Ghid CRA pentru dezvoltatorii de software

Majoritatea software-ului introdus pe piața UE cu o conexiune de date intră în domeniul de aplicare, iar multe instrumente pentru dezvoltatori se încadrează în categoria „importantă” din anexa III.

• ✓Efectuați verificarea rapidă CRA pentru a confirma domeniul de aplicare
• ✓Identificați dacă produsul dumneavoastră este implicit, important sau critic
• ✓Consemnați raționamentul în documentația dumneavoastră

Proiectați și dezvoltați produsul astfel încât să îndeplinească proprietățile esențiale de securitate pe tot parcursul ciclului său de viață.

• ✓Livrați o configurație securizată în mod implicit
• ✓Aplicați controale de autentificare și de acces
• ✓Protejați datele prin criptare în tranzit și în repaus
• ✓Reduceți la minimum suprafața de atac și interfețele expuse

Operați un proces documentat de identificare, remediere și divulgare a vulnerabilităților pe toată durata perioadei de asistență.

• ✓Publicați o politică de divulgare coordonată a vulnerabilităților
• ✓Furnizați un punct de contact pentru raportarea problemelor
• ✓Remediați vulnerabilitățile fără întârzieri nejustificate
• ✓Divulgați vulnerabilitățile remediate odată ce o actualizare este disponibilă

Mențineți un SBOM actualizat care să acopere cel puțin dependențele de nivel superior ale produsului dumneavoastră.

• ✓Generați un SBOM într-un format care poate fi citit automat
• ✓Monitorizați componentele și vulnerabilitățile lor cunoscute
• ✓Mențineți-l actualizat la fiecare lansare

Furnizați actualizările de securitate separat de actualizările de funcționalități, gratuit, pe durata perioadei de asistență declarate.

• ✓Definiți și publicați perioada de asistență
• ✓Furnizați actualizările de securitate cu promptitudine
• ✓Distribuiți corecțiile printr-un mecanism securizat

Întocmiți documentația care demonstrează conformitatea și păstrați-o la dispoziția supravegherii pieței.

• ✓Descrierea produsului și utilizarea prevăzută
• ✓Evaluarea riscurilor de securitate cibernetică
• ✓Evidențe ale standardelor aplicate

Parcurgeți procedura de evaluare a conformității pentru clasa dumneavoastră și completați declarația de conformitate UE.

• ✓Autoevaluare (implicit) sau recurgerea la un organism notificat (important/critic)
• ✓Redactați și semnați declarația de conformitate UE
• ✓Aplicați marcajul CE

Începând cu septembrie 2026, notificați vulnerabilitățile exploatate în mod activ și incidentele grave și continuați să întrețineți produsul pe toată durata perioadei sale de asistență.

• ✓Transmiteți o avertizare timpurie ENISA și CSIRT-ului în termen de 24 de ore
• ✓Continuați cu o notificare și un raport final
• ✓Informați utilizatorii afectați, după caz