Rīki · Ražotāja kontrolsaraksts

Atbilstības matrica

Katrs pienākums produktu ar digitāliem elementiem ražotājiem, izklāstīts visā produkta dzīves ciklā ar tā panta atsauci. Izstrādājiet to un izsekojiet savu progresu; viss kontrolsaraksts ir bezmaksas apskatāms. Progress tiek glabāts šajā pārlūkprogrammā.

0% pabeigts0 / 40 vienumi

Drukāt

Noklusējuma · route

Noklusējuma produkti var veikt pašnovērtējumu saskaņā ar A moduli. Paziņotā struktūra nav nepieciešama, taču joprojām jābūt pilnai tehniskajai dokumentācijai un DoC.

1 · Pamati

Uzņēmuma līmeņa pamati

0 / 4

Organizatoriskās prasības, kurām jābūt izpildītām pirms jebkāda produktam specifiska darba sākuma.

Dokumentēts drošas izstrādes dzīves ciklsUzturiet dokumentētu SDL, kas nosaka posmus, lomas un pienākumus. Ārēja sertifikācija (IEC 62443-4-1, ISO/IEC 27001) ir neobligāta, bet rada atbilstības prezumpciju.

13. panta 1. punkts · I pielikumsNeizpildīts

Atbilstības pierādījumi SDLJa nav ārējas sertifikācijas, glabājiet dokumentētus pierādījumus par iekšējo atbilstību SDL.

I pielikums · I daļaNeizpildīts

SDL aptver drošību pēc dizaina un drošību pēc noklusējumaJAUNSSDL skaidri jāatrunā, kā produkts samazina savu uzbrukuma virsmu bez galalietotāja konfigurācijas.

I pielikums · I(2)(3)Neizpildīts

ES pilnvarotais pārstāvis (ražotājiem ārpus ES)JAUNSRažotājiem ārpus ES ar rakstisku pilnvaru jāieceļ ES iedibināts pārstāvis, kas norādīts tehniskajā dokumentācijā un DoC.

Art. 19Neizpildīts

2 · Pirms izstrādes

Pirms izstrādes sākuma

0 / 9

Klasifikācija, riska novērtējums un tehniskie priekšnosacījumi nosaka tvērumu visam, kas seko.

Noteikt produkta klasifikācijuJAUNSPIEEJAMS RĪKSIdentificējiet, vai produkts ir noklusējuma, svarīgs I/II klase vai kritisks (III un IV pielikums). Klasifikācija nosaka atbilstības novērtēšanas ceļu.

III/IV pielikumsNeizpildīts

Identificēt atbilstības novērtēšanas ceļuJAUNSNoklusējuma: A moduļa pašnovērtējums. Svarīgs I klase: A modulis ar saskaņoto standartu, citādi B+C vai H. Svarīgs II klase un kritisks: vienmēr ar paziņoto struktūru. Izpildes laiki 4–10 mēneši ir izplatīti.

32. pants · VIII pielikumsNeizpildīts

Produktam specifisks kiberdrošības riska novērtējumsPirms izstrādes veiciet riska novērtējumu. Saglabājiet visas versijas; sākotnējā pirmsizstrādes versija ir tehniskās dokumentācijas daļa.

I pielikums · I(1)Neizpildīts

Apdraudējumu modelēšanaJAUNSIdentificējiet uzbrukuma virsmu, apdraudējuma izpildītājus, uzbrukuma vektorus un no tiem izrietošās drošības prasības. Dokumentējiet izmantoto metodiku.

I pielikums · I(1)Neizpildīts

Trešās puses un atvērtā pirmkoda komponentu politikaJAUNSPIEEJAMS RĪKSNosakiet, kā trešo pušu un atvērtā pirmkoda komponenti tiek atlasīti, novērtēti un apstiprināti, tostarp minimālo EOL un ievainojamību reaģēšanas pienākumus.

I pielikums · II daļaNeizpildīts

EOL pārbaude rīkiem un atkarībāmPIEEJAMS RĪKSPārbaudiet visu galveno rīku, kodolu, datubāzu un bibliotēku aprites cikla beigu datumu. Izvairieties no komponentiem, kuru EOL iestājas produkta atbalsta laikā.

I pielikums · II daļaNeizpildīts

Glabāšanas šifrēšanas iespējamībaApstipriniet, ka mērķa aparatūra atbalsta datu šifrēšanu miera stāvoklī; obligāta prasība, kas var likt mainīt aparatūru.

I pielikums · I(4)(e)Neizpildīts

Minimālas uzbrukuma virsmas projektējumsJAUNSPlānojiet pēc noklusējuma noņemt vai atspējot katru saskarni, pakalpojumu, portu un protokolu, kas nav nepieciešams paredzētajai funkcijai.

