Zasadnicze wymagania dotyczące cyberbezpieczeństwa
Obowiązkowe właściwości techniczne i procesowe, które producenci muszą zapewnić swoim produktom z elementami cyfrowymi zgodnie z Załącznikiem I CRA. Wymagania są podzielone na dwie grupy: właściwości produktu (Część I) oraz procesy obsługi podatności (Część II). Spełnienie tych wymagań jest warunkiem uzyskania oznakowania CE.
Cytowania źródeł
Zobacz też
Przegląd
Artykuł 6 Rozporządzenia (UE) 2024/2847 zobowiązuje producentów do zapewnienia, że ich produkty spełniają zasadnicze wymagania dotyczące cyberbezpieczeństwa określone w Załączniku I.
Część I — Właściwości produktu
Kluczowe wymagania to m.in.:
- Brak znanych podatności możliwych do wykorzystania w chwili wprowadzania do obrotu
- Domyślna bezpieczna konfiguracja z możliwością przywrócenia ustawień fabrycznych
- Uwierzytelnianie z zastosowaniem zasad najlepszych praktyk
- Ochrona danych w tranzycie i w spoczynku
- Minimalizacja powierzchni ataku
- Bezpieczne usuwanie danych osobowych
- Bezpieczeństwo łańcucha dostaw — weryfikacja komponentów
Część II — Procesy obsługi podatności
Wymagania procesowe obejmują m.in.:
- Wdrożenie procesu zarządzania podatnościami (SBOM, śledzenie podatności)
- Koordynowane ujawnianie podatności (CVD)
- Dostarczanie aktualizacji zabezpieczeń przez cały okres wsparcia
- Zgłaszanie aktywnie eksploatowanych podatności do ENISA
Ocena zgodności
Producent musi wybrać odpowiednią procedurę z Załącznika VIII w zależności od kategorii produktu.