Független útmutató az (EU) 2024/2847 rendelethez · Állapot: hatályban
Ez az oldal automatikus (mesterséges intelligenciával készült) fordítás, amelyet ember nem ellenőrzött.
Út a megfeleléshez · Iránymutatás

CRA-útmutató szoftverfejlesztők számára

Hogyan vonatkozik a kiberellenálló-képességi rendelet a szoftvertermékekre; a biztonságos fejlesztéstől a sebezhetőségkezelésig, az SBOM-okig és a CE-jelölésig.

Alkalmazandó a következőkre:
Digitális elemeket tartalmazó szoftver
Megfelelőség
Szabványok vagy harmadik fél
Támogatási időszak
Meghatározva, ≥ várható használat

Megfelelőségi lépések

1

Erősítse meg a hatályt és az osztályt

Art. 2 · 6

Az uniós piacon adatkapcsolattal forgalomba hozott szoftverek többsége a hatály alá tartozik, és számos fejlesztői eszköz a III. melléklet „fontos” kategóriájába esik.

  • Futtassa le a CRA gyorsellenőrzést a hatály megerősítéséhez
  • Állapítsa meg, hogy a terméke alapértelmezett, fontos vagy kritikus
  • Rögzítse az indoklást a dokumentációjában
Eszköz ehhez a lépéshez
2

Építse be a biztonságot tervezés útján

Annex I · I

Tervezze és fejlessze a terméket úgy, hogy életciklusa során végig megfeleljen az alapvető biztonsági tulajdonságoknak.

  • Szállítson alapértelmezetten biztonságos konfigurációt
  • Alkalmazzon hitelesítést és hozzáférés-ellenőrzést
  • Védje az adatokat titkosítással átvitel közben és nyugalmi állapotban
  • Minimalizálja a támadási felületet és a feltárt felületeket
Gyakori buktató

A hibakeresési felületek, az alapértelmezett hitelesítő adatok vagy a részletes hibakimenet engedélyezve hagyása az éles összeállításokban.

Eszköz ehhez a lépéshez
3

Hozza létre a sebezhetőségkezelést

Annex I · II

Működtessen egy dokumentált folyamatot a sebezhetőségek felderítésére, javítására és közzétételére a támogatási időszak során.

  • Tegyen közzé összehangolt sebezhetőség-közzétételi szabályzatot
  • Biztosítson kapcsolattartási pontot a problémák bejelentéséhez
  • Orvosolja a sebezhetőségeket indokolatlan késedelem nélkül
  • Hozza nyilvánosságra a javított sebezhetőségeket, amint elérhető a frissítés
4

Tartson fenn szoftvertermék-jegyzéket

I. melléklet · II(1)

Tartson naprakészen egy SBOM-ot, amely legalább a terméke legfelső szintű függőségeire kiterjed.

  • Készítsen SBOM-ot géppel olvasható formátumban
  • Kövesse nyomon az összetevőket és azok ismert sebezhetőségeit
  • Tartsa naprakészen minden kiadásnál
Eszköz ehhez a lépéshez
5

Szállítson díjmentes, időben nyújtott biztonsági frissítéseket

Annex I · I(2)

Biztosítson biztonsági frissítéseket a funkciófrissítésektől elkülönítve, díjmentesen, a kinyilvánított támogatási időszak alatt.

  • Határozza meg és tegye közzé a támogatási időszakot
  • Biztosítson biztonsági frissítéseket időben
  • Terjessze a javításokat biztonságos mechanizmuson keresztül
6

Állítsa össze a műszaki dokumentációt

VII. melléklet

Állítsa össze a megfelelőséget igazoló dokumentációt, és tartsa elérhetővé a piacfelügyelet számára.

