OBL-ART13-01Binding
在产品全生命周期内确保产品安全(安全设计)
- 适用于
- Manufacturer
- 来源引用
- Art. 13(1)Art. 13(2)Annex I Part I §1
Last reviewed
通俗语言
您的产品必须从第一天起就将安全纳入考量。这意味着在发布产品之前识别安全风险,在设计阶段(而非事后补救)作出安全决策,并在产品的整个支持生命周期内持续应对安全问题。可将其理解为"安全设计"理念——您需要有文件记录的流程,而不仅仅是良好的意图。
法律文本
《欧盟法规(EU)2024/2847》第13条第1款要求,含数字元素的产品制造商应确保产品的设计、开发和生产符合附件I第I部分规定的基本网络安全要求。
第13条第2款进一步要求,制造商应对含数字元素的产品相关的网络安全风险进行评估,同时考虑对用户安全与安全性的风险。
主要要求
- 设计阶段风险评估——识别并记录安全风险
- 安全开发流程——在整个开发过程中适用附件I第I部分要求
- 默认安全配置——不得存在默认不安全状态
- 最小化攻击面——禁用不必要的功能和端口
- 全生命周期安全——在设计、开发和生产阶段全程落实安全要求
可能需要的证据
- 产品网络安全风险评估(文件记录)
- 安全开发生命周期政策
- 体现安全决策的架构与设计文件
- 证明符合附件I要求的测试记录