Neodvisni vodnik po Uredbi (EU) 2024/2847 · Status: v veljavi
Ta stran je samodejni (UI) prevod in je oseba ni pregledala.
Pot do skladnosti · Smernice

Vodnik CRA za razvijalce programske opreme

Kako se akt o kibernetski odpornosti uporablja za programske izdelke; od varnega razvoja do obravnavanja ranljivosti, SBOM in oznake CE.

Velja za
Programska oprema z digitalnimi elementi
Skladnost
Standardi ali tretja oseba
Obdobje podpore
Opredeljeno, ≥ pričakovana uporaba

Koraki za skladnost

1

Potrdite področje uporabe in razred

Art. 2 · 6

Večina programske opreme, dane na trg EU s podatkovno povezavo, spada na področje uporabe, mnoga razvijalska orodja pa sodijo v 'pomembno' kategorijo iz Priloge III.

  • Zaženite hitri pregled CRA, da potrdite področje uporabe
  • Ugotovite, ali je vaš izdelek privzet, pomemben ali kritičen
  • Utemeljitev zabeležite v svoji dokumentaciji
Orodje za ta korak
2

Vgradite varnost po zasnovi

Annex I · I

Izdelek zasnujte in razvijte tako, da skozi celoten življenjski cikel izpolnjuje bistvene varnostne lastnosti.

  • Dobavite privzeto varno konfiguracijo
  • Uporabite avtentikacijo in nadzor dostopa
  • Podatke zaščitite s šifriranjem med prenosom in v mirovanju
  • Čim bolj zmanjšajte napadalno površino in izpostavljene vmesnike
Pogosta past

Puščanje vmesnikov za razhroščevanje, privzetih poverilnic ali podrobnega izpisa napak omogočenih v produkcijskih različicah.

Orodje za ta korak
3

Vzpostavite obravnavanje ranljivosti

Annex I · II

Izvajajte dokumentiran postopek za odkrivanje, odpravljanje in razkrivanje ranljivosti skozi obdobje podpore.

  • Objavite politiko usklajenega razkrivanja ranljivosti
  • Zagotovite kontaktno točko za prijavo težav
  • Ranljivosti odpravite brez nepotrebnega odlašanja
  • Razkrijte odpravljene ranljivosti, ko je posodobitev na voljo
4

Vzdržujte seznam sestavin programske opreme

Priloga I · II(1)

Vzdržujte aktualen SBOM, ki zajema vsaj odvisnosti najvišje ravni vašega izdelka.

  • Ustvarite SBOM v strojno berljivi obliki
  • Spremljajte komponente in njihove znane ranljivosti
  • Posodabljajte ga ob vsaki izdaji
Orodje za ta korak
5

Dobavljajte brezplačne, pravočasne varnostne posodobitve

Annex I · I(2)

Varnostne posodobitve zagotavljajte ločeno od funkcijskih posodobitev, brezplačno, za deklarirano obdobje podpore.

  • Opredelite in objavite obdobje podpore
  • Varnostne posodobitve zagotavljajte nemudoma
  • Popravke distribuirajte prek varnega mehanizma
6

Sestavite tehnično dokumentacijo

Priloga VII

Pripravite dokumentacijo, ki dokazuje skladnost, in jo imejte na voljo za nadzor trga.

  • Opis izdelka in predvidena uporaba
  • Ocena kibernetskovarnostnih tveganj
  • Evidence o uporabljenih standardih
7

Ocenite skladnost in namestite CE

Art. 32 · 36

Izvedite pot ugotavljanja skladnosti za svoj razred in izpolnite izjavo EU o skladnosti.

  • Ocenite se sami (privzeto) ali uporabite priglašeni organ (pomembno/kritično)
  • Sestavite in podpišite izjavo EU o skladnosti
  • Namestite oznako CE
Orodje za ta korak
8

Izpolnjujte obveznosti poročanja in vzdržujte izdelek

Art. 13(8) · 14

Od septembra 2026 obveščajte o aktivno izkoriščenih ranljivostih in resnih incidentih ter izdelek vzdržujte skozi celotno obdobje podpore.

  • V 24 urah predložite zgodnje opozorilo ENISA in CSIRT
  • Nadaljujte s priglasitvijo in končnim poročilom
  • Kjer je primerno, obvestite prizadete uporabnike
Vaša tekoča obveznost

Obdobje podpore mora trajati vsaj pet let (ali pričakovano življenjsko dobo izdelka, če je daljša), šteto od dajanja na trg EU. Ves ta čas morate obravnavati ranljivosti in zagotavljati brezplačne varnostne posodobitve; vsaka posodobitev mora nato ostati na voljo 10 let, tehnično dokumentacijo in izjavo EU pa je treba hraniti 10 let.

Brezplačna orodja za to vlogo

Vsako spodnje orodje je brezplačno za uporabo in se odpre tukaj v stranskem podoknu, da ne izgubite svojega mesta.

BrezplačnoHitri pregled CRA

Potrdite, ali akt velja, in svoj verjetni razred.

Odpri tukaj →BrezplačnoMatrika skladnosti

Preslikajte vsako obveznost iz Prilog I in VII ter jo spremljajte do dokončanja.

Odpri tukaj →BrezplačnoKalkulator stroškov

Ocenite enkratne in letne stroške skladnosti.

Odpri tukaj →BrezplačnoAnalizator ranljivosti

Navzkrižno primerjajte svoj SBOM z NVD in EUVD ter spremljajte komponente ob koncu življenjske dobe.

Odpri tukaj →BrezplačnoGenerator DoC

Ustvarite izjavo EU o skladnosti (Priloga V) za svoj izdelek.

Odpri tukaj →BrezplačnoIskalnik klasifikacije

Natančno določite, ali je vaš izdelek privzet, pomemben ali kritičen, po imenu.

Odpri tukaj →BrezplačnoNačrtovalnik obdobja podpore

Nastavite svoje najkrajše obdobje podpore in označite komponente, ki prehitro dosežejo konec življenjske dobe.

Odpri tukaj →
Več smernic

Drugi vodniki za deležnike

M

Proizvajalci

Obveznosti, ki jih akt o kibernetski odpornosti nalaga proizvajalcem izdelkov z digitalnimi elementi; od ocene tveganja do oznake CE in dolžnosti po dajanju na trg.

Preberi ta vodnik →
I

Uvozniki in distributerji

Kaj morajo gospodarski subjekti preveriti pred dajanjem izdelka z digitalnimi elementi na trg EU in po njem.

Preberi ta vodnik →
CE

Kako pridobiti oznako CE

Koraki za deklariranje skladnosti in namestitev oznake CE za izdelek z digitalnimi elementi.

Preberi vodnik →