Bijlage I — Essentiële cyberbeveiligingseisen
De normatieve bijlage van de CRA die de essentiële cyberbeveiligingseisen vaststelt waaraan alle producten met digitale elementen moeten voldoen. Deel I bevat de eisen voor beveiligingseigenschappen van het product; Deel II bevat de eisen voor kwetsbaarheidsbeheer waaraan gedurende de levenscyclus van het product moet worden voldaan.
Bronvermeldingen
Zie ook
Structuur van Bijlage I
Deel I — Eisen voor producteigenschappen (§ 1–2)
Fabrikanten moeten waarborgen dat producten zo worden ontworpen, ontwikkeld en geproduceerd dat een passend niveau van cyberbeveiliging wordt gegarandeerd. Producten moeten:
- Worden geleverd zonder bekende misbruikbare kwetsbaarheden
- Veilige standaardconfiguraties hebben
- De vertrouwelijkheid, integriteit en beschikbaarheid van gegevens beschermen
- Het aanvalsoppervlak minimaliseren
- Beschermd zijn tegen ongeautoriseerde toegang
- Integriteit waarborgen via verificatiemechanismen
Deel II — Eisen voor kwetsbaarheidsbeheer (§ 1–9)
Fabrikanten moeten:
- Kwetsbaarheden en productcomponenten identificeren en documenteren
- Beveiligingsupdates onverwijld leveren
- Niet-verholpen kwetsbaarheden openbaar bekendmaken
- Een SBOM opstellen en bijhouden
- Een CVD-beleid opstellen en documenteren
- Informatie delen met CSIRT's en ENISA
- Kwetsbaarheden verhelpen en bijbehorende details openbaar maken
- Ervoor zorgen dat beveiligingsupdates kosteloos worden verspreid
Relatie met conformiteitsbeoordelingsprocedures
Conformiteit met Bijlage I wordt aangetoond via de procedures van artikel 32 (voor standaard- en minder kritische producten) of met betrokkenheid van een aangemelde instantie (voor belangrijke klasse II-producten en kritieke producten).