Værktøjer · Fabrikantens tjekliste
Overensstemmelsesmatrix
Enhver forpligtelse for fabrikanter af produkter med digitale elementer, opstillet på tværs af produktets livscyklus med sin artikelhenvisning. Arbejd dig igennem den, og spor dine fremskridt; hele tjeklisten er gratis at se. Fremskridt gemmes i denne browser.
Standard · route
Standardprodukter kan selvvurderes efter modul A. Et bemyndiget organ er ikke påkrævet, men hele den tekniske dokumentation og DoC skal stadig være på plads.
1 · Grundlag
Grundlag på virksomhedsniveau
0 / 4Organisatoriske krav, der skal være på plads, inden noget produktspecifikt arbejde påbegyndes.
Dokumenteret Security Development LifecycleOprethold en dokumenteret SDL, der fastlægger faser, roller og ansvar. Ekstern certificering (IEC 62443-4-1, ISO/IEC 27001) er valgfri, men skaber en formodning om overensstemmelse.
Art. 13, stk. 1 · bilag I
Dokumentation for overensstemmelse med SDLHvor der ikke foreligger ekstern certificering, skal du opbevare dokumenteret bevis for intern overensstemmelse med SDL'en.
Bilag I · del I
SDL omfatter sikker-gennem-design og sikker-som-standardNYSDL'en skal udtrykkeligt beskrive, hvordan produktet minimerer sin angrebsflade uden konfiguration fra slutbrugeren.
Bilag I · I(2)(3)
EU-bemyndiget repræsentant (fabrikanter uden for EU)NYFabrikanter uden for EU skal ved skriftlig fuldmagt udpege en repræsentant, der er etableret i EU, og som er nævnt i den tekniske dokumentation og DoC'en.
Art. 19
2 · Inden udvikling
Inden udviklingen begynder
0 / 9Klassifikation, risikovurdering og tekniske forudsætninger fastlægger rammen for alt det efterfølgende.
Fastlæg produktklassifikationenNYVÆRKTØJ TILGÆNGELIGTFastlæg, om produktet er standard, vigtigt klasse I/II eller kritisk (bilag III og IV). Klassifikationen bestemmer overensstemmelsesvurderingsruten.
Bilag III/IV
Identificér overensstemmelsesvurderingsrutenNYStandard: modul A-selvvurdering. Vigtig klasse I: modul A med en harmoniseret standard, ellers B+C eller H. Vigtig klasse II og kritisk: altid via et bemyndiget organ. Leveringstider på 4-10 måneder er almindelige.
Art. 32 · bilag VIII
Produktspecifik cybersikkerhedsrisikovurderingForetag en risikovurdering inden udvikling. Opbevar alle versioner; den indledende version forud for udviklingen er en del af den tekniske dokumentation.
Bilag I · I(1)
TrusselsmodelleringNYIdentificér angrebsflade, trusselsaktører, angrebsvektorer og de deraf følgende sikkerhedskrav. Dokumentér den anvendte metode.
Bilag I · I(1)
Politik for tredjeparts- og open source-komponenterNYVÆRKTØJ TILGÆNGELIGTFastlæg, hvordan tredjeparts- og open source-komponenter udvælges, vurderes og godkendes, herunder forpligtelser vedrørende minimum-EOL og reaktion på sårbarheder.
Bilag I · del II
EOL-kontrol af værktøjer og afhængighederVÆRKTØJ TILGÆNGELIGTKontrollér End-of-Life-datoen for alle centrale værktøjer, kerner, databaser og biblioteker. Undgå komponenter, hvis EOL ligger inden for produktets supportlevetid.
Bilag I · del II
Gennemførlighed af lagringskrypteringBekræft, at målhardwaren understøtter kryptering af data i hvile; et obligatorisk krav, der kan nødvendiggøre en hardwareændring.
Bilag I · I(4)(e)
Design med minimal angrebsfladeNYPlanlæg at fjerne eller som standard deaktivere enhver grænseflade, tjeneste, port og protokol, der ikke er nødvendig for den tilsigtede funktion.
Bilag I · I(2)(b)
Politik for standardlegitimationsoplysningerNYLever uden standardadgangskoder, eller tving brugeren til at angive en unik legitimationsoplysning ved første brug.
Bilag I · I(2)(c)
3 · Udvikling
Under udviklingen
0 / 5Sikker kodning, test og opdateringsmekanismen, dokumenteret gennem hele build'et.
Testplan med fokus på cybersikkerhedTestcases målrettet autentificering, adgangskontrol, inputvalidering, kryptering og fejlhåndtering. Dokumenteret og opbevaret i den tekniske dokumentation.
Bilag I · I(1)
Dokumentation for overholdelse af SDLPåvis med dokumenteret bevis, at SDL'en blev fulgt i hver fase.
Bilag I · del I
Penetrationstest / sårbarhedsvurderingNYGennemfør sikkerhedstest af produktet eller en repræsentativ build inden frigivelse.
Bilag I · I(1)
Sikker mekanisme til softwareopdateringNYEn autentificeret opdateringsmekanisme med integritetsverifikation, som enheden kan verificere inden installation, og som er automatisk, hvor det er muligt.
Bilag I · I(2)(f)
DataminimeringNYIndsaml, behandl og lagr kun de data, der er strengt nødvendige for den tilsigtede funktion.
Bilag I · I(4)(f)
4 · Inden frigivelse
Inden produktets frigivelse
0 / 12SBOM, netværksrevision, EOL, overensstemmelsesvurdering, CE-mærkning og den tekniske dokumentation.
SBOM udarbejdet og sårbarhedsscreenetVÆRKTØJ TILGÆNGELIGTUdarbejd en SBOM, der mindst dækker alle afhængigheder på øverste niveau, og kontrollér, at ingen komponent indeholder en kendt, allerede patchet sårbarhed. At inkludere en afhjulpet CVE er en direkte overtrædelse.
