Tööriistad · Tootja kontrollnimekiri
Vastavusmaatriks
Iga kohustus digielementidega toodete tootjatele, esitatud kogu toote olelusringi ulatuses koos artikliviitega. Töötage see läbi ja jälgige oma edenemist; kogu kontrollnimekirja saab tasuta vaadata. Edenemist hoitakse selles brauseris.
Vaiketoode · route
Vaiketooteid võib mooduli A alusel hinnata enesehindamise teel. Teavitatud asutust ei nõuta, kuid täielik tehniline toimik ja DoC peavad sellegipoolest olemas olema.
1 · Alused
Ettevõtte tasandi alused
0 / 4Organisatsioonilised nõuded, mis peavad olema paigas enne mis tahes tootespetsiifilise töö algust.
Dokumenteeritud turvaline arendusolelusring (SDL)Pidage dokumenteeritud SDLi, mis määratleb etapid, rollid ja vastutuse. Väline sertifitseerimine (IEC 62443-4-1, ISO/IEC 27001) on valikuline, kuid loob vastavuseelduse.
art 13(1) · I lisa
Tõendid SDLile vastavuse kohtaKui välist sertifikaati ei ole, säilitage dokumenteeritud tõendid SDLile sisemise vastavuse kohta.
I lisa · I osa
SDL hõlmab projekteerimise teel turvalisust ja vaikimisi turvalisustUUSSDL peab sõnaselgelt käsitlema, kuidas toode minimeerib oma ründepinda ilma lõppkasutaja konfigureerimiseta.
I lisa · I(2)(3)
ELi volitatud esindaja (väljaspool ELi asuvad tootjad)UUSVäljaspool ELi asuvad tootjad peavad kirjaliku volituse alusel määrama ELis asuva esindaja, kes on nimetatud tehnilises dokumentatsioonis ja DoC-s.
Art. 19
2 · Enne arendust
Enne arenduse algust
0 / 9Klassifikatsioon, riskihindamine ja tehnilised eeltingimused määravad kõige järgneva ulatuse.
Määrake toote klassifikatsioonUUSTÖÖRIIST SAADAVALTehke kindlaks, kas toode on vaiketoode, oluline I/II klass või kriitiline (III ja IV lisa). Klassifikatsioon määrab vastavushindamistee.
III/IV lisa
Tehke kindlaks vastavushindamisteeUUSVaiketoode: mooduli A enesehindamine. Oluline I klass: moodul A harmoneeritud standardiga, muidu B+C või H. Oluline II klass ja kriitiline: alati teavitatud asutuse kaudu. Tavapärane ettevalmistusaeg on 4–10 kuud.
art 32 · VIII lisa
Tootespetsiifiline küberturvalisuse riskihindamineViige enne arendust läbi riskihindamine. Säilitage kõik versioonid; esialgne eelarenduse versioon on osa tehnilisest dokumentatsioonist.
I lisa · I(1)
OhumodelleerimineUUSTehke kindlaks ründepind, ohustajad, ründevektorid ja sellest tulenevad turvanõuded. Dokumenteerige kasutatud metoodika.
I lisa · I(1)
Kolmandate poolte ja avatud lähtekoodi komponentide poliitikaUUSTÖÖRIIST SAADAVALMäärake, kuidas kolmandate poolte ja avatud lähtekoodiga komponente valitakse, hinnatakse ja heaks kiidetakse, sealhulgas minimaalse EOLi ja nõrkustele reageerimise kohustused.
I lisa · II osa
EOL-kontroll tööriistadele ja sõltuvusteleTÖÖRIIST SAADAVALKontrollige kõigi peamiste tööriistade, tuumade, andmebaaside ja teekide olelusringi lõppkuupäeva. Vältige komponente, mille EOL jääb toote toetusaja sisse.
I lisa · II osa
Salvestuskrüpteerimise teostatavusKinnitage, et sihtriistvara toetab seisvate andmete krüpteerimist; kohustuslik nõue, mis võib sundida riistvara muutma.
