CRA érettségi önértékelés
Értékeljen 25 gyakorlatot öt terület mentén, hogy megtudja, mennyire érett a termékbiztonsági felkészültsége a Kiberreziliencia-rendelet szerint, és kapjon személyre szabott listát arról, mit érdemes legközelebb fejleszteni. Minden a böngészőjében fut, és helyben kerül mentésre.
Az ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, 2026. július), a forrás megjelölésével közzétéve. Ez az oldal független, és nem áll kapcsolatban az ENISA-val vagy az Európai Unióval.
Irányítás és dokumentáció
1.1Rendelkezik írásos és jóváhagyott termékbiztonsági szabályzatokkal?
1.2Egyértelműen meghatározottak a szerepek és felelősségek a termékbiztonsági tevékenységekhez (pl. fejlesztés, sebezhetőségkezelés, frissítések)?
1.3Fenntart termékszintű műszaki dokumentációt, amely leírja a megvalósított biztonsági funkciókat, a kockázatértékeléseket, a tervezési döntéseket és a frissítési eljárásokat?
1.4Van-e folyamat a termékbiztonság és a kapcsolódó dokumentáció minőségének rendszeres felülvizsgálatára?
1.5Tisztában van azzal, hogy melyik piacfelügyeleti hatóság felelős a CRA érvényesítéséért, hogy milyen megfelelőségértékelési eljárás vonatkozik a termékeire, és hogyan léphet kapcsolatba az illetékes hatóságokkal, ha szükséges?
Kockázatkezelés és beépített biztonság
2.1Végez kiberbiztonsági kockázatértékeléseket, és az eredményeket felhasználja a termék tervezésével, fejlesztésével, konfigurációjával és összetevő-kezelésével kapcsolatos döntések irányításához?
2.2A termékeket kezdettől fogva a beépített biztonság (security-by-design) elvei alapján tervezik?
2.3A termékeket alapértelmezetten biztonságos konfigurációkkal és beállításokkal szállítják?
2.4Végez biztonsági ellenőrzéseket és teszteket egy termék kiadása vagy frissítése előtt, és milyen mértékben használ ehhez automatizált eszközöket?
2.5Amikor a kockázatok megváltoznak, vagy új fenyegetések merülnek fel, felülvizsgálják és frissítik-e a kockázatértékeléseket, a konfigurációkat és a harmadik féltől származó összetevőket?
Sebezhetőség- és javításkezelés
3.1Van folyamata az ügyfelek, kutatók vagy belső munkatársak által bejelentett sebezhetőségek fogadására, visszaigazolására, rögzítésére és nyomon követésére?
3.2Van meghatározott folyamata a biztonsági frissítések létrehozására, tesztelésére, kiszállítására és az ügyfelek felé történő kommunikálására a támogatott termékeknél?
3.3Fenntart és használ SBOM-ot a sebezhetőség- és függőségkezelés támogatására?
3.4A sebezhetőségek és frissítések rangsorolása a kockázat és a lehetséges hatás alapján történik?
3.5Ellenőrzi, hogy a biztonsági frissítések ténylegesen orvosolják-e a bejelentett sebezhetőségeket, és megőrzi-e ennek az ellenőrzésnek a bizonyítékait?
Termék életciklus-kezelése
4.1Van-e meghatározott megközelítés a termékbiztonság kezelésére az üzemeltetési szakaszban?
4.2Aktívan kezelik-e a termék életciklusát, beleértve a meghatározott támogatási időszakokat, a frissítési felelősségi köröket, az életciklus végi intézkedéseket és az ügyfelekkel folytatott kommunikációt?
4.3A termék üzemeltetéséből, az incidensek utáni felülvizsgálatokból és az ügyfelek visszajelzéseiből szerzett tapasztalatokat felhasználják-e a termékek idővel történő fejlesztésére?
4.4Van-e strukturált és tesztelt módszer az azonosított termékbiztonsági problémák kezelésére?
4.5A termékeket üzemeltetés közben figyelik a biztonsági kockázatok, sebezhetőségek és felmerülő fenyegetések azonosítása érdekében?
Tudatosság, kompetencia és készségek
5.1Rendelkezésre állnak-e a termékek biztonságos tervezéséhez, fejlesztéséhez és karbantartásához szükséges készségek, szükség esetén külső szakértelem bevonásával, ha a belső kapacitás korlátozott?
5.2Az érintett munkatársak megfelelő képzést kapnak a szerepükhöz kapcsolódó kiberbiztonsági gyakorlatokról, beleértve a termékkockázat-kezelést, a sebezhetőségkezelést és a beépített biztonságot (security-by-design)?
5.3A szervezet elősegíti-e a felelős termékfejlesztés, a nyílt bejelentés és a termékkockázatok tudatosításának kultúráját?
5.4Figyelemmel kíséri a releváns külső termékbiztonsági információkat (pl. figyelmeztetéseket, riasztásokat)?
5.5Felméri és igazolja, hogy csapata rendelkezik a biztonságos termékek fenntartásához szükséges készségekkel és kompetenciákkal?
Az ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, 2026. július), a forrás megjelölésével, az ENISA jogi közleménye alapján közzétéve. Ez az interaktív változat kizárólag tájékoztató jellegű, és nem minősül szakmai vagy jogi tanácsadásnak; nem helyettesíti a hivatalos megfelelőségértékelést. A cyberresilienceact.eu független, és nem áll kapcsolatban az ENISA-val vagy az Európai Unióval, és azok nem támogatják.
