附属書I
CRAの主要な技術的要件の一覧。第I部は製品が市場投入時に満たさなければ ならない必須サイバーセキュリティ要件を定める。第II部は製造業者が製品の サポート期間全体を通じて維持しなければならない脆弱性対応の要件を規定する。
出典引用
概要
規則(EU)2024/2847の附属書Iは二つの部に分かれている:
第I部 — 必須サイバーセキュリティ要件
製品要件の主な項目:
- 既知の悪用可能な脆弱性のない設計・開発・製造
- デフォルトセキュアな構成と工場出荷時状態へのリセット機能
- 保存・転送・処理されるデータの機密性と完全性の保護
- 意図しないネットワークインタフェースの最小化を含む攻撃面の低減
- DoS攻撃に対する可用性耐性
第II部 — 脆弱性対応要件
プロセス要件の主な項目:
- 脆弱性の特定と文書化(SBOM)
- 迅速な脆弱性の修正と開示
- 脆弱性の協調的開示(CVD)ポリシー
- 積極的に悪用されている脆弱性のENISAへの報告
- セキュリティアップデートの安全な配布