Het CRA technisch dossier: wat staat er in elke sectie (Bijlage VII)

Het technisch dossier is uw bewijspakket voor CRA-compliance. Markttoezichtautoriteiten zullen het opvragen. Aangemelde instanties zullen het onderzoeken. Zonder een volledig technisch dossier kunt u uw product wettelijk niet op de EU-markt brengen.

Deze gids ontleedt Bijlage VII sectie voor sectie, legt uit wat elke sectie vereist en hoe u deze voorbereidt.

Samenvatting

• Het technisch dossier documenteert hoe uw product voldoet aan de essentiële vereisten van de CRA
• Moet worden voorbereid vóór marktplaatsing en bewaard worden gedurende 10 jaar na de laatste marktplaatsing
• Bevat: productbeschrijving, risicobeoordeling, ontwerpdocumentatie, SBOM, testresultaten, conformiteitsbewijzen
• Autoriteiten kunnen het op elk moment opvragen, en onvolledige dossiers betekenen non-compliance
• Begin vroeg: het opbouwen van een goed technisch dossier duurt maanden, niet weken

Wat is het technisch dossier?

Het technisch dossier (ook wel "technische documentatie" genoemd) is het complete bewijspakket dat aantoont dat uw product voldoet aan de CRA-vereisten.

Het is niet:

• Marketingdocumentatie
• Alleen gebruikshandleidingen
• Een afvinkexercitie

Het is:

• Uitvoerig technisch bewijs
• Levende documentatie (bijgewerkt gedurende de productlevensduur)
• Uw verdediging bij markttoezichtonderzoeken
• Vereist voor conformiteitsbeoordeling

Belangrijk: Het technisch dossier moet worden voorbereid VÓÓR marktplaatsing en bewaard worden gedurende 10 jaar na de laatste eenheid die op de markt is gebracht. Autoriteiten kunnen het op elk moment opvragen.

Overzicht structuur Bijlage VII

Bijlage VII van de CRA specificeert de technische documentatievereisten:

STRUCTUUR TECHNISCH DOSSIER (Bijlage VII)

1. ALGEMENE BESCHRIJVING
   └── Productidentificatie en beoogd doel

2. ONTWERP EN ONTWIKKELING
   └── Hoe beveiliging is ingebouwd

3. CYBERBEVEILIGINGSRISICOBEOORDELING
   └── Geïdentificeerde en aangepakte risico's

4. ESSENTIËLE VEREISTEN
   └── Hoe Bijlage I-vereisten worden nageleefd

5. TOEGEPASTE NORMEN
   └── Gebruikte normen en afwijkingen

6. SOFTWARE BILL OF MATERIALS
   └── Componenten en afhankelijkheden

7. TESTRESULTATEN
   └── Verificatiebewijs

8. EU-CONFORMITEITSVERKLARING
   └── Of kopie daarvan

9. KWETSBAARHEIDSAFHANDELING
   └── Beveiligingsprocessen na marktplaatsing

Sectie 1: Algemene beschrijving

Doel: Vastleggen wat het product is en waarvoor het dient.

Vereiste inhoud

CHECKLIST ALGEMENE BESCHRIJVING

Productidentificatie:
[ ] Productnaam en modelnummer
[ ] Hardwareversie(s)
[ ] Software-/firmwareversie(s)
[ ] Format of reeks serienummers
[ ] Uniek productidentificatie

Beoogd doel:
[ ] Beschrijving primaire functie
[ ] Doelgebruikers/-omgeving
[ ] Beoogde gebruiksscenario's
[ ] Niet-beoogde gebruiken (uitsluitingen)

Productcategorie:
[ ] CRA-classificatie (Standaard/Belangrijk/Kritisch)
[ ] Onderbouwing voor classificatie
[ ] Gerelateerde productregelgeving (indien van toepassing)

Marktinformatie:
[ ] Datum eerste EU-marktplaatsing
[ ] Beoogde lidstaten
[ ] Distributiekanalen

Voorbeeld

ALGEMENE BESCHRIJVING

Productnaam: SmartSense Pro Industriële Sensor
Modelnummer: SSP-3000
Hardwareversie: Rev C (PCB v3.2)
Firmwareversie: 2.4.1

BEOOGD DOEL:
De SmartSense Pro is een industriële omgevingssensor
ontworpen voor monitoring van productiefaciliteiten.
Het meet temperatuur, vochtigheid en luchtkwaliteit,
en verstuurt gegevens via WiFi naar cloud- of lokale servers.

