CRA brieduma pašnovērtējums
Novērtējiet 25 prakses piecās jomās, lai uzzinātu, cik briedusi ir jūsu produktu drošības sistēma atbilstoši Kiberstabilitātes aktam, un saņemiet pielāgotu kontrolsarakstu ar turpmākajiem uzlabojumiem. Viss darbojas jūsu pārlūkprogrammā un tiek saglabāts lokāli.
Balstīts uz ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, 2026. gada jūlijs), pārpublicēts, norādot avotu. Šī vietne ir neatkarīga un nav saistīta ar ENISA vai ES.
Pārvaldība un dokumentācija
1.1Vai jums ir rakstiskas un apstiprinātas produktu drošības politikas?
1.2Vai produktu drošības darbībām (piemēram, izstrādei, ievainojamību pārvaldībai, atjauninājumiem) ir skaidri noteiktas lomas un pienākumi?
1.3Vai jūs uzturat produkta līmeņa tehnisko dokumentāciju, kas apraksta ieviestās drošības funkcijas, riska novērtējumus, izstrādes lēmumus un atjaunināšanas procedūras?
1.4Vai pastāv process produktu drošības un saistītās dokumentācijas kvalitātes regulārai pārskatīšanai?
1.5Vai jums ir zināms, kura tirgus uzraudzības iestāde ir atbildīga par CRA piemērošanu, kāda atbilstības novērtēšanas procedūra attiecas uz jūsu produktiem, un kā vajadzības gadījumā sazināties ar attiecīgajām iestādēm?
Riska pārvaldība un iebūvēta drošība
2.1Vai jūs veicat kiberdrošības riska novērtējumus un izmantojat to rezultātus, lai virzītu lēmumus par produkta izstrādi, izveidi, konfigurāciju un komponentu pārvaldību?
2.2Vai produkti jau no paša sākuma tiek izstrādāti, ievērojot iebūvētas drošības principus?
2.3Vai produkti tiek piegādāti ar drošiem noklusējuma konfigurācijas iestatījumiem?
2.4Vai pirms produkta izlaišanas vai atjaunināšanas veicat drošības pārbaudes un testēšanu, un kādā mērā tiek izmantoti automatizēti rīki?
2.5Vai, mainoties riskiem vai rodoties jauniem draudiem, tiek pārskatīti un atjaunināti riska novērtējumi, konfigurācijas un trešo pušu komponenti?
Ievainojamību un ielāpu pārvaldība
3.1Vai jums ir process, lai saņemtu, apstiprinātu, reģistrētu un izsekotu klientu, pētnieku vai iekšējo darbinieku paziņotās ievainojamības?
3.2Vai jums ir noteikts process drošības atjauninājumu izstrādei, testēšanai, piegādei un paziņošanai klientiem par atbalstītajiem produktiem?
3.3Vai jūs uzturat un izmantojat SBOM, lai atbalstītu ievainojamību un atkarību pārvaldību?
3.4Vai ievainojamības un atjauninājumi tiek prioritizēti, ņemot vērā risku un iespējamo ietekmi?
3.5Vai jūs pārbaudāt, ka drošības atjauninājumi efektīvi novērš paziņotās ievainojamības, un saglabājat šīs pārbaudes pierādījumus?
Produkta dzīves cikla pārvaldība
4.1Vai ir noteikta pieeja produktu drošības pārvaldībai darbības posmā?
4.2Vai produkta dzīves cikla pārvaldība tiek aktīvi vadīta, tostarp noteikti atbalsta periodi, atjaunināšanas pienākumi, dzīves cikla beigu kārtība un saziņa ar klientiem?
4.3Vai pieredze no produkta darbības, incidentu pēcpārbaudēm un klientu atsauksmēm tiek izmantota produktu uzlabošanai laika gaitā?
4.4Vai pastāv strukturēts un pārbaudīts veids identificēto produktu drošības problēmu risināšanai?
4.5Vai produkti darbības laikā tiek pārraudzīti, lai identificētu drošības riskus, ievainojamības un jaunus draudus?
Informētība, kompetence un prasmes
5.1Vai ir pieejamas pietiekamas prasmes, lai droši izstrādātu, izveidotu un uzturētu produktus, tostarp izmantojot ārējus ekspertus gadījumos, kad iekšējā kapacitāte ir ierobežota?
5.2Vai attiecīgie darbinieki saņem savai lomai atbilstošu apmācību par kiberdrošības praksi, tostarp produktu riska pārvaldību, ievainojamību pārvaldību un iebūvētu drošību?
5.3Vai organizācija veicina atbildīgas produktu izstrādes, atklātas ziņošanas un produktu risku apzināšanās kultūru?
5.4Vai sekojat līdzi attiecīgai ārējai informācijai par produktu drošību (piemēram, paziņojumiem, brīdinājumiem)?
5.5Vai jūs izvērtējat un pārliecināties, ka jūsu komandai ir nepieciešamās prasmes un kompetence drošu produktu uzturēšanai?
Pielāgots no ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, 2026. gada jūlijs), pārpublicēts, norādot avotu, saskaņā ar ENISA juridisko paziņojumu. Šī interaktīvā versija tiek sniegta tikai informatīvos nolūkos un nav profesionāla vai juridiska konsultācija; tā neaizstāj formālu atbilstības novērtēšanu. cyberresilienceact.eu ir neatkarīga vietne un nav saistīta ar ENISA vai Eiropas Savienību, kā arī tās neapstiprina.
