OBL-ART13-02Binding
在投放市场前开展网络安全风险评估
- 适用于
- Manufacturer
- 来源引用
- Art. 13(2)Annex I Part I §1
Last reviewed
通俗语言
在销售产品之前,您必须以书面形式评估其安全风险。这不是走过场——评估结果必须实际影响您的设计和构建方式。记录您考虑了哪些威胁、发现了哪些风险,以及您采取了哪些措施加以应对。
法律文本
《欧盟法规(EU)2024/2847》第13条第2款要求,含数字元素的产品制造商应参照附件I第I部分规定的基本网络安全要求,对含数字元素的产品相关的网络安全风险进行评估。
该评估应贯穿产品的规划、设计、开发、生产、交付和维护各个阶段,以期最大限度降低网络安全风险、防止安全事件发生,并将此类事件的影响降至最低。
主要要求
- 上市前风险评估——在产品投放市场之前完成
- 风险驱动设计——评估结论必须纳入产品设计决策
- 全生命周期范围——涵盖规划、设计、开发、生产、交付和维护阶段
- 文件记录——风险评估构成附件VII所要求的技术文档的组成部分
- 相称性原则——评估深度必须与风险相称
与其他义务的关系
本义务是第13条大多数其他义务的基础。风险评估驱动以下方面:
- 附件I第I部分的适用要求及其适用方式
- 适当的合格评定路径(模块A、B+C或H)
- 声明的支持期限(OBL-ART13-08)
- 分发前需要处理的漏洞(OBL-ART13-05)
可能需要的证据
- 网络安全风险评估文件(STRIDE、TARA或等效方法)
- 包含攻击面分析的威胁模型
- 与设计决策挂钩的风险处置决策
- 证明产品变更时评估已相应更新的记录