Független útmutató az (EU) 2024/2847 rendelethez · Állapot: hatályban
Ez az oldal automatikus (mesterséges intelligenciával készült) fordítás, amelyet ember nem ellenőrzött.
Eszközök · Érettségi önértékelés

CRA érettségi önértékelés

Értékeljen 25 gyakorlatot öt terület mentén, hogy megtudja, mennyire érett a termékbiztonsági felkészültsége a Kiberreziliencia-rendelet szerint, és kapjon személyre szabott listát arról, mit érdemes legközelebb fejleszteni. Minden a böngészőjében fut, és helyben kerül mentésre.

Az ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, 2026. július), a forrás megjelölésével közzétéve. Ez az oldal független, és nem áll kapcsolatban az ENISA-val vagy az Európai Unióval.

/ 5 összesen
0 / 25 megválaszolva0%
01

Irányítás és dokumentáció

átl. / 5

1.1Rendelkezik írásos és jóváhagyott termékbiztonsági szabályzatokkal?

1.2Egyértelműen meghatározottak a szerepek és felelősségek a termékbiztonsági tevékenységekhez (pl. fejlesztés, sebezhetőségkezelés, frissítések)?

1.3Fenntart termékszintű műszaki dokumentációt, amely leírja a megvalósított biztonsági funkciókat, a kockázatértékeléseket, a tervezési döntéseket és a frissítési eljárásokat?

1.4Van-e folyamat a termékbiztonság és a kapcsolódó dokumentáció minőségének rendszeres felülvizsgálatára?

1.5Tisztában van azzal, hogy melyik piacfelügyeleti hatóság felelős a CRA érvényesítéséért, hogy milyen megfelelőségértékelési eljárás vonatkozik a termékeire, és hogyan léphet kapcsolatba az illetékes hatóságokkal, ha szükséges?

02

Kockázatkezelés és beépített biztonság

átl. / 5

2.1Végez kiberbiztonsági kockázatértékeléseket, és az eredményeket felhasználja a termék tervezésével, fejlesztésével, konfigurációjával és összetevő-kezelésével kapcsolatos döntések irányításához?

2.2A termékeket kezdettől fogva a beépített biztonság (security-by-design) elvei alapján tervezik?

2.3A termékeket alapértelmezetten biztonságos konfigurációkkal és beállításokkal szállítják?

2.4Végez biztonsági ellenőrzéseket és teszteket egy termék kiadása vagy frissítése előtt, és milyen mértékben használ ehhez automatizált eszközöket?

2.5Amikor a kockázatok megváltoznak, vagy új fenyegetések merülnek fel, felülvizsgálják és frissítik-e a kockázatértékeléseket, a konfigurációkat és a harmadik féltől származó összetevőket?

03

Sebezhetőség- és javításkezelés

átl. / 5

3.1Van folyamata az ügyfelek, kutatók vagy belső munkatársak által bejelentett sebezhetőségek fogadására, visszaigazolására, rögzítésére és nyomon követésére?

3.2Van meghatározott folyamata a biztonsági frissítések létrehozására, tesztelésére, kiszállítására és az ügyfelek felé történő kommunikálására a támogatott termékeknél?

3.3Fenntart és használ SBOM-ot a sebezhetőség- és függőségkezelés támogatására?

3.4A sebezhetőségek és frissítések rangsorolása a kockázat és a lehetséges hatás alapján történik?

3.5Ellenőrzi, hogy a biztonsági frissítések ténylegesen orvosolják-e a bejelentett sebezhetőségeket, és megőrzi-e ennek az ellenőrzésnek a bizonyítékait?

04

Termék életciklus-kezelése

átl. / 5

4.1Van-e meghatározott megközelítés a termékbiztonság kezelésére az üzemeltetési szakaszban?

4.2Aktívan kezelik-e a termék életciklusát, beleértve a meghatározott támogatási időszakokat, a frissítési felelősségi köröket, az életciklus végi intézkedéseket és az ügyfelekkel folytatott kommunikációt?

4.3A termék üzemeltetéséből, az incidensek utáni felülvizsgálatokból és az ügyfelek visszajelzéseiből szerzett tapasztalatokat felhasználják-e a termékek idővel történő fejlesztésére?

4.4Van-e strukturált és tesztelt módszer az azonosított termékbiztonsági problémák kezelésére?

4.5A termékeket üzemeltetés közben figyelik a biztonsági kockázatok, sebezhetőségek és felmerülő fenyegetések azonosítása érdekében?

05

Tudatosság, kompetencia és készségek

átl. / 5

5.1Rendelkezésre állnak-e a termékek biztonságos tervezéséhez, fejlesztéséhez és karbantartásához szükséges készségek, szükség esetén külső szakértelem bevonásával, ha a belső kapacitás korlátozott?

5.2Az érintett munkatársak megfelelő képzést kapnak a szerepükhöz kapcsolódó kiberbiztonsági gyakorlatokról, beleértve a termékkockázat-kezelést, a sebezhetőségkezelést és a beépített biztonságot (security-by-design)?

5.3A szervezet elősegíti-e a felelős termékfejlesztés, a nyílt bejelentés és a termékkockázatok tudatosításának kultúráját?

5.4Figyelemmel kíséri a releváns külső termékbiztonsági információkat (pl. figyelmeztetéseket, riasztásokat)?

5.5Felméri és igazolja, hogy csapata rendelkezik a biztonságos termékek fenntartásához szükséges készségekkel és kompetenciákkal?

Válaszoljon a fenti kérdésekre, hogy megtekinthesse érettségi szintjét és a személyre szabott fejlesztési ellenőrzőlistát.

Az ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, 2026. július), a forrás megjelölésével, az ENISA jogi közleménye alapján közzétéve. Ez az interaktív változat kizárólag tájékoztató jellegű, és nem minősül szakmai vagy jogi tanácsadásnak; nem helyettesíti a hivatalos megfelelőségértékelést. A cyberresilienceact.eu független, és nem áll kapcsolatban az ENISA-val vagy az Európai Unióval, és azok nem támogatják.