  • Termékleírás és tervezett felhasználás
  • Kiberbiztonsági kockázatértékelés
  • Az alkalmazott szabványok nyilvántartásai
7

Értékelje a megfelelőséget és helyezze el a CE-jelölést

Art. 32 · 36

Hajtsa végre az osztályához tartozó megfelelőségértékelési útvonalat, és állítsa ki az EU-megfelelőségi nyilatkozatot.

  • Végezzen önértékelést (alapértelmezett), vagy vegyen igénybe bejelentett szervezetet (fontos/kritikus)
  • Készítse el és írja alá az EU-megfelelőségi nyilatkozatot
  • Helyezze el a CE-jelölést
Eszköz ehhez a lépéshez
8

Teljesítse a jelentéstételi kötelezettségeket és tartsa karban a terméket

Art. 13(8) · 14

2026 szeptemberétől jelentse be az aktívan kihasznált sebezhetőségeket és a súlyos incidenseket, és tartsa karban a terméket a teljes támogatási időszaka alatt.

  • Nyújtson be korai előrejelzést az ENISA-nak és a CSIRT-nek 24 órán belül
  • Kövesse ezt egy értesítéssel és egy végleges jelentéssel
  • Tájékoztassa az érintett felhasználókat, ahol indokolt
Az Ön folyamatos kötelezettsége

A támogatási időszaknak legalább öt évnek kell lennie (vagy a termék várható élettartamának, ha az hosszabb), az uniós piacon való forgalomba hozataltól számítva. Ennek során kezelnie kell a sebezhetőségeket, és díjmentes biztonsági frissítéseket kell biztosítania; minden frissítésnek ezt követően 10 évig elérhetőnek kell maradnia, a műszaki dokumentációt és az EU-nyilatkozatot pedig 10 évig meg kell őrizni.

Ingyenes eszközök ehhez a szerepkörhöz

Az alábbi minden eszköz ingyenesen használható, és itt nyílik meg egy oldalpanelben, így nem veszíti el a helyét.

IngyenesCRA gyorsellenőrzés

Erősítse meg, hogy a rendelet alkalmazandó-e, és mi a valószínű osztálya.

Megnyitás itt →IngyenesMegfelelőségi mátrix

Térképezze fel minden I. és VII. melléklet szerinti kötelezettséget, és kövesse nyomon a teljesítésig.

Megnyitás itt →IngyenesKöltségkalkulátor

Becsülje meg a megfelelés egyszeri és éves költségét.

Megnyitás itt →IngyenesSebezhetőségelemző

Vesse össze az SBOM-ot az NVD-vel és az EUVD-vel, és kövesse nyomon az életciklusvégi összetevőket.

Megnyitás itt →IngyenesDoC-generátor

Készítsen EU-megfelelőségi nyilatkozatot (V. melléklet) a termékéhez.

Megnyitás itt →IngyenesOsztályozáskereső

Pontosan állapítsa meg név szerint, hogy a terméke alapértelmezett, fontos vagy kritikus.

Megnyitás itt →IngyenesTámogatásiidőszak-tervező

Állítsa be a minimális támogatási időszakot, és jelölje meg azokat az összetevőket, amelyek túl korán érik el az életciklusuk végét.

Megnyitás itt →
További iránymutatás

Egyéb érdekelti útmutatók

M

Gyártók

A kiberellenálló-képességi rendelet által a digitális elemeket tartalmazó termékek gyártóira rótt kötelezettségek; a kockázatértékeléstől a CE-jelölésig és a forgalomba hozatal utáni kötelezettségekig.

Olvassa el ezt az útmutatót →
I

Importőrök és forgalmazók

Mit kell a gazdasági szereplőknek ellenőrizniük, mielőtt; és miután; egy digitális elemeket tartalmazó terméket forgalmaznak az uniós piacon.

Olvassa el ezt az útmutatót →
CE

Hogyan szerezhető CE-jelölés

A megfelelőség kinyilvánításának és a CE-jelölés elhelyezésének lépései egy digitális elemeket tartalmazó termék esetében.

Olvassa el az útmutatót →