CRA küpsuse enesehindamine
Hinda 25 tava viie valdkonna lõikes, et näha, kui küps on sinu tooteturbe korraldus Küberturvalisuse vastupidavuse seaduse (CRA) kontekstis, ning saa kohandatud kontrollnimekiri sellest, mida järgmisena parendada. Kõik toimib sinu brauseris ja salvestatakse kohalikult.
Tugineb ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, July 2026), taasesitatud allikale viidates. See veebisait on sõltumatu ega ole seotud ENISA ega EU-ga.
Juhtimine ja dokumentatsioon
1.1Kas sul on kirjalikud ja kinnitatud tooteturbe põhimõtted?
1.2Kas tooteturbega seotud tegevuste (nt arendus, haavatavuste haldus, uuendused) rollid ja vastutus on selgelt määratletud?
1.3Kas hoiad toote tasandi tehnilist dokumentatsiooni, mis kirjeldab rakendatud turvafunktsioone, riskihindamisi, disainiotsuseid ja uuendusprotseduure?
1.4Kas on olemas protsess tooteturbe ja sellega seotud dokumentatsiooni kvaliteedi regulaarseks ülevaatamiseks?
1.5Kas oled teadlik turujärelevalveasutusest, kes vastutab CRA jõustamise eest, sinu toodetele kohaldatavast vastavushindamismenetlusest ning sellest, kuidas vajadusel asjaomaste ametiasutustega suhelda?
Riskijuhtimine ja sisseehitatud turvalisus
2.1Kas teed küberturvalisuse riskihindamisi ja kasutad tulemusi toote disaini, arenduse, konfiguratsiooni ja komponentide halduse otsuste suunamiseks?
2.2Kas tooted on algusest peale disainitud sisseehitatud turvalisuse põhimõtteid järgides?
2.3Kas tooted tarnitakse vaikimisi turvaliste konfiguratsioonide ja seadistustega?
2.4Kas teed enne toote avaldamist või uuendamist turvakontrolle ja testimist ning millisel määral kasutatakse automatiseeritud vahendeid?
2.5Kas riskide muutumisel või uute ohtude ilmnemisel vaadatakse riskihindamised, konfiguratsioonid ja kolmandate osapoolte komponendid üle ja uuendatakse?
Haavatavuste ja paikade haldus
3.1Kas sul on protsess klientide, teadlaste või oma töötajate teatatud haavatavuste vastuvõtmiseks, kinnitamiseks, registreerimiseks ja jälgimiseks?
3.2Kas sul on määratletud protsess toetatud toodete turvauuenduste loomiseks, testimiseks, tarnimiseks ja klientidele teavitamiseks?
3.3Kas hoiad ja kasutad SBOM-i, et toetada haavatavuste ja sõltuvuste haldust?
3.4Kas haavatavusi ja uuendusi prioriseeritakse riski ja võimaliku mõju alusel?
3.5Kas kontrollid, et turvauuendused kõrvaldavad teatatud haavatavused tõhusalt, ja säilitad selle kontrolli tõendid?
Toote elutsükli haldus
4.1Kas on olemas määratletud lähenemisviis tooteturbe haldamiseks kasutusfaasis?
4.2Kas toote elutsüklit hallatakse aktiivselt, sealhulgas määratletud toetusperioodid, uuenduste eest vastutus, kasutuselt kõrvaldamise kord ja suhtlus klientidega?
4.3Kas toote kasutamisel saadud kogemusi, intsidentidejärgseid ülevaatusi ja klientide tagasisidet kasutatakse toodete pidevaks parendamiseks?
4.4Kas tuvastatud tooteturbe probleemide lahendamiseks on olemas struktureeritud ja testitud viis?
4.5Kas tooteid seiratakse kasutuse ajal, et tuvastada turvariske, haavatavusi ja tekkivaid ohte?
Teadlikkus, pädevus ja oskused
5.1Kas toodete turvaliseks disainimiseks, arendamiseks ja hooldamiseks on piisavad oskused olemas, sealhulgas väliste ekspertide kaasamise kaudu, kui sisemine võimekus on piiratud?
5.2Kas asjaomased töötajad saavad oma rolliga seotud asjakohast koolitust küberturvalisuse tavade osas, sealhulgas tooteriskide haldus, haavatavuste haldus ja sisseehitatud turvalisus?
5.3Kas organisatsioon edendab vastutustundliku tootearenduse, avatud teavitamise ja tooteriskide teadlikkuse kultuuri?
5.4Kas jälgid asjakohast välist tooteturbe teavet (nt hoiatused, teavitused)?
5.5Kas hindad ja kinnitad, et sinu meeskonnal on turvaliste toodete hooldamiseks vajalikud oskused ja pädevus?
Kohandatud ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, July 2026), taasesitatud allikale viidates vastavalt ENISA õigusteatele. See interaktiivne versioon on esitatud üksnes informatiivsel eesmärgil ega kujuta endast professionaalset ega õigusnõu; see ei asenda ametlikku vastavushindamist. cyberresilienceact.eu on sõltumatu ega ole seotud ENISA ega Euroopa Liiduga ega ole nende poolt heaks kiidetud.