DOELGEBRUIKERS:
- Faciliteitsbeheerders
- Integratoren van industriële automatisering
- Milieunaleving officers

BEOOGDE OMGEVING:
- Binnenshuis industriële faciliteiten
- Bedrijfstemperatuur: -10°C tot +60°C
- Netwerk: WiFi 802.11 b/g/n

NIET BEOOGD VOOR:
- Medische of veiligheidskritieke toepassingen
- Buiteninstallatie
- Explosieve atmosferen
- Consument-/residentieel gebruik

CRA-CLASSIFICATIE:
Standaard product. Niet opgenomen in Bijlage III of IV.
Onderbouwing: Sensor voor algemeen gebruik zonder
beveiligingsfuncties of kritieke infrastructuurtoepassing.

EU-MARKTPLAATSING:
Eerste marktplaatsing: 15 maart 2027
Beoogde markten: Alle EU-lidstaten
Distributie: Directe verkoop en geautoriseerde distributeurs

Sectie 2: Ontwerp en ontwikkeling

Doel: Documenteren hoe beveiliging in het productontwerp is verwerkt.

Vereiste inhoud

CHECKLIST ONTWERPDOCUMENTATIE

Architectuur:
[ ] Systeemarchitectuurdiagram
[ ] Componentinteractiediagram
[ ] Datastroomdiagram
[ ] Vertrouwensgrenzen geïdentificeerd

Beveiligingsontwerp:
[ ] Beschrijving beveiligingsarchitectuur
[ ] Cryptografische implementaties
[ ] Authenticatiemechanismen
[ ] Autorisatiemodel
[ ] Veilige communicatieprotocollen
[ ] Gegevensbeschermingsmaatregelen

Ontwikkelproces:
[ ] Beschrijving veilige ontwikkellevenscyclus
[ ] Traceerbaarheid beveiligingsvereisten
[ ] Procedures voor codebeoordeling
[ ] Beveiligingstesten tijdens ontwikkeling
[ ] Configuratiebeheer

Wijzigingsbeheer:
[ ] Versiebeheerprocedures
[ ] Impactbeoordeling wijzigingen
[ ] Beveiligingscontrole bij wijzigingen

Hoe "Secure by Design" documentatie eruit ziet

OVERZICHT BEVEILIGINGSARCHITECTUUR

1. VERTROUWENSGRENZEN
   ┌─────────────────────────────────────────┐
   │            Cloud Backend                 │
   │  (Authenticatie, Gegevensopslag)         │
   └───────────────┬─────────────────────────┘
                   │ TLS 1.3
   ┌───────────────┴─────────────────────────┐
   │         Apparaatfirmware                 │
   │  ┌─────────────────────────────────┐    │
   │  │    Applicatielaag               │    │
   │  ├─────────────────────────────────┤    │
   │  │    Beveiligingsdiensten         │    │
   │  │  (Crypto, Auth, Secure Boot)    │    │
   │  ├─────────────────────────────────┤    │
   │  │    Hardwarebeveiliging          │    │
   │  │  (Secure Element, RNG)          │    │
   │  └─────────────────────────────────┘    │
   └─────────────────────────────────────────┘

2. AUTHENTICATIE
   - Apparaat-naar-cloud: Wederzijds TLS met apparaatcertificaten
   - Gebruiker-naar-apparaat: Lokale API vereist authenticatietoken
   - Certificaatinrichting: Fabrieksgeconfigureerd, uniek per apparaat

3. GEGEVENSBESCHERMING
   - Gegevens in rust: AES-256-GCM-versleuteling
   - Gegevens in transit: TLS 1.3 met certificate pinning
   - Gevoelige gegevens: Opgeslagen in secure element

4. UPDATEMECHANISME
   - Ondertekende firmware-updates (ECDSA P-256)
   - Handtekeningverificatie vóór installatie
   - Terugrolbeveiliging via versieteller
   - Automatische updatecontroles (door gebruiker configureerbaar)

Sectie 3: Cyberbeveiligingsrisicobeoordeling

Doel: Geïdentificeerde risico's en de aanpak ervan documenteren.

