Sebehodnocení vyspělosti CRA
Ohodnoťte 25 postupů napříč pěti doménami a zjistěte, jak vyspělé je nastavení bezpečnosti vašich produktů podle nařízení Cyber Resilience Act, a získejte přizpůsobený seznam kroků k dalšímu zlepšení. Vše probíhá přímo ve vašem prohlížeči a ukládá se lokálně.
Založeno na modelu ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, červenec 2026), převzato s uvedením zdroje. Tento web je nezávislý a není přidružen k agentuře ENISA ani EU.
Řízení a dokumentace
1.1Máte písemné a schválené zásady bezpečnosti produktů?
1.2Jsou role a odpovědnosti pro činnosti v oblasti bezpečnosti produktů (např. vývoj, řízení zranitelností, aktualizace) jasně vymezeny?
1.3Vedete technickou dokumentaci na úrovni produktu popisující implementované bezpečnostní funkce, posouzení rizik, návrhová rozhodnutí a postupy aktualizací?
1.4Existuje proces pro pravidelný přezkum bezpečnosti produktu a kvality související dokumentace?
1.5Jste si vědomi orgánu dozoru nad trhem odpovědného za prosazování CRA, postupu posuzování shody platného pro vaše produkty a způsobu komunikace s příslušnými orgány v případě potřeby?
Řízení rizik a bezpečnost již v návrhu
2.1Provádíte posouzení kybernetických rizik a využíváte jejich výsledky k usměrňování rozhodnutí o návrhu, vývoji, konfiguraci a řízení komponent produktu?
2.2Jsou produkty od počátku navrhovány podle zásad bezpečnosti již v návrhu?
2.3Jsou produkty dodávány s konfiguracemi a nastaveními, které jsou ve výchozím stavu zabezpečené?
2.4Provádíte bezpečnostní kontroly a testování před vydáním nebo aktualizací produktu, a do jaké míry se přitom využívají automatizované nástroje?
2.5Jsou při změně rizik nebo vzniku nových hrozeb přezkoumávána a aktualizována posouzení rizik, konfigurace a komponenty třetích stran?
Řízení zranitelností a oprav
3.1Máte proces pro přijímání, potvrzování, zaznamenávání a sledování zranitelností nahlášených zákazníky, výzkumníky nebo interními zaměstnanci?
3.2Máte definovaný proces pro vytváření, testování, dodávání a komunikaci bezpečnostních aktualizací zákazníkům u podporovaných produktů?
3.3Vedete a používáte SBOM na podporu řízení zranitelností a závislostí?
3.4Jsou zranitelnosti a aktualizace prioritizovány na základě rizika a potenciálního dopadu?
3.5Ověřujete, že bezpečnostní aktualizace účinně odstraňují nahlášené zranitelnosti, a uchováváte doklady o tomto ověření?
Řízení životního cyklu produktu
4.1Existuje definovaný přístup k řízení bezpečnosti produktu ve fázi provozu?
4.2Je řízení životního cyklu produktu aktivně spravováno, včetně definovaných období podpory, odpovědností za aktualizace, opatření pro ukončení životnosti a komunikace se zákazníky?
4.3Jsou zkušenosti z provozu produktu, přezkumy po incidentech a podněty zákazníků využívány k postupnému zlepšování produktů?
4.4Existuje strukturovaný a ověřený způsob řešení zjištěných bezpečnostních problémů produktu?
4.5Jsou produkty během provozu monitorovány za účelem identifikace bezpečnostních rizik, zranitelností a nově vznikajících hrozeb?
Povědomí, způsobilost a dovednosti
5.1Jsou k dispozici dostatečné dovednosti pro bezpečný návrh, vývoj a údržbu produktů, a to i formou externí odbornosti tam, kde jsou interní kapacity omezené?
5.2Absolvují příslušní zaměstnanci odpovídající školení o postupech kybernetické bezpečnosti relevantních pro jejich role, včetně řízení rizik produktu, řízení zranitelností a bezpečnosti již v návrhu?
5.3Podporuje organizace kulturu odpovědného vývoje produktů, otevřeného hlášení a povědomí o rizicích produktů?
5.4Sledujete relevantní externí informace o bezpečnosti produktů (např. bezpečnostní doporučení, upozornění)?
5.5Posuzujete a ověřujete, zda váš tým disponuje potřebnými dovednostmi a způsobilostí k udržování bezpečných produktů?
Vychází z modelu ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, červenec 2026), převzato s uvedením zdroje v souladu s právním upozorněním agentury ENISA. Tato interaktivní verze slouží pouze pro informační účely a nepředstavuje odborné ani právní poradenství; nenahrazuje formální posouzení shody. Web cyberresilienceact.eu je nezávislý a není přidružen k agentuře ENISA ani Evropské unii, ani jimi není podporován.
