Allegato I — Requisiti essenziali di cybersicurezza
L'allegato normativo del CRA che stabilisce i requisiti essenziali di cybersicurezza che tutti i prodotti con elementi digitali devono soddisfare. La Parte I elenca i requisiti relativi alle proprietà di sicurezza del prodotto; la Parte II elenca i requisiti di gestione delle vulnerabilità che devono essere rispettati durante il ciclo di vita del prodotto.
Citazioni fonti
Vedi anche
Struttura dell'Allegato I
Parte I — Requisiti relativi alle proprietà del prodotto (§ 1–2)
I fabbricanti devono assicurarsi che i prodotti siano progettati, sviluppati e prodotti in modo da garantire un livello adeguato di cybersicurezza. I prodotti devono:
- Essere consegnati senza vulnerabilità sfruttabili note
- Avere configurazioni sicure per impostazione predefinita
- Proteggere la riservatezza, l'integrità e la disponibilità dei dati
- Ridurre al minimo la superficie di attacco
- Proteggersi da accessi non autorizzati
- Garantire l'integrità mediante meccanismi di verifica
Parte II — Requisiti di gestione delle vulnerabilità (§ 1–9)
I fabbricanti devono:
- Identificare e documentare le vulnerabilità del prodotto
- Fornire aggiornamenti di sicurezza senza indugio
- Divulgare pubblicamente le vulnerabilità non risolte
- Elaborare e mantenere un SBOM
- Stabilire e documentare una politica di CVD
- Condividere le informazioni con i CSIRT e l'ENISA
- Correggere le vulnerabilità e divulgarne i dettagli
- Garantire la distribuzione gratuita degli aggiornamenti di sicurezza
Relazione con le procedure di valutazione della conformità
La conformità all'Allegato I è dimostrata attraverso le procedure di cui all'articolo 32 (per i prodotti predefiniti e meno critici) o con la partecipazione di un organismo notificato (per i prodotti importanti di classe II e i prodotti critici).