I lisa · I(4)(e)
Minimaalse ründepinna projekteerimineUUSPlaneerige vaikimisi eemaldada või keelata iga liides, teenus, port ja protokoll, mida sihtotstarbeliseks funktsiooniks ei ole vaja.
I lisa · I(2)(b)
Vaikemandaadi poliitikaUUSTarnige ilma vaikeparoolideta või sundige kasutajat esmakasutusel määrama unikaalne mandaat.
I lisa · I(2)(c)
3 · Arendus
Arenduse ajal
0 / 5Turvaline kodeerimine, testimine ja värskendusmehhanism, tõendatud kogu ehitamise vältel.
Küberturvalisusele keskendunud testimiskavaTestjuhtumid, mis on suunatud autentimisele, juurdepääsukontrollile, sisendi valideerimisele, krüpteerimisele ja vigade käsitlemisele. Dokumenteeritud ja säilitatud tehnilises toimikus.
I lisa · I(1)
Tõendid SDLi nõuetele vastavuse kohtaTõendage dokumenteeritud tõenditega, et SDLi järgiti igas etapis.
I lisa · I osa
Läbistustestimine / nõrkuste hindamineUUSViige enne väljalaset läbi toote või representatiivse versiooni turvatestimine.
I lisa · I(1)
Turvaline tarkvara värskendusmehhanismUUSAutenditud ja terviklust kontrolliv värskendusmehhanism, mida seade saab enne paigaldamist kontrollida ja mis on võimaluse korral automaatne.
I lisa · I(2)(f)
Andmete minimeerimineUUSKoguge, töödelge ja säilitage üksnes andmeid, mis on sihtotstarbeliseks funktsiooniks rangelt vajalikud.
I lisa · I(4)(f)
4 · Enne väljalaset
Enne toote väljalaset
0 / 12SBOM, võrguaudit, EOL, vastavushindamine, CE-märgis ja tehniline toimik.
SBOM koostatud ja nõrkuste suhtes kontrollitudTÖÖRIIST SAADAVALKoostage SBOM, mis hõlmab vähemalt kõiki ülataseme sõltuvusi, ja veenduge, et ükski komponent ei sisalda teadaolevat juba parandatud nõrkust. Lahendatud CVE kaasamine on otsene rikkumine.
I lisa · II(1)
SBOM masinloetavas vormingusUUSTÖÖRIIST SAADAVALSalvestage SBOM SPDX- või CycloneDX-vormingus (JSON/XML). PDF võidakse masinloetamatuse tõttu tagasi lükata.
I lisa · II osa
Sissetulevate ühenduste loendLoetlege ja põhjendage eraldi iga sissetulev ühendus ja avatud port; eemaldage või keelake vaikimisi kõik, mida ei ole vaja.
I lisa · I(2)(b)
Väljaminevate ühenduste loendAuditeerige ja põhjendage kõiki väljaminevaid ühendusi, sealhulgas operatsioonisüsteemist, kolmandate poolte teekidest ja telemeetriast pärinevaid.
I lisa · I osa
Deklareerige toote olelusringi lõppTÖÖRIIST SAADAVALArvutage ja deklareerige EOL; see ei tohi ületada peamiste sõltuvuste EOLi. Toetusperiood on minimaalselt 5 aastat, välja arvatud juhul, kui eeldatav kasutusiga on lühem.
Art. 13(8)
Viige lõpule vastavushindamineUUSViige läbi kohaldatav menetlus (moodul A või B+C / H / teavitatud asutus) ja dokumenteerige see enne CE-märgise kinnitamist.
Art. 32
Koostage ELi vastavusdeklaratsioonUUSTÖÖRIIST SAADAVALKoostage ja allkirjastage DoC vastavalt V lisale, viidates määrusele, tootele ja hindamismenetlusele. Hoidke kättesaadavana 10 aastat.
art 28 · V lisa
Kinnitage CE-märgisUUSKinnitage nähtav, loetav ja kustumatu CE-märgis. Ilma CE-märgiseta puudub ELi turule pääs alates 11. detsembrist 2027.
