Självskattning av CRA-mognad
Bedöm 25 rutiner inom fem områden för att se hur mogen er produktsäkerhet är enligt Cyber Resilience Act, och få en skräddarsydd checklista för vad som bör förbättras härnäst. Allt körs i din webbläsare och sparas lokalt.
Baserad på ENISA:s SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, juli 2026), återgiven med erkännande av källan. Denna webbplats är oberoende och inte anknuten till ENISA eller EU.
Styrning och dokumentation
1.1Har ni skriftliga och godkända policyer för produktsäkerhet?
1.2Är roller och ansvar tydligt definierade för produktsäkerhetsaktiviteter (t.ex. utveckling, sårbarhetshantering, uppdateringar)?
1.3Underhåller ni teknisk dokumentation på produktnivå som beskriver implementerade säkerhetsfunktioner, riskbedömningar, designbeslut och uppdateringsrutiner?
1.4Finns det en process för att regelbundet granska produktsäkerheten och kvaliteten på den tillhörande dokumentationen?
1.5Känner ni till den marknadskontrollmyndighet som ansvarar för att upprätthålla CRA, det förfarande för bedömning av överensstämmelse som gäller för era produkter, samt hur ni ska interagera med berörda myndigheter vid behov?
Riskhantering och säkerhet genom design
2.1Genomför ni cybersäkerhetsriskbedömningar och använder resultaten för att styra beslut om produktdesign, utveckling, konfiguration och komponenthantering?
2.2Utformas produkter enligt principerna för säkerhet genom design redan från början?
2.3Levereras produkter med säkra standardkonfigurationer och standardinställningar?
2.4Genomför ni säkerhetskontroller och tester innan en produkt släpps eller uppdateras, och i vilken utsträckning används automatiserade verktyg?
2.5När risker förändras eller nya hot uppstår, granskas och uppdateras riskbedömningar, konfigurationer och tredjepartskomponenter?
Sårbarhets- och patchhantering
3.1Har ni en process för att ta emot, bekräfta, registrera och följa upp sårbarheter som rapporteras av kunder, forskare eller intern personal?
3.2Har ni en definierad process för att skapa, testa, leverera och kommunicera säkerhetsuppdateringar till kunder för produkter som stöds?
3.3Underhåller och använder ni en SBOM för att stödja hantering av sårbarheter och beroenden?
3.4Prioriteras sårbarheter och uppdateringar utifrån risk och potentiell påverkan?
3.5Verifierar ni att säkerhetsuppdateringar faktiskt löser rapporterade sårbarheter, och sparar ni belägg för denna verifiering?
Produktlivscykelhantering
4.1Finns det ett definierat tillvägagångssätt för att hantera produktsäkerhet under driftsfasen?
4.2Hanteras produktens livscykel aktivt, inklusive definierade stödperioder, ansvar för uppdateringar, utfasningsarrangemang och kommunikation med kunder?
4.3Används erfarenheter från produktdrift, granskningar efter incidenter och kundåterkoppling för att förbättra produkterna över tid?
4.4Finns det ett strukturerat och testat sätt att hantera identifierade produktsäkerhetsproblem?
4.5Övervakas produkter under drift för att identifiera säkerhetsrisker, sårbarheter och nya hot?
Medvetenhet, kompetens och färdigheter
5.1Finns tillräcklig kompetens för att utforma, utveckla och underhålla produkter på ett säkert sätt, inklusive genom extern expertis där den interna kapaciteten är begränsad?
5.2Får relevant personal lämplig utbildning i cybersäkerhetsrutiner som är relevanta för deras roller, inklusive produktriskhantering, sårbarhetshantering och säkerhet genom design?
5.3Främjar organisationen en kultur av ansvarsfull produktutveckling, öppen rapportering och medvetenhet om produktrisker?
5.4Följer ni relevant extern information om produktsäkerhet (t.ex. rådgivningar, varningar)?
5.5Bedömer och verifierar ni att teamet har den kompetens och de färdigheter som krävs för att underhålla säkra produkter?
Anpassad efter ENISA:s SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, juli 2026), återgiven med erkännande av källan enligt ENISA:s juridiska meddelande. Denna interaktiva version tillhandahålls endast i informationssyfte och utgör inte professionell eller juridisk rådgivning; den ersätter inte en formell bedömning av överensstämmelse. cyberresilienceact.eu är oberoende och varken anknutet till eller godkänt av ENISA eller Europeiska unionen.
