CRA-modenhedsselvvurdering
Vurdér 25 praksisser fordelt på fem domæner for at se, hvor moden din produktsikkerhedsopsætning er under Cyber Resilience Act, og få en tilpasset tjekliste over, hvad der bør forbedres næste gang. Alt kører i din browser og gemmes lokalt.
Baseret på ENISA's SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, juli 2026), gengivet med anerkendelse af kilden. Dette websted er uafhængigt og ikke tilknyttet ENISA eller EU.
Governance & dokumentation
1.1Har du skriftlige og godkendte produktsikkerhedspolitikker?
1.2Er roller og ansvar klart defineret for produktsikkerhedsaktiviteter (f.eks. udvikling, sårbarhedshåndtering, opdateringer)?
1.3Vedligeholder du teknisk dokumentation på produktniveau, der beskriver implementerede sikkerhedsfunktioner, risikovurderinger, designbeslutninger og opdateringsprocedurer?
1.4Findes der en proces til regelmæssigt at gennemgå produktsikkerhed og kvaliteten af den tilhørende dokumentation?
1.5Er du bekendt med den markedsovervågningsmyndighed, der er ansvarlig for håndhævelse af CRA, den overensstemmelsesvurderingsprocedure, der gælder for dine produkter, og hvordan du skal interagere med de relevante myndigheder, hvis det er nødvendigt?
Risikostyring & security by design
2.1Udfører du cybersikkerhedsrisikovurderinger og anvender resultaterne til at guide beslutninger om produktdesign, udvikling, konfiguration og komponentstyring?
2.2Designes produkter med security-by-design-principper fra begyndelsen?
2.3Leveres produkter med sikre standardkonfigurationer og -indstillinger?
2.4Udfører du sikkerhedstjek og test, før et produkt udgives eller opdateres, og i hvilket omfang anvendes automatiserede værktøjer?
2.5Når risici ændrer sig, eller der opstår nye trusler, gennemgås og opdateres risikovurderinger, konfigurationer og tredjepartskomponenter?
Sårbarheds- & patchhåndtering
3.1Har du en proces til at modtage, bekræfte, registrere og spore sårbarheder rapporteret af kunder, forskere eller interne medarbejdere?
3.2Har du en defineret proces til at skabe, teste, levere og kommunikere sikkerhedsopdateringer til kunder for produkter, der stadig understøttes?
3.3Vedligeholder og anvender du en SBOM til at understøtte sårbarheds- og afhængighedsstyring?
3.4Prioriteres sårbarheder og opdateringer ud fra risiko og potentiel konsekvens?
3.5Verificerer du, at sikkerhedsopdateringer effektivt løser rapporterede sårbarheder, og opbevarer du dokumentation for denne verifikation?
Produktlivscyklusstyring
4.1Findes der en defineret tilgang til at håndtere produktsikkerhed i driftsfasen?
4.2Styres produktets livscyklus aktivt, herunder definerede supportperioder, ansvar for opdateringer, ordninger for udfasning og kommunikation med kunder?
4.3Anvendes erfaringer fra produktdrift, gennemgange efter hændelser og kundeinput til at forbedre produkter over tid?
4.4Findes der en struktureret og afprøvet måde at håndtere identificerede produktsikkerhedsproblemer på?
4.5Overvåges produkter under drift for at identificere sikkerhedsrisici, sårbarheder og nye trusler?
Bevidsthed, kompetence & færdigheder
5.1Er der tilstrækkelige kompetencer til rådighed til at designe, udvikle og vedligeholde produkter på en sikker måde, herunder gennem ekstern ekspertise, hvor den interne kapacitet er begrænset?
5.2Modtager relevante medarbejdere passende uddannelse i cybersikkerhedspraksisser, der er relevante for deres roller, herunder produktrisikostyring, sårbarhedshåndtering og security-by-design?
5.3Fremmer organisationen en kultur med ansvarlig produktudvikling, åben rapportering og bevidsthed om produktrisici?
5.4Følger du relevant ekstern information om produktsikkerhed (f.eks. advarsler og meddelelser)?
5.5Vurderer og validerer du, at dit team har de nødvendige kompetencer og den nødvendige viden til at vedligeholde sikre produkter?
Tilpasset fra ENISA's SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, juli 2026), gengivet med anerkendelse af kilden i henhold til ENISA's juridiske meddelelse. Denne interaktive version stilles udelukkende til rådighed til orientering og udgør ikke professionel eller juridisk rådgivning; den erstatter ikke en formel overensstemmelsesvurdering. cyberresilienceact.eu er uafhængigt og er ikke tilknyttet eller godkendt af ENISA eller Den Europæiske Union.