I pielikums · I(2)(b)Neizpildīts

Noklusējuma akreditācijas datu politikaJAUNSPiegādājiet bez noklusējuma parolēm vai pieprasiet lietotājam pirmajā lietošanas reizē iestatīt unikālu akreditācijas datu kopu.

I pielikums · I(2)(c)Neizpildīts

3 · Izstrāde

Izstrādes laikā

0 / 5

Droša kodēšana, testēšana un atjaunināšanas mehānisms, dokumentēti visā izstrādes gaitā.

Uz kiberdrošību vērsts testēšanas plānsTesta scenāriji, kas vērsti uz autentifikāciju, piekļuves kontroli, ievaddatu validāciju, šifrēšanu un kļūdu apstrādi. Dokumentēti un saglabāti tehniskajā dokumentācijā.

I pielikums · I(1)Neizpildīts

SDL atbilstības pierādījumiPierādiet ar dokumentētiem pierādījumiem, ka SDL tika ievērots katrā posmā.

I pielikums · I daļaNeizpildīts

Ielaušanās testēšana / ievainojamību novērtējumsJAUNSPirms laišanas tirgū veiciet drošības testēšanu produktam vai reprezentatīvai versijai.

I pielikums · I(1)Neizpildīts

Drošs programmatūras atjaunināšanas mehānismsJAUNSAutentificēts, integritātes ziņā pārbaudīts atjaunināšanas mehānisms, ko ierīce var pārbaudīt pirms instalēšanas un kas ir automātisks, kur tas iespējams.

I pielikums · I(2)(f)Neizpildīts

Datu minimizēšanaJAUNSVāciet, apstrādājiet un glabājiet tikai datus, kas obligāti nepieciešami paredzētajai funkcijai.

I pielikums · I(4)(f)Neizpildīts

4 · Pirms laišanas tirgū

Pirms produkta laišanas tirgū

0 / 12

SBOM, tīkla audits, EOL, atbilstības novērtēšana, CE zīme un tehniskā dokumentācija.

SBOM sagatavots un pārbaudīts attiecībā uz ievainojamībāmPIEEJAMS RĪKSSagatavojiet SBOM, kas aptver vismaz visas augstākā līmeņa atkarības, un pārliecinieties, ka nevienam komponentam nav zināmas, jau izlabotas ievainojamības. Atrisināta CVE iekļaušana ir tiešs pārkāpums.

I pielikums · II(1)Neizpildīts

SBOM mašīnlasāmā formātāJAUNSPIEEJAMS RĪKSGlabājiet SBOM kā SPDX vai CycloneDX (JSON/XML). PDF var tikt noraidīts kā mašīnneizlasāms.

I pielikums · II daļaNeizpildīts

Ienākošo savienojumu sarakstsUzskaitiet un atsevišķi pamatojiet katru ienākošo savienojumu un atvērto portu; pēc noklusējuma noņemiet vai atspējojiet visu, kas nav nepieciešams.

I pielikums · I(2)(b)Neizpildīts

Izejošo savienojumu sarakstsAuditējiet un pamatojiet visus izejošos savienojumus, tostarp tos, kas nāk no OS, trešo pušu bibliotēkām un telemetrijas.

I pielikums · I daļaNeizpildīts

Deklarēt produkta aprites cikla beigasPIEEJAMS RĪKSAprēķiniet un deklarējiet EOL; tas nedrīkst pārsniegt galveno atkarību EOL. Minimālais atbalsta periods 5 gadi, ja vien paredzamais lietošanas laiks nav īsāks.

Art. 13(8)Neizpildīts

Pabeidziet atbilstības novērtēšanuJAUNSVeiciet piemērojamo procedūru (A modulis vai B+C / H / paziņotā struktūra) un dokumentējiet to pirms CE marķējuma piestiprināšanas.

Art. 32Neizpildīts

Sagatavot ES atbilstības deklarācijuJAUNSPIEEJAMS RĪKSSagatavojiet un parakstiet DoC saskaņā ar V pielikumu, atsaucoties uz regulu, produktu un novērtēšanas procedūru. Glabājiet pieejamu 10 gadus.

28. pants · V pielikumsNeizpildīts

Piestiprināt CE marķējumuJAUNSPiestipriniet redzamu, salasāmu, neizdzēšamu CE marķējumu. No 2027. gada 11. dec. bez CE marķējuma nav piekļuves ES tirgum.

