Anexo I — Requisitos esenciales de ciberseguridad
El anexo normativo del CRA que establece los requisitos esenciales de ciberseguridad que todos los productos con elementos digitales deben cumplir. La Parte I enumera los requisitos de propiedades de seguridad del producto; la Parte II enumera los requisitos de gestión de vulnerabilidades que deben satisfacerse durante el ciclo de vida del producto.
Citas de fuentes
Véase también
Estructura del Anexo I
Parte I — Requisitos de propiedades del producto (§ 1–2)
Los fabricantes deben asegurarse de que los productos se diseñen, desarrollen y produzcan de modo que garanticen un nivel adecuado de ciberseguridad. Los productos deben:
- Entregarse sin vulnerabilidades conocidas explotables
- Tener configuraciones seguras por defecto
- Proteger la confidencialidad, integridad y disponibilidad de los datos
- Minimizar la superficie de ataque
- Protegerse contra accesos no autorizados
- Garantizar la integridad mediante mecanismos de verificación
Parte II — Requisitos de gestión de vulnerabilidades (§ 1–9)
Los fabricantes deben:
- Identificar y documentar las vulnerabilidades del producto
- Proporcionar actualizaciones de seguridad sin demora
- Divulgar públicamente las vulnerabilidades no resueltas
- Elaborar y mantener un SBOM
- Establecer y documentar una política de CVD
- Compartir información con los CSIRT y la ENISA
- Corregir las vulnerabilidades y divulgar los detalles correspondientes
- Garantizar que las actualizaciones de seguridad se distribuyen sin costes adicionales
Relación con los procedimientos de evaluación de la conformidad
La conformidad con el Anexo I se demuestra a través de los procedimientos establecidos en el Artículo 32 (para productos predeterminados y menos críticos) o con la participación de un organismo notificado (para productos importantes de clase II y productos críticos).