Nepriklausomas Reglamento (ES) 2024/2847 vadovas · Būsena: galioja
Šis puslapis yra automatinis (DI) vertimas ir nebuvo peržiūrėtas žmogaus.
Kelias į atitiktį · Gairės

CRA vadovas programinės įrangos kūrėjams

Kaip Kibernetinio atsparumo aktas taikomas programinės įrangos produktams; nuo saugaus kūrimo iki pažeidžiamumų valdymo, SBOM ir CE ženklinimo.

Taikoma
Skaitmeninių elementų turinti programinė įranga
Atitiktis
Standartai arba trečioji šalis
Paramos laikotarpis
Nustatytas, ≥ numatomo naudojimo trukmės

Atitikties veiksmai

1

Patvirtinkite taikymo sritį ir klasę

Art. 2 · 6

Dauguma ES rinkai pateiktos programinės įrangos su duomenų ryšiu patenka į taikymo sritį, o daug kūrėjų įrankių priskiriama III priedo „svarbių“ produktų kategorijai.

  • Atlikite CRA greitąją patikrą, kad patvirtintumėte taikymo sritį
  • Nustatykite, ar jūsų produktas yra numatytasis, svarbus ar ypatingos svarbos
  • Užfiksuokite pagrindimą savo dokumentacijoje
Šiam žingsniui skirtas įrankis
2

Užtikrinkite saugumą jau projektuojant

Annex I · I

Projektuokite ir kurkite produktą taip, kad jis atitiktų esmines saugumo savybes per visą savo gyvavimo ciklą.

  • Pateikite saugią konfigūraciją pagal numatytąsias nuostatas
  • Taikykite autentifikavimo ir prieigos kontrolės priemones
  • Apsaugokite duomenis šifruodami juos perdavimo metu ir saugomus
  • Minimizuokite atakų paviršių ir atviras sąsajas
Dažna klaida

Derinimo sąsajų, numatytųjų prisijungimo duomenų ar išsamios klaidų išvesties palikimas įjungtas gamybinėse versijose.

Šiam žingsniui skirtas įrankis
3

Įdiekite pažeidžiamumų valdymą

Annex I · II

Vykdykite dokumentuotą procesą pažeidžiamumams aptikti, ištaisyti ir atskleisti per visą paramos laikotarpį.

  • Paskelbkite koordinuoto pažeidžiamumų atskleidimo politiką
  • Pateikite kontaktinį punktą problemoms pranešti
  • Ištaisykite pažeidžiamumus be nepagrįsto delsimo
  • Atskleiskite pašalintus pažeidžiamumus, kai tik bus prieinamas atnaujinimas
4

Tvarkykite programinės įrangos medžiagų sąrašą

I priedas · II(1)

Turėkite atnaujintą SBOM, apimantį bent aukščiausio lygmens jūsų produkto priklausomybes.

  • Sugeneruokite SBOM mašininiu būdu nuskaitomu formatu
  • Stebėkite komponentus ir jų žinomus pažeidžiamumus
  • Atnaujinkite jį su kiekvienu išleidimu
Šiam žingsniui skirtas įrankis
5

Teikite nemokamus, laiku pateikiamus saugumo atnaujinimus

Annex I · I(2)

Teikite saugumo atnaujinimus atskirai nuo funkcinių atnaujinimų, nemokamai, per visą deklaruotą paramos laikotarpį.

  • Nustatykite ir paskelbkite paramos laikotarpį
  • Operatyviai teikite saugumo atnaujinimus
  • Platinkite pataisas saugiu mechanizmu
6

Surinkite techninę dokumentaciją

VII priedas

Parenkite dokumentaciją, įrodančią atitiktį, ir laikykite ją prieinamą rinkos priežiūrai.

  • Produkto aprašymas ir numatytas naudojimas
  • Kibernetinio saugumo rizikos vertinimas
  • Taikytų standartų įrašai
7

Įvertinkite atitiktį ir pažymėkite CE ženklu

Art. 32 · 36

Atlikite savo klasei taikytiną atitikties vertinimo procedūrą ir užpildykite ES atitikties deklaraciją.

  • Vertinkite savarankiškai (numatytasis) arba kreipkitės į notifikuotąją įstaigą (svarbus/ypatingos svarbos)
  • Surašykite ir pasirašykite ES atitikties deklaraciją
  • Pažymėkite CE ženklu
Šiam žingsniui skirtas įrankis
8

Vykdykite pranešimo prievoles ir prižiūrėkite produktą

Art. 13(8) · 14

Nuo 2026 m. rugsėjo praneškite apie aktyviai išnaudojamus pažeidžiamumus ir didelius incidentus bei toliau prižiūrėkite produktą visą jo paramos laikotarpį.

  • Per 24 valandas pateikite išankstinį įspėjimą ENISA ir CSIRT
  • Vėliau pateikite pranešimą ir galutinę ataskaitą
  • Prireikus informuokite paveiktus naudotojus
Jūsų nuolatinė prievolė

Paramos laikotarpis turi būti bent penkeri metai (arba numatoma produkto naudojimo trukmė, jei ji ilgesnė), skaičiuojant nuo pateikimo ES rinkai. Per visą jį privalote valdyti pažeidžiamumus ir teikti nemokamus saugumo atnaujinimus; kiekvienas atnaujinimas po to turi išlikti prieinamas 10 metų, o techninė byla ir ES deklaracija turi būti saugomos 10 metų.

Nemokami įrankiai šiam vaidmeniui

Kiekvienas toliau pateiktas įrankis yra nemokamas ir atsiveria čia, šoniniame skydelyje, kad neprarastumėte savo vietos.

NemokamaCRA greitoji patikra

Patvirtinkite, ar Aktas taikomas, ir nustatykite tikėtiną savo klasę.

Atverti čia →NemokamaAtitikties matrica

Susiekite kiekvieną I ir VII priedo prievolę ir stebėkite ją iki įgyvendinimo.

Atverti čia →NemokamaSąnaudų skaičiuoklė

Įvertinkite vienkartines ir metines atitikties sąnaudas.

Atverti čia →NemokamaPažeidžiamumų analizatorius

Sutikrinkite savo SBOM su NVD ir EUVD ir stebėkite gyvavimo ciklo pabaigą pasiekusius komponentus.

Atverti čia →NemokamaDoC generatorius

Sugeneruokite savo produkto ES atitikties deklaraciją (V priedas).

Atverti čia →NemokamaKlasifikacijos ieškiklis

Tiksliai nustatykite, ar jūsų produktas pagal pavadinimą yra numatytasis, svarbus ar ypatingos svarbos.

Atverti čia →NemokamaParamos laikotarpio planuoklis

Nustatykite savo minimalų paramos laikotarpį ir pažymėkite komponentus, kurie per anksti pasiekia gyvavimo ciklo pabaigą.

Atverti čia →
Daugiau gairių

Kiti vadovai suinteresuotiesiems subjektams

M

Gamintojai

Prievolės, kurias Kibernetinio atsparumo aktas nustato skaitmeninių elementų turinčių produktų gamintojams; nuo rizikos vertinimo iki CE ženklinimo ir po pateikimo rinkai kylančių prievolių.

Skaityti šį vadovą →
I

Importuotojai ir platintojai

Ką ekonominės veiklos vykdytojai turi patikrinti prieš; ir po; skaitmeninių elementų turinčio produkto pateikimo ES rinkai.

Skaityti šį vadovą →
CE

Kaip gauti CE ženklą

Veiksmai, kuriais deklaruojama atitiktis ir skaitmeninių elementų turintis produktas pažymimas CE ženklu.

Skaityti vadovą →