Zapewnienie bezpieczeństwa produktu przez cały cykl życia (bezpieczny przez projektowanie)
- Dotyczy
- Manufacturer
- Cytowania źródeł
- Art. 13(1)Art. 13(2)Annex I Part I §1
- Klasy produktów
- DefaultImportant — Class IImportant — Class IICritical
Prosty język
Produkt musi być budowany z myślą o bezpieczeństwie od pierwszego dnia. Oznacza to identyfikowanie zagrożeń bezpieczeństwa przed wprowadzeniem do obrotu, podejmowanie decyzji projektowych dotyczących bezpieczeństwa (nie zaś jako element dodatkowy) oraz kontynuowanie działań na rzecz bezpieczeństwa przez cały obsługiwany okres życia produktu. Należy to traktować jako „bezpieczeństwo przez projektowanie" — wymagany jest udokumentowany proces, a nie jedynie dobre intencje.
Tekst prawny
Artykuł 13 ust. 1 rozporządzenia (UE) 2024/2847 wymaga, aby producenci produktów z elementami cyfrowymi zapewniali projektowanie, opracowywanie i wytwarzanie produktów zgodnie z zasadniczymi wymogami w zakresie cyberbezpieczeństwa określonymi w Załączniku I Część I.
Artykuł 13 ust. 2 nakłada ponadto obowiązek przeprowadzenia przez producentów oceny ryzyka cyberbezpieczeństwa związanego z produktem z elementami cyfrowymi, z uwzględnieniem ryzyka dla bezpieczeństwa i ochrony użytkowników.
Kluczowe wymagania
- Ocena ryzyka na etapie projektowania — identyfikacja i dokumentowanie zagrożeń bezpieczeństwa
- Bezpieczny proces opracowywania — stosowanie wymogów Załącznika I Część I przez cały czas
- Domyślnie bezpieczna konfiguracja — brak domyślnych stanów niebezpiecznych
- Minimalizacja powierzchni ataku — wyłączenie zbędnych funkcji i portów
- Bezpieczeństwo przez cały cykl życia — bezpieczeństwo uwzględniane na etapach projektowania, opracowywania i wytwarzania
Dokumenty, które mogą być wymagane
- Udokumentowana ocena ryzyka cyberbezpieczeństwa produktu
- Polityka bezpiecznego cyklu opracowywania
- Dokumenty dotyczące architektury i projektowania uwzględniające decyzje w zakresie bezpieczeństwa
- Zapisy testowe potwierdzające zgodność z Załącznikiem I