Przeprowadzenie oceny ryzyka cyberbezpieczeństwa przed wprowadzeniem do obrotu

Artykuł 13 ust. 2 rozporządzenia (UE) 2024/2847 wymaga, aby producenci produktów z elementami cyfrowymi — uwzględniając zasadnicze wymogi w zakresie cyberbezpieczeństwa określone w Załączniku I Część I — przeprowadzili ocenę ryzyka cyberbezpieczeństwa związanego z produktem z elementami cyfrowymi.

Ocena ta musi być uwzględniana na etapach planowania, projektowania, opracowywania, wytwarzania, dostarczania i konserwacji produktu, w celu minimalizacji ryzyk cyberbezpieczeństwa, zapobiegania incydentom bezpieczeństwa oraz ograniczania skutków takich incydentów.

1. Ocena ryzyka przed wprowadzeniem do obrotu — ukończona przed wprowadzeniem produktu na rynek
2. Projektowanie oparte na ryzyku — wyniki oceny muszą stanowić podstawę decyzji projektowych
3. Zakres obejmujący pełny cykl życia — obejmuje planowanie, projektowanie, opracowywanie, wytwarzanie, dostarczanie i konserwację
4. Dokumentacja — ocena ryzyka stanowi część dokumentacji technicznej wymaganej przez Załącznik VII
5. Proporcjonalność — głębokość oceny musi być proporcjonalna do ryzyk

Niniejszy obowiązek stanowi podstawę większości pozostałych obowiązków z Art. 13. Ocena ryzyka determinuje:

• które wymogi Załącznika I Część I mają zastosowanie i w jaki sposób
• właściwą ścieżkę oceny zgodności (Moduł A, B+C lub H)
• zadeklarowany okres wsparcia (OBL-ART13-08)
• jakie podatności należy usunąć przed dystrybucją (OBL-ART13-05)

• Dokument oceny ryzyka cyberbezpieczeństwa (metodologia STRIDE, TARA lub równoważna)
• Model zagrożeń z analizą powierzchni ataku
• Decyzje dotyczące postępowania z ryzykiem powiązane z wyborami projektowymi
• Zapisy potwierdzające aktualizowanie oceny przy modyfikacji produktu