OBL-ART13-02Binding
在投放市場前進行網路安全風險評估
- 適用於
- Manufacturer
- 來源引用
- Art. 13(2)Annex I Part I §1
Last reviewed
通俗語言
在銷售產品之前,您必須以書面形式評估其安全風險。這不是一個勾選式練習——調查結果必須 改變您設計和建構產品的方式。記錄您考慮了哪些威脅、發現了哪些風險以及您採取了哪些措施 來應對它們。
法律條文
《歐盟法規》(EU) 2024/2847 第13條第(2)款要求,含數位元素之產品的製造商應考量附件I 第I部分所規定的基本網路安全要求,對含數位元素之產品相關的網路安全風險進行評估。
該評估應在產品的規劃、設計、開發、生產、交付和維護階段加以考量,以期最小化網路安全風險、 防止安全事件,並將此類事件的影響降至最低。
主要要求
- 投放市場前的風險評估 — 在將產品投放市場前完成
- 以風險為導向的設計 — 評估結果必須納入產品設計決策
- 全生命週期範疇 — 涵蓋規劃、設計、開發、生產、交付和維護
- 文件記錄 — 風險評估構成附件VII所要求技術文件的一部分
- 相稱性 — 評估的深度必須與風險相稱
與其他義務的關係
本義務是大多數第13條義務的基礎。風險評估驅動:
- 附件I第I部分中哪些要求適用及其適用方式
- 適當的合格評鑑路徑(模組A、B+C或H)
- 申報的支援期間(OBL-ART13-08)
- 分發前需要解決的漏洞(OBL-ART13-05)
可能需要的證據
- 網路安全風險評估文件(採用STRIDE、TARA或等效方法論)
- 含攻擊面分析的威脅模型
- 與設計選擇相關聯的風險處置決策
- 顯示產品變更時評估已更新的記錄