Uafhængig vejledning til forordning (EU) 2024/2847 · Status: i kraft
Denne side er en automatisk (AI-)oversættelse og er ikke blevet gennemgået af en person.
Vej til overholdelse · Vejledning

CRA-vejledning for softwareudviklere

Hvordan Cyber Resilience Act gælder for softwareprodukter; fra sikker udvikling til sårbarhedshåndtering, SBOM'er og CE-mærkningen.

Gælder for
Software med digitale elementer
Overensstemmelse
Standarder eller tredjepart
Supportperiode
Fastlagt, ≥ forventet anvendelse

Trin til overholdelse

1

Bekræft anvendelsesområde og klasse

Art. 2 · 6

Den meste software, der bringes i omsætning på EU-markedet med en dataforbindelse, er omfattet af anvendelsesområdet, og mange udviklerværktøjer falder ind under kategorien "vigtige" i bilag III.

  • Kør CRA Fast Check for at bekræfte anvendelsesområdet
  • Fastlæg, om dit produkt er standard, vigtigt eller kritisk
  • Registrér ræsonnementet i din dokumentation
Værktøj til dette trin
2

Indbyg sikkerhed gennem design

Annex I · I

Design og udvikl produktet, så det opfylder de væsentlige sikkerhedsegenskaber i hele dets livscyklus.

  • Lever en sikker-som-standard-konfiguration
  • Anvend autentificering og adgangskontrol
  • Beskyt data med kryptering under overførsel og i hvile
  • Minimér angrebsfladen og de eksponerede grænseflader
Almindelig faldgrube

At lade debug-grænseflader, standardlegitimationsoplysninger eller detaljeret fejloutput være aktiveret i produktionsbuilds.

Værktøj til dette trin
3

Etablér sårbarhedshåndtering

Annex I · II

Driv en dokumenteret proces til at finde, afhjælpe og oplyse om sårbarheder gennem hele supportperioden.

  • Offentliggør en politik for koordineret oplysning om sårbarheder
  • Stil et kontaktpunkt til rådighed for indberetning af problemer
  • Afhjælp sårbarheder uden unødigt ophold
  • Oplys om afhjulpne sårbarheder, når en opdatering er tilgængelig
4

Vedligehold en softwarestykliste

Bilag I · II(1)

Hold en aktuel SBOM, der mindst dækker dit produkts afhængigheder på øverste niveau.

  • Generér en SBOM i et maskinlæsbart format
  • Spor komponenter og deres kendte sårbarheder
  • Hold den opdateret ved hver frigivelse
Værktøj til dette trin
5

Lever gratis, rettidige sikkerhedsopdateringer

Annex I · I(2)

Lever sikkerhedsopdateringer adskilt fra funktionsopdateringer, gratis, i den erklærede supportperiode.

  • Fastlæg og offentliggør supportperioden
  • Lever sikkerhedsopdateringer rettidigt
  • Distribuér patches via en sikker mekanisme
6

Saml den tekniske dokumentation

Bilag VII

Udarbejd den dokumentation, der påviser overensstemmelse, og hold den tilgængelig for markedsovervågningen.

  • Produktbeskrivelse og tilsigtet anvendelse
  • Cybersikkerhedsrisikovurdering
  • Registre over anvendte standarder
7

Vurdér overensstemmelse og anbring CE

Art. 32 · 36

Gennemfør overensstemmelsesvurderingsruten for din klasse, og udfærdig EU-overensstemmelseserklæringen.

  • Selvvurdér (standard) eller anvend et bemyndiget organ (vigtig/kritisk)
  • Udfærdig og underskriv EU-overensstemmelseserklæringen
  • Anbring CE-mærkningen
Værktøj til dette trin
8

Opfyld rapporteringsforpligtelser og vedligehold produktet

Art. 13(8) · 14

Fra september 2026 skal du indberette aktivt udnyttede sårbarheder og alvorlige hændelser og fortsætte med at vedligeholde produktet i hele dets supportperiode.

  • Indsend en tidlig varsling til ENISA og CSIRT inden for 24 timer
  • Følg op med en underretning og en endelig rapport
  • Informér berørte brugere, hvor det er relevant
Din løbende forpligtelse

Supportperioden skal være mindst fem år (eller produktets forventede levetid, hvis denne er længere), regnet fra det tidspunkt, hvor det bringes i omsætning på EU-markedet. I hele perioden skal du håndtere sårbarheder og levere gratis sikkerhedsopdateringer; hver opdatering skal derefter forblive tilgængelig i 10 år, og den tekniske dokumentation og EU-erklæringen skal opbevares i 10 år.

Gratis værktøjer til denne rolle

Alle værktøjer nedenfor er gratis at bruge og åbner her i et sidepanel, så du ikke mister din placering.

GratisCRA Fast Check

Bekræft, om forordningen finder anvendelse, og din sandsynlige klasse.

Åbn her →GratisOverensstemmelsesmatrix

Kortlæg hver forpligtelse i bilag I og VII, og spor den til mål.

Åbn her →GratisOmkostningsberegner

Estimér engangs- og de årlige omkostninger ved overholdelse.

Åbn her →GratisVulnerability Analyzer

Krydsreferer din SBOM mod NVD og EUVD, og spor End-of-Life-komponenter.

Åbn her →GratisDoC-generator

Generér en EU-overensstemmelseserklæring (bilag V) for dit produkt.

Åbn her →GratisKlassifikationsfinder

Fastslå ud fra navnet, om dit produkt er standard, vigtigt eller kritisk.

Åbn her →GratisSupportperiodeplanlægger

Fastsæt din minimale supportperiode, og markér komponenter, der når End-of-Life for tidligt.

Åbn her →
Mere vejledning

Andre interessentvejledninger

M

Fabrikanter

De forpligtelser, Cyber Resilience Act pålægger producenter af produkter med digitale elementer; fra risikovurdering til CE-mærkning og forpligtelser efter markedsføring.

Læs denne vejledning →
I

Importører og distributører

Hvad erhvervsdrivende skal verificere før; og efter; at de gør et produkt med digitale elementer tilgængeligt på EU-markedet.

Læs denne vejledning →
CE

Sådan opnår du en CE-mærkning

Trinene til at erklære overensstemmelse og anbringe CE-mærkningen for et produkt med digitale elementer.

Læs vejledningen →