Art. 30
Koostage tehniline toimikUUSKoostage VII lisa pakett: kirjeldus, riskihindamine, SDLi tõendid, testitulemused, SBOM, ühenduste auditid, DoC ja EOL-deklaratsioon.
art 31 · VII lisa
10-aastane säilitamiskavaUUSArhiveerige kogu tehniline dokumentatsioon, sealhulgas iga SBOMi versioon, vähemalt 10 aastat alates esmasest turule laskmisest.
Art. 31(3)
Kasutajale suunatud dokumentatsioonUUSEdastage sihtotstarve, küberturvalisuse omadused, kuidas turvalisust konfigureerida, deklareeritud EOL ja kuidas nõrkustest teatada.
II lisa · art 13(18)
Nõrkuste avalikustamise kontakt avaldatudUUSAvaldage üks aktiivselt jälgitav kontaktpunkt nõrkustest teatamiseks.
Art. 13(5)
5 · Pärast väljalaset
Pärast toote väljalaset
0 / 10Jooksev seire, artikli 14 teavitusajakava ja värskendamiskohustused kogu toetusperioodi vältel.
Uuendage riskihindamist olulise muudatuse korralHinnake uuesti, kui tuvastatakse oluline tootemuudatus, märkimisväärne uus oht või ärakasutatud nõrkus; dokumenteerige käivitav tegur ja tulemus.
I lisa · I(1)
Automatiseeritud SBOMi nõrkuste seireTÖÖRIIST SAADAVALVõtke kasutusele tööriistad, mis jälgivad SBOMi komponente reaalajas voogude suhtes (NVD, EUVD, OSV) piisavalt sageli, et täita 24 tunni teavitustähtaeg. Käsitsi seire ei ole piisav.
Art. 14
24 tunni esialgne nõrkuse aruanneUUSSaanud teada aktiivselt ärakasutatavast nõrkusest, esitage esialgne aruanne 24 tunni jooksul ENISA ühtse teavitusplatvormi kaudu. Kohaldatakse alates 11. sept 2026.
Art. 14(2)
72 tunni tehniline aruanneUUSEsitage ENISAle ja riiklikule CSIRTile üksikasjalik tehniline aruanne 72 tunni jooksul, sealhulgas raskusaste ja mis tahes leevendusmeetmed.
Art. 14(3)
Lõpparuanne 14 päeva jooksul pärast kõrvaldamistUUSEsitage lõpparuanne hiljemalt 14 päeva jooksul pärast turvavärskenduse või lahenduse kättesaadavaks tegemist.
Art. 14(4)
Tõsistest intsidentidest teavitamineUUSTeavitage toote turvalisust mõjutavatest tõsistest intsidentidest sama 24/72 tunni tähtaja jooksul.
Art. 14(2)
Automaatne värskendus kolmandate poolte nõrkuste jaoksHoidke käigus automaatset värskendussüsteemi, mis suudab parandada kolmandate poolte komponentide nõrkusi. Parandus 24 tunni jooksul vabastab teavitamisest, mitte parandamisest.
Art. 14(2)(a)
Turvavärskendused tasutaUUSPakkuge kõiki turvavärskendusi tasuta kogu toetusperioodi vältel.
Art. 13(9)
Olelusringi lõpust eelteatamineUUSTeavitage kasutajaid võimaluse korral vähemalt 12 kuud enne viimast turvavärskendust.
Art. 13(8)
Parandusmeetmed nõuetele mittevastavate toodete jaoksUUSKõrvaldage puudused, kõrvaldage turult või kutsuge tagasi nõuetele mittevastavad tooted ning teavitage turujärelevalvet. Tegevusetus on iseenesest rikkumine.
Art. 13(14)
Kontrollnimekirja lõpp · kõik 40 punkti on ülal kuvatud
Eksport (valikuline)
Eksportige oma maatriks koos praeguse edenemisega
Kõik ülaltoodu on tasuta loetav ja prinditav. Kontrollnimekirja ja oma jooksva oleku alla laadimiseks arvutustabeli või PDF-failina jätke e-posti aadress ja lisame teid CRA uudiskirja.