Een cyberbeveiligingsrisicobeoordeling uitvoeren vóór het op de markt brengen

Artikel 13(2) van Verordening (EU) 2024/2847 vereist dat fabrikanten van producten met digitale elementen, rekening houdend met de essentiële cyberbeveiligingsvereisten uit Bijlage I Deel I, een beoordeling uitvoeren van de cyberbeveiligingsrisico's die verbonden zijn aan een product met digitale elementen.

Deze beoordeling moet worden meegenomen in de plannings-, ontwerp-, ontwikkelings-, productie-, leverings- en onderhoudsfasen van het product, met als doel cyberbeveiligingsrisico's te minimaliseren, beveiligingsincidenten te voorkomen en de gevolgen van dergelijke incidenten te beperken.

1. Risicobeoordeling vóór het op de markt brengen — afgerond voordat het product op de markt wordt gebracht
2. Op risico gebaseerd ontwerp — bevindingen moeten worden meegenomen in productontwerpbeslissingen
3. Volledige levenscyclusdekking — omvat planning, ontwerp, ontwikkeling, productie, levering en onderhoud
4. Documentatie — de risicobeoordeling maakt deel uit van de technische documentatie vereist door Bijlage VII
5. Evenredigheid — de diepgang van de beoordeling moet evenredig zijn aan de risico's

Deze verplichting is de basis voor de meeste andere Art. 13-verplichtingen. De risicobeoordeling bepaalt:

• Welke vereisten van Bijlage I Deel I van toepassing zijn en hoe
• De passende conformiteitsbeoordelingsroute (Module A, B+C of H)
• De gedeclareerde ondersteuningsperiode (OBL-ART13-08)
• Welke kwetsbaarheden vóór distributie moeten worden aangepakt (OBL-ART13-05)

• Cyberbeveiligingsrisicoboordelingsdocument (STRIDE, TARA of gelijkwaardige methodiek)
• Bedreigingsmodel met aanvalsoppervlakanalyse
• Risicobehandelingsbeslissingen gekoppeld aan ontwerpkeuzes
• Verslagen waaruit blijkt dat de beoordeling werd bijgewerkt wanneer het product werd gewijzigd