CRA samoprocjena zrelosti
Ocijenite 25 praksi u pet područja kako biste vidjeli koliko je zrela vaša postavka sigurnosti proizvoda prema Aktu o kibernetičkoj otpornosti, te dobili prilagođeni popis mjera za daljnje poboljšanje. Sve se odvija u vašem pregledniku i sprema lokalno.
Na temelju ENISA-inog SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, srpanj 2026.), preneseno uz navođenje izvora. Ova stranica je neovisna i nije povezana s ENISA-om ni EU-om.
Upravljanje i dokumentacija
1.1Imate li pisane i odobrene politike sigurnosti proizvoda?
1.2Jesu li jasno definirane uloge i odgovornosti za aktivnosti povezane sa sigurnošću proizvoda (npr. razvoj, upravljanje ranjivostima, ažuriranja)?
1.3Održavate li tehničku dokumentaciju na razini proizvoda koja opisuje implementirane sigurnosne značajke, procjene rizika, odluke o projektiranju i postupke ažuriranja?
1.4Postoji li proces za redovito preispitivanje sigurnosti proizvoda i kvalitete povezane dokumentacije?
1.5Jeste li upoznati s tijelom za nadzor tržišta nadležnim za provedbu CRA-a, postupkom ocjenjivanja sukladnosti primjenjivim na vaše proizvode te načinom komunikacije s nadležnim tijelima prema potrebi?
Upravljanje rizicima i sigurnost putem dizajna
2.1Provodite li procjene kibernetičkosigurnosnog rizika i koristite li rezultate za usmjeravanje odluka o projektiranju, razvoju, konfiguraciji proizvoda i upravljanju komponentama?
2.2Jesu li proizvodi od samog početka projektirani prema načelima sigurnosti putem dizajna?
2.3Isporučuju li se proizvodi sa sigurnim zadanim konfiguracijama i postavkama?
2.4Provodite li sigurnosne provjere i testiranje prije objave ili ažuriranja proizvoda te u kojoj se mjeri pritom koriste automatizirani alati?
2.5Preispituju li se i ažuriraju procjene rizika, konfiguracije i komponente trećih strana kada se rizici promijene ili se pojave nove prijetnje?
Upravljanje ranjivostima i zakrpama
3.1Imate li proces za zaprimanje, potvrđivanje primitka, evidentiranje i praćenje ranjivosti koje prijave korisnici, istraživači ili interno osoblje?
3.2Imate li definiran proces za izradu, testiranje, isporuku i priopćavanje sigurnosnih ažuriranja korisnicima za podržane proizvode?
3.3Održavate li i koristite SBOM za podršku upravljanju ranjivostima i ovisnostima?
3.4Određuje li se prioritet ranjivosti i ažuriranja na temelju rizika i mogućeg učinka?
3.5Provjeravate li da sigurnosna ažuriranja učinkovito otklanjaju prijavljene ranjivosti i čuvate li dokaze o toj provjeri?
Upravljanje životnim ciklusom proizvoda
4.1Postoji li definiran pristup upravljanju sigurnošću proizvoda tijekom operativne faze?
4.2Upravlja li se aktivno životnim ciklusom proizvoda, uključujući definirana razdoblja podrške, odgovornosti za ažuriranja, mehanizme za kraj životnog vijeka i komunikaciju s korisnicima?
4.3Koristi li se iskustvo iz rada proizvoda, analiza nakon incidenata i povratne informacije korisnika za poboljšanje proizvoda tijekom vremena?
4.4Postoji li strukturiran i testiran način rješavanja utvrđenih sigurnosnih problema proizvoda?
4.5Nadziru li se proizvodi tijekom rada radi utvrđivanja sigurnosnih rizika, ranjivosti i novih prijetnji?
Svijest, kompetencije i vještine
5.1Postoje li dostatne vještine za sigurno projektiranje, razvoj i održavanje proizvoda, uključujući angažiranje vanjskih stručnjaka kada su interni kapaciteti ograničeni?
5.2Prolazi li relevantno osoblje odgovarajuće osposobljavanje o praksama kibernetičke sigurnosti relevantnim za njihove uloge, uključujući upravljanje rizicima proizvoda, upravljanje ranjivostima i sigurnost putem dizajna?
5.3Promiče li organizacija kulturu odgovornog razvoja proizvoda, otvorenog izvješćivanja i svijesti o rizicima proizvoda?
5.4Pratite li relevantne vanjske informacije o sigurnosti proizvoda (npr. savjetodavne obavijesti, upozorenja)?
5.5Procjenjujete li i potvrđujete da vaš tim ima potrebne vještine i kompetencije za održavanje sigurnih proizvoda?
Prilagođeno prema ENISA-inom SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, srpanj 2026.), preneseno uz navođenje izvora u skladu s ENISA-inom pravnom napomenom. Ova interaktivna verzija namijenjena je isključivo informiranju i ne predstavlja stručni ni pravni savjet; ne zamjenjuje formalno ocjenjivanje sukladnosti. Stranica cyberresilienceact.eu neovisna je i nije povezana s ENISA-om ili Europskom unijom niti ima njihovu potporu.
