Załącznik I
Podstawowy wykaz wymagań technicznych CRA. Część I zawiera zasadnicze wymagania dotyczące cyberbezpieczeństwa, które produkty muszą spełniać w chwili wprowadzania do obrotu. Część II opisuje wymagania procesowe dotyczące obsługi podatności, które producenci muszą utrzymywać przez cały okres wsparcia produktu.
Cytowania źródeł
Zobacz też
Przegląd
Załącznik I do Rozporządzenia (UE) 2024/2847 dzieli się na dwie części:
Część I — Zasadnicze wymagania dotyczące cyberbezpieczeństwa
Wymagania dotyczące produktu obejmują m.in.:
- Projekt, tworzenie i produkowanie produktów bez znanych podatności możliwych do wykorzystania
- Domyślna bezpieczna konfiguracja i możliwość resetowania do stanu fabrycznego
- Ochrona poufności i integralności przechowywanych, przesyłanych i przetwarzanych danych
- Ograniczenie powierzchni ataku, w tym minimalizacja niezamierzonych interfejsów sieciowych
- Odporność na dostępność — ochrona przed atakami DoS
Część II — Wymagania dotyczące obsługi podatności
Wymagania procesowe obejmują m.in.:
- Identyfikacja i dokumentacja podatności (SBOM)
- Szybkie usuwanie i ujawnianie podatności
- Polityka koordynowanego ujawniania podatności (CVD)
- Zgłaszanie aktywnie eksploatowanych podatności do ENISA
- Bezpieczna dystrybucja aktualizacji zabezpieczeń