Art. 30Neizpildīts

Apkopot tehnisko dokumentācijuJAUNSApkopojiet VII pielikuma paketi: aprakstu, riska novērtējumu, SDL pierādījumus, testu rezultātus, SBOM, savienojumu auditus, DoC un EOL deklarāciju.

31. pants · VII pielikumsNeizpildīts

10 gadu glabāšanas plānsJAUNSArhivējiet visu tehnisko dokumentāciju, tostarp katru SBOM versiju, vismaz 10 gadus no pirmās laišanas tirgū.

Art. 31(3)Neizpildīts

Lietotājam paredzētā dokumentācijaJAUNSPaziņojiet paredzēto lietojumu, kiberdrošības īpašības, kā konfigurēt drošību, deklarēto EOL un kā ziņot par ievainojamībām.

II pielikums · 13. panta 18. punktsNeizpildīts

Publicēta kontaktinformācija ievainojamību izpaušanaiJAUNSPublicējiet vienotu, aktīvi uzraudzītu kontaktpunktu ievainojamību ziņošanai.

Art. 13(5)Neizpildīts

5 · Pēc laišanas tirgū

Pēc produkta laišanas tirgū

0 / 10

Pastāvīga uzraudzība, 14. panta ziņošanas grafiks un atjaunināšanas pienākumi visā atbalsta periodā.

Atjauniniet riska novērtējumu būtisku izmaiņu gadījumāPārvērtējiet, kad tiek konstatētas būtiskas izmaiņas produktā, nozīmīgs jauns apdraudējums vai izmantota ievainojamība; dokumentējiet iemeslu un rezultātu.

I pielikums · I(1)Neizpildīts

Automatizēta SBOM ievainojamību uzraudzībaPIEEJAMS RĪKSIzvietojiet rīkus, kas uzrauga SBOM komponentus attiecībā pret reāllaika plūsmām (NVD, EUVD, OSV) pietiekami bieži, lai ievērotu 24 stundu ziņošanas logu. Manuāla uzraudzība ir nepietiekama.

Art. 14Neizpildīts

24 stundu sākotnējais ievainojamības ziņojumsJAUNSUzzinot par aktīvi izmantotu ievainojamību, iesniedziet sākotnējo ziņojumu 24 stundu laikā, izmantojot ENISA vienoto ziņošanas platformu. Piemēro no 2026. gada 11. sept.

Art. 14(2)Neizpildīts

72 stundu tehniskais ziņojumsJAUNS72 stundu laikā iesniedziet detalizētu tehnisku ziņojumu ENISA un nacionālajai CSIRT, ietverot smaguma pakāpi un jebkādus seku mazināšanas pasākumus.

Art. 14(3)Neizpildīts

Galīgais ziņojums 14 dienu laikā pēc novēršanasJAUNSIesniedziet galīgo ziņojumu ne vēlāk kā 14 dienu laikā pēc tam, kad ir pieejams drošības atjauninājums vai apvedrisinājums.

Art. 14(4)Neizpildīts

Ziņošana par nopietniem incidentiemJAUNSZiņojiet par nopietniem incidentiem, kas ietekmē produkta drošību, ievērojot to pašu 24/72 stundu termiņu.

Art. 14(2)Neizpildīts

Automātisks atjauninājums trešo pušu ievainojamībāmUzturiet automātisku atjaunināšanas sistēmu, kas spēj labot trešo pušu komponentu ievainojamības. Labojums 24 stundu laikā atbrīvo no ziņošanas, nevis no labošanas.

Art. 14(2)(a)Neizpildīts

Drošības atjauninājumi bez maksasJAUNSNodrošiniet visus drošības atjauninājumus bez maksas visu atbalsta perioda laiku.

Art. 13(9)Neizpildīts

Iepriekšējs paziņojums par aprites cikla beigāmJAUNSPaziņojiet lietotājiem vismaz 12 mēnešus pirms pēdējā drošības atjauninājuma, kur tas iespējams.

Art. 13(8)Neizpildīts

Korektīvie pasākumi neatbilstošiem produktiemJAUNSNovērsiet trūkumus, izņemiet no tirgus vai atsauciet neatbilstošus produktus un informējiet tirgus uzraudzību. Bezdarbība pati par sevi ir pārkāpums.

Art. 13(14)Neizpildīts

Kontrolsaraksta beigas · visi 40 iepriekš parādītie vienumi

Eksportēt (neobligāti)

Eksportējiet savu matricu ar pašreizējo progresu

Viss iepriekš minētais ir bezmaksas lasāms un drukājams. Lai lejupielādētu kontrolsarakstu un savu reāllaika statusu kā izklājlapu vai PDF, atstājiet e-pasta adresi, un mēs jūs pievienosim CRA jaunumu vēstkopai.