Bilag I · II(1)
SBOM i maskinlæsbart formatNYVÆRKTØJ TILGÆNGELIGTOpbevar SBOM'en som SPDX eller CycloneDX (JSON/XML). PDF kan afvises som ikke-maskinlæsbar.
Bilag I · del II
Liste over indgående forbindelserOplist og begrund individuelt hver indgående forbindelse og åben port; fjern eller deaktivér som standard alt, hvad der ikke er nødvendigt.
Bilag I · I(2)(b)
Liste over udgående forbindelserRevidér og begrund alle udgående forbindelser, herunder fra operativsystemet, tredjepartsbiblioteker og telemetri.
Bilag I · del I
Erklær produktets End-of-LifeVÆRKTØJ TILGÆNGELIGTBeregn og erklær EOL; den kan ikke overstige EOL for centrale afhængigheder. Minimum 5 års supportperiode, medmindre den forventede brugslevetid er kortere.
Art. 13(8)
Gennemfør overensstemmelsesvurderingenNYGennemfør den relevante procedure (modul A eller B+C / H / bemyndiget organ), og dokumentér den, inden CE-mærkningen anbringes.
Art. 32
Udarbejd EU-overensstemmelseserklæringenNYVÆRKTØJ TILGÆNGELIGTUdfærdig og underskriv DoC i henhold til bilag V med henvisning til forordningen, produktet og vurderingsproceduren. Hold den tilgængelig i 10 år.
Art. 28 · bilag V
Anbring CE-mærkningenNYAnbring en synlig, læselig og uudslettelig CE-mærkning. Ingen CE-mærkning, intet EU-marked fra den 11. dec. 2027.
Art. 30
Udarbejd den tekniske dokumentationNYSaml dokumentationspakken efter bilag VII: beskrivelse, risikovurdering, SDL-dokumentation, testresultater, SBOM, revisioner af forbindelser, DoC og EOL-erklæring.
Art. 31 · bilag VII
Opbevaringsplan på 10 årNYArkivér al teknisk dokumentation, herunder enhver SBOM-version, i mindst 10 år fra den første markedsføring.
Art. 31(3)
Brugervendt dokumentationNYOplys om tilsigtet anvendelse, cybersikkerhedsegenskaber, hvordan sikkerheden konfigureres, den erklærede EOL og hvordan sårbarheder indberettes.
Bilag II · art. 13, stk. 18
Kontakt for sårbarhedsoplysning offentliggjortNYOffentliggør et enkelt, aktivt overvåget kontaktpunkt for indberetning af sårbarheder.
Art. 13(5)
5 · Efter frigivelse
Efter produktets frigivelse
0 / 10Løbende overvågning, rapporteringstidslinjen i artikel 14 og opdateringsforpligtelser gennem hele supportperioden.
Opdater risikovurderingen ved væsentlige ændringerForetag en fornyet vurdering, når en væsentlig produktændring, en betydelig ny trussel eller en udnyttet sårbarhed identificeres; dokumentér udløseren og resultatet.
Bilag I · I(1)
Automatiseret sårbarhedsovervågning af SBOMVÆRKTØJ TILGÆNGELIGTImplementér værktøjer, der overvåger SBOM-komponenter mod aktive feeds (NVD, EUVD, OSV) tilstrækkeligt hyppigt til at overholde 24-timersrapporteringsfristen. Manuel overvågning er utilstrækkelig.
Art. 14
Indledende sårbarhedsrapport inden for 24 timerNYNår du bliver bekendt med en aktivt udnyttet sårbarhed, skal du indgive en indledende rapport inden for 24 timer via ENISA's fælles rapporteringsplatform. Gælder fra den 11. sep. 2026.
Art. 14(2)
Teknisk rapport inden for 72 timerNYIndsend en detaljeret teknisk rapport til ENISA og det nationale CSIRT inden for 72 timer, herunder alvorlighed og eventuelle afhjælpende foranstaltninger.
Art. 14(3)
Endelig rapport inden for 14 dage efter afhjælpningNYIndsend en endelig rapport senest 14 dage efter, at en sikkerhedsopdatering eller løsning er gjort tilgængelig.
Art. 14(4)
Indberetning af alvorlige hændelserNYIndberet alvorlige hændelser, der påvirker produktets sikkerhed, efter samme tidslinje på 24/72 timer.
Art. 14(2)
Automatisk opdatering for tredjepartssårbarhederOprethold et automatisk opdateringssystem, der kan patche sårbarheder i tredjepartskomponenter. En rettelse inden for 24 timer fritager fra indberetning, ikke fra afhjælpning.
Art. 14(2)(a)
Sikkerhedsopdateringer gratisNYLever alle sikkerhedsopdateringer gratis i hele supportperioden.
Art. 13(9)
Forudgående varsel om End-of-LifeNYUnderret brugerne mindst 12 måneder før den sidste sikkerhedsopdatering, hvor det er muligt.
Art. 13(8)
Korrigerende foranstaltninger for produkter, der ikke er i overensstemmelseNYAfhjælp, tilbagetræk eller tilbagekald produkter, der ikke er i overensstemmelse, og underret markedsovervågningen. Passivitet er i sig selv en overtrædelse.
Art. 13(14)
Slut på tjekliste · alle 40 punkter vist ovenfor
Eksport (valgfrit)
Eksportér din matrix med dine aktuelle fremskridt
Alt ovenstående er gratis at læse og printe. For at downloade tjeklisten og din aktuelle status som regneark eller PDF kan du efterlade en e-mailadresse, så tilføjer vi dig til CRA-nyhedsbrevet.