Riippumaton opas asetukseen (EU) 2024/2847 · Tila: voimassa
Tämä sivu on automaattinen (tekoälyn tekemä) käännös, eikä sitä ole tarkistanut ihminen.
Työkalut · Kypsyyden itsearviointi

CRA-kypsyyden itsearviointi

Arvioi 25 käytäntöä viidellä osa-alueella nähdäksesi, kuinka kypsä tuoteturvallisuutesi on Cyber Resilience Actin näkökulmasta, ja saat räätälöidyn tarkistuslistan siitä, mitä parantaa seuraavaksi. Kaikki toimii selaimessasi ja tallennetaan paikallisesti.

Perustuu ENISAn SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, heinäkuu 2026), julkaistu uudelleen lähdemaininnalla. Tämä sivusto on riippumaton eikä sillä ole yhteyttä ENISAan tai EU:hun.

/ 5 yhteensä
0 / 25 vastattu0%
01

Hallinto ja dokumentaatio

ka. / 5

1.1Onko teillä kirjalliset ja hyväksytyt tuoteturvallisuuspolitiikat?

1.2Onko tuoteturvallisuustoimintojen (esim. kehitys, haavoittuvuuksien hallinta, päivitykset) roolit ja vastuut selkeästi määritelty?

1.3Ylläpidättekö tuotekohtaista teknistä dokumentaatiota, jossa kuvataan käytössä olevat tietoturvaominaisuudet, riskiarvioinnit, suunnittelupäätökset ja päivitysmenettelyt?

1.4Onko käytössä prosessi tuoteturvallisuuden ja siihen liittyvän dokumentaation laadun säännölliseen tarkistamiseen?

1.5Tiedätkö, mikä markkinavalvontaviranomainen vastaa CRA:n täytäntöönpanosta, mitä vaatimustenmukaisuuden arviointimenettelyä tuotteisiisi sovelletaan, ja miten toimia tarvittaessa yhteydessä asiaankuuluviin viranomaisiin?

02

Riskienhallinta ja sisäänrakennettu tietoturva

ka. / 5

2.1Teettekö kyberturvallisuuden riskiarviointeja ja käytättekö tuloksia ohjaamaan tuotteen suunnittelua, kehitystä, kokoonpanoa ja komponenttien hallintaa koskevia päätöksiä?

2.2Suunnitellaanko tuotteet sisäänrakennetun tietoturvan periaatteiden mukaisesti alusta alkaen?

2.3Toimitetaanko tuotteet oletusarvoisesti turvallisilla kokoonpanoilla ja asetuksilla?

2.4Teettekö tietoturvatarkastuksia ja testausta ennen tuotteen julkaisua tai päivittämistä, ja missä määrin käytätte automatisoituja työkaluja?

2.5Tarkistetaanko ja päivitetäänkö riskiarvioinnit, kokoonpanot ja kolmansien osapuolten komponentit, kun riskit muuttuvat tai uusia uhkia ilmenee?

03

Haavoittuvuuksien ja korjausten hallinta

ka. / 5

3.1Onko teillä prosessi, jolla vastaanotetaan, kuitataan, kirjataan ja seurataan asiakkaiden, tutkijoiden tai oman henkilöstön raportoimia haavoittuvuuksia?

3.2Onko teillä määritelty prosessi tietoturvapäivitysten luomiseksi, testaamiseksi, toimittamiseksi ja niistä viestimiseksi asiakkaille tuettujen tuotteiden osalta?

3.3Ylläpidättekö ja käytättekö SBOM:ia haavoittuvuuksien ja riippuvuuksien hallinnan tukena?

3.4Priorisoidaanko haavoittuvuudet ja päivitykset riskin ja mahdollisen vaikutuksen perusteella?

3.5Varmistatteko, että tietoturvapäivitykset todella korjaavat raportoidut haavoittuvuudet, ja säilytättekö näyttöä tästä varmennuksesta?

04

Tuotteen elinkaaren hallinta

ka. / 5

4.1Onko tuoteturvallisuuden hallintaan käyttövaiheessa määritelty toimintatapa?

4.2Hallitaanko tuotteen elinkaarta aktiivisesti, mukaan lukien määritellyt tukikaudet, päivitysvastuut, elinkaaren päättymisjärjestelyt ja viestintä asiakkaiden kanssa?

4.3Käytetäänkö tuotteen käytöstä, poikkeamien jälkitarkasteluista ja asiakaspalautteesta saatuja kokemuksia tuotteiden parantamiseen ajan mittaan?

4.4Onko käytössä jäsennelty ja testattu tapa käsitellä havaittuja tuoteturvallisuusongelmia?

4.5Valvotaanko tuotteita käytön aikana tietoturvariskien, haavoittuvuuksien ja uusien uhkien tunnistamiseksi?

05

Tietoisuus, pätevyys ja osaaminen

ka. / 5

5.1Onko käytettävissä riittävästi osaamista tuotteiden turvalliseen suunnitteluun, kehittämiseen ja ylläpitoon, tarvittaessa myös ulkopuolisen asiantuntemuksen avulla, kun sisäinen kapasiteetti on rajallinen?

5.2Saako asiaankuuluva henkilöstö asianmukaista koulutusta rooliinsa liittyvistä kyberturvallisuuskäytännöistä, mukaan lukien tuoteriskien hallinta, haavoittuvuuksien hallinta ja sisäänrakennettu tietoturva?

5.3Edistääkö organisaatio vastuullisen tuotekehityksen, avoimen raportoinnin ja tuoteriskitietoisuuden kulttuuria?

5.4Seuraatteko asiaankuuluvaa ulkoista tuoteturvallisuustietoa (esim. tiedotteita, hälytyksiä)?

5.5Arvioitteko ja varmennatteko, että tiimillänne on tarvittava osaaminen ja pätevyys turvallisten tuotteiden ylläpitoon?

Vastaa yllä oleviin kysymyksiin nähdäksesi kypsyystasosi ja räätälöidyn parannustarkistuslistan.

Mukautettu ENISAn SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, heinäkuu 2026), julkaistu uudelleen lähdemaininnalla ENISAn oikeudellisen ilmoituksen mukaisesti. Tämä interaktiivinen versio on tarkoitettu vain tiedoksi, eikä se ole ammatillista tai oikeudellista neuvontaa; se ei korvaa virallista vaatimustenmukaisuuden arviointia. cyberresilienceact.eu on riippumaton sivusto, eikä sillä ole yhteyttä ENISAan tai Euroopan unioniin, eikä kumpikaan niistä ole hyväksynyt sitä.