CRA-vaatimustenmukaisuus Goverilla
Kyberkestävyyssäädös (Cyber Resilience Act, CRA) asettaa kyberturvallisuusvaatimuksia digitaalisia elementtejä sisältäville tuotteille.
Yleiskatsaus
| Ominaisuus | Arvo |
|---|---|
| Koko nimi | Cyber Resilience Act |
| Lainkäyttöalue | Euroopan unioni |
| Tila | Hyväksytty 2024 |
| Soveltamisala | Tuotteet, joissa on digitaalisia elementtejä |
Soveltamisala
CRA koskee:
- Laitteistotuotteita, joissa on digitaalisia elementtejä
- Ohjelmistotuotteita
- Etätietojenkäsittelyratkaisuja
- Komponentteja ja lisätarvikkeita
Poikkeukset
- Lääkinnälliset laitteet (MDR:n alaiset)
- Moottoriajoneuvot (ajoneuvosäädösten alaiset)
- Ilmailutuotteet
- Avoin lähdekoodi (ei-kaupallinen)
Keskeiset vaatimukset
Sisäänrakennettu turvallisuus (Security by Design)
- Turvallinen kehityselinkaari
- Haavoittuvuuksien hallinta
- Tietoturvatestaus
Tuotevaatimukset
- Ei tunnettuja hyväksikäytettäviä haavoittuvuuksia
- Turvallinen oletuskonfiguraatio
- Luottamuksellisuuden ja eheyden suojaaminen
- Minimoitu hyökkäyspinta-ala
Haavoittuvuuksien käsittely
- Koordinoitu haavoittuvuuksien paljastaminen
- Tietoturvapäivitykset tuotteen elinkaaren ajan
- Vähintään 5 vuoden tukijakso
Dokumentaatio
- Tekninen dokumentaatio
- EU-vaatimustenmukaisuusvakuutus
- Käyttöohjeet
Goverin käyttö CRA:lle
1. Lisää CRA-viitekehys
- Mene kohtaan Viitekehykset → Lisää viitekehys
- Valitse mallipohjista CRA
- Lisää työtilaasi
2. Arvioi tuoteportfolio
Tunnista soveltamisalan piiriin kuuluvat tuotteet:
- Laitteet digitaalisilla elementeillä
- Ohjelmistotuotteet
- Yhdistetyt laitteet (IoT)
3. Yhdistä kehityshallintakeinot
Linkitä hallintakeinot seuraaville alueille:
- Turvallinen kehityselinkaari
- Tietoturvatestaus
- Haavoittuvuuksien hallinta
- Häiriönhallinta
4. Dokumentoi vaatimustenmukaisuus
Valmistele vaaditut asiakirjat:
- Tekninen dokumentaatio
- Riskinarvioinnit
- Vaatimustenmukaisuusvakuutukset
Vaatimustenmukaisuusaikataulu
| Virstanpylväs | Päivämäärä |
|---|---|
| Voimaantulo | 2024 |
| Raportointivelvoitteet | 21 kuukautta myöhemmin |
| Täysi soveltaminen | 36 kuukautta myöhemmin |
Tuotekategoriat
Oletuskategoria
- Itsearviointi
- Suurin osa tuotteista
Tärkeät tuotteet (Luokka I)
- Kolmannen osapuolen arviointimahdollisuus
- Identiteetinhallinta, VPN:t, jne.
Kriittiset tuotteet (Luokka II)
- Pakollinen kolmannen osapuolen arviointi
- Käyttöjärjestelmät, palomuurit, jne.