Sebahodnotenie zrelosti CRA
Ohodnoťte 25 postupov v piatich oblastiach a zistite, aká vyspelá je vaša bezpečnosť produktov podľa nariadenia Cyber Resilience Act, a získajte prispôsobený kontrolný zoznam odporúčaní na ďalšie zlepšenie. Všetko prebieha vo vašom prehliadači a ukladá sa lokálne.
Na základe modelu ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, júl 2026), prevzaté s uvedením zdroja. Táto stránka je nezávislá a nie je spojená s agentúrou ENISA ani EÚ.
Riadenie a dokumentácia
1.1Máte písomné a schválené politiky bezpečnosti produktov?
1.2Sú jasne definované úlohy a zodpovednosti za činnosti súvisiace s bezpečnosťou produktu (napr. vývoj, riadenie zraniteľností, aktualizácie)?
1.3Udržiavate technickú dokumentáciu na úrovni produktu, ktorá popisuje implementované bezpečnostné funkcie, posúdenia rizík, rozhodnutia o návrhu a postupy aktualizácie?
1.4Existuje proces pravidelného preskúmania bezpečnosti produktu a kvality súvisiacej dokumentácie?
1.5Poznáte orgán dohľadu nad trhom zodpovedný za presadzovanie CRA, postup posudzovania zhody vzťahujúci sa na vaše produkty a spôsob komunikácie s príslušnými orgánmi v prípade potreby?
Riadenie rizík a bezpečnosť už v návrhu
2.1Vykonávate posúdenia kybernetickobezpečnostných rizík a využívate ich výsledky na usmernenie rozhodnutí o návrhu, vývoji, konfigurácii a riadení komponentov produktu?
2.2Sú produkty od začiatku navrhované na základe zásad bezpečnosti už v návrhu?
2.3Sú produkty dodávané s konfiguráciami a nastaveniami bezpečnými už v predvolenom stave?
2.4Vykonávate bezpečnostné kontroly a testovanie pred vydaním alebo aktualizáciou produktu, a do akej miery sa pritom využívajú automatizované nástroje?
2.5Preskúmavajú a aktualizujú sa posúdenia rizík, konfigurácie a komponenty tretích strán pri zmene rizík alebo vzniku nových hrozieb?
Riadenie zraniteľností a aktualizácií
3.1Máte zavedený proces prijímania, potvrdzovania, evidovania a sledovania zraniteľností nahlásených zákazníkmi, výskumníkmi alebo internými zamestnancami?
3.2Máte definovaný proces vytvárania, testovania, dodávania a komunikácie bezpečnostných aktualizácií zákazníkom pri podporovaných produktoch?
3.3Udržiavate a používate SBOM na podporu riadenia zraniteľností a závislostí?
3.4Sú zraniteľnosti a aktualizácie stanovované ako priorita na základe rizika a potenciálneho vplyvu?
3.5Overujete, že bezpečnostné aktualizácie skutočne odstraňujú nahlásené zraniteľnosti, a uchovávate o tomto overovaní dôkazy?
Riadenie životného cyklu produktu
4.1Existuje definovaný prístup k riadeniu bezpečnosti produktu počas prevádzkovej fázy?
4.2Je riadenie životného cyklu produktu aktívne riadené, vrátane definovaných období podpory, zodpovedností za aktualizácie, opatrení pri ukončení životnosti a komunikácie so zákazníkmi?
4.3Využívajú sa skúsenosti z prevádzky produktu, hodnotenia po incidentoch a podnety od zákazníkov na postupné zlepšovanie produktov?
4.4Existuje štruktúrovaný a overený spôsob riešenia identifikovaných bezpečnostných problémov produktu?
4.5Sú produkty počas prevádzky monitorované s cieľom identifikovať bezpečnostné riziká, zraniteľnosti a vznikajúce hrozby?
Povedomie, spôsobilosť a zručnosti
5.1Sú k dispozícii dostatočné zručnosti na bezpečný návrh, vývoj a údržbu produktov, a to aj prostredníctvom externých odborníkov v prípade obmedzenej internej kapacity?
5.2Absolvujú príslušní zamestnanci vhodné školenia o postupoch kybernetickej bezpečnosti relevantných pre ich úlohy, vrátane riadenia rizík produktu, riadenia zraniteľností a bezpečnosti už v návrhu?
5.3Podporuje organizácia kultúru zodpovedného vývoja produktov, otvoreného nahlasovania a povedomia o rizikách produktov?
5.4Sledujete relevantné externé informácie o bezpečnosti produktov (napr. odporúčania, upozornenia)?
5.5Posudzujete a overujete, či váš tím disponuje potrebnými zručnosťami a spôsobilosťou na udržiavanie bezpečných produktov?
Prispôsobené podľa modelu ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, júl 2026), prevzaté s uvedením zdroja v súlade s právnym upozornením agentúry ENISA. Táto interaktívna verzia slúži len na informačné účely a nepredstavuje odborné ani právne poradenstvo; nenahrádza formálne posúdenie zhody. cyberresilienceact.eu je nezávislá stránka, ktorá nie je spojená s agentúrou ENISA ani Európskou úniou, ani ňou nie je podporovaná.
