způsob oznamování zranitelností.
Příloha II · čl. 13 odst. 18
Zveřejněn kontakt pro zveřejňování zranitelnostíNOVÉZveřejněte jediné, aktivně sledované kontaktní místo pro oznamování zranitelností.
Art. 13(5)
5 · Po vydání
Po vydání produktu
0 / 10Průběžné monitorování, oznamovací lhůty podle článku 14 a povinnosti aktualizace po celé období podpory.
Aktualizujte posouzení rizik při významné změněProveďte nové posouzení při zjištění zásadní změny produktu, významné nové hrozby nebo zneužité zranitelnosti; zdokumentujte podnět a výsledek.
Příloha I · I(1)
Automatizované monitorování zranitelností v SBOMNÁSTROJ K DISPOZICINasaďte nástroje, které monitorují komponenty SBOM oproti aktuálním zdrojům (NVD, EUVD, OSV) dostatečně často, aby splnily oznamovací lhůtu 24 hodin. Ruční monitorování je nedostatečné.
Art. 14
Prvotní hlášení zranitelnosti do 24 hodinNOVÉJakmile se dozvíte o aktivně zneužívané zranitelnosti, podejte prvotní hlášení do 24 hodin prostřednictvím jednotné oznamovací platformy agentury ENISA. Použije se od 11. září 2026.
Art. 14(2)
Technická zpráva do 72 hodinNOVÉPodejte podrobnou technickou zprávu agentuře ENISA a národnímu CSIRT do 72 hodin, včetně závažnosti a případných zmírňujících opatření.
Art. 14(3)
Závěrečná zpráva do 14 dnů od nápravyNOVÉPodejte závěrečnou zprávu nejpozději do 14 dnů poté, co je zpřístupněna bezpečnostní aktualizace nebo náhradní řešení.
Art. 14(4)
Oznamování závažných incidentůNOVÉOznamujte závažné incidenty ovlivňující bezpečnost produktu ve stejných lhůtách 24/72 hodin.
Art. 14(2)
Automatická aktualizace pro zranitelnosti třetích stranUdržujte systém automatických aktualizací schopný opravovat zranitelnosti komponent třetích stran. Oprava do 24 hodin zprošťuje oznamovací povinnosti, nikoli povinnosti opravit.
Art. 14(2)(a)
Bezpečnostní aktualizace zdarmaNOVÉPoskytujte všechny bezpečnostní aktualizace bezplatně po celou dobu trvání období podpory.
Art. 13(9)
Předběžné oznámení o konci životnostiNOVÉInformujte uživatele alespoň 12 měsíců před poslední bezpečnostní aktualizací, je-li to proveditelné.
Art. 13(8)
Nápravná opatření pro produkty, které nesplňují požadavkyNOVÉNapravte, stáhněte z trhu nebo z oběhu produkty, které nesplňují požadavky, a uvědomte dozor nad trhem. Nečinnost je sama o sobě porušením.
Art. 13(14)
Konec kontrolního seznamu · vše 40 položek zobrazených výše
Export (volitelné)
Exportujte svou matici s aktuálním postupem
Vše výše je zdarma k přečtení a vytisknutí. Chcete-li stáhnout kontrolní seznam a svůj aktuální stav jako tabulku nebo PDF, zanechte e-mail a my vás zařadíme do newsletteru o CRA.