Vereiste inhoud

CHECKLIST RISICOBEOORDELING

Methode:
[ ] Risicobeoordelingsmethodologie beschreven
[ ] Scopedefinitie
[ ] Activa-identificatie
[ ] Bedreigingsidentificatieaanpak

Risicoanalyse:
[ ] Bedreigingen opgesomd
[ ] Kwetsbaarheden overwogen
[ ] Impactbeoordeling
[ ] Waarschijnlijkheidsbeoordeling
[ ] Risicobeoordelingen

Risicobehandeling:
[ ] Behandelingsbeslissingen per risico
[ ] Beveiligingscontroles gekoppeld aan risico's
[ ] Restrisicobeoordeling
[ ] Criteria voor acceptatie van restrisico's

Format risicobeoordeling

CYBERBEVEILIGINGSRISICOBEOORDELING

Product: SmartSense Pro (SSP-3000)
Versie: 2.4.1
Beoordelingsdatum: Januari 2027
Beoordelaar: [Naam, Beveiligingsteam]

METHODOLOGIE:
Gebaseerd op ISO 27005, aangepast voor productbeveiliging.
Risico = Waarschijnlijkheid × Impact
Schaal: Laag (1-4), Gemiddeld (5-9), Hoog (10-16), Kritiek (17-25)

─────────────────────────────────────────────────────────────
RISICO-ID: R-001
BEDREIGING: Ongeautoriseerde firmwarewijziging
KWETSBAARHEID: Niet-ondertekende firmware zou kunnen worden geïnstalleerd
IMPACT: Hoog (5) - Apparaatcompromittering, datalek
WAARSCHIJNLIJKHEID: Gemiddeld (3) - Vereist fysieke toegang
INHERENT RISICO: 15 (Hoog)

BEHEERSMAATREGEL: Verificatie firmwarehandtekening
IMPLEMENTATIE: ECDSA P-256-handtekening gecontroleerd vóór installatie
RESTRISICO: 3 (Laag) - Cryptografische aanval onwaarschijnlijk

STATUS: Gemitigeerd
─────────────────────────────────────────────────────────────
RISICO-ID: R-002
BEDREIGING: Man-in-the-middle-aanval op cloudcommunicatie
KWETSBAARHEID: Netwerkverkeerabonderschepping
IMPACT: Hoog (4) - Gegevensblootstelling, opdrachtinjectie
WAARSCHIJNLIJKHEID: Gemiddeld (3) - Openbare netwerken mogelijk
INHERENT RISICO: 12 (Hoog)

BEHEERSMAATREGEL: TLS 1.3 met certificate pinning
IMPLEMENTATIE: Vastgecodeerd CA-certificaat, geen fallback
RESTRISICO: 2 (Laag) - Certificaatcompromittering onwaarschijnlijk

STATUS: Gemitigeerd
─────────────────────────────────────────────────────────────
[Doorgaan voor alle geïdentificeerde risico's...]

RISICOSAMENVATTING:
Totaal geïdentificeerde risico's: 23
Kritiek: 0
Hoog: 3 (alle gemitigeerd naar Laag/Gemiddeld)
Gemiddeld: 8 (alle gemitigeerd naar Laag)
Laag: 12 (geaccepteerd of gemitigeerd)

ACCEPTATIE RESTRISICO:
Alle restrisico's vallen binnen acceptabele grenzen.
Ondertekend: [Hoofd Beveiliging], [Datum]

Sectie 4: Mapping essentiële vereisten

Doel: Aantonen hoe aan elke Bijlage I-vereiste wordt voldaan.

Bijlage I, Deel I Vereisten

Koppel elke vereiste aan uw implementatie:

NALEVINGSMATRIX ESSENTIËLE VEREISTEN

BIJLAGE I, DEEL I - BEVEILIGINGSVEREISTEN
═══════════════════════════════════════════════════════════

1. ONTWORPEN ZONDER BEKENDE UITBUITBARE KWETSBAARHEDEN
   Status: CONFORM
   Bewijs:
   - Kwetsbaarheidsscansrapport (Trivy): 0 kritiek/hoog
   - Afhankelijkheidsanalyse: Alle componenten op laatste veilige versies
   - Penetratietestrapport: Geen uitbuitbare kwetsbaarheden gevonden
   Referentie: Testrapport TR-2027-001, pagina's 15-23

2. STANDAARD VEILIGE CONFIGURATIE
   Status: CONFORM
   Bewijs:
   - Beoordelingsdocument standaardconfiguratie
   - Geen standaardwachtwoorden (unieke inloggegevens vereist bij inrichting)
   - Onnodige diensten standaard uitgeschakeld
   - Veilige protocollen standaard ingeschakeld (TLS, niet HTTP)
   Referentie: Ontwerpdocument DD-004, Sectie 3.2

3. BESCHERMING TEGEN ONGEAUTORISEERDE TOEGANG
   Status: CONFORM
   Bewijs:
   - Authenticatiearchitectuurdocument
   - Implementatie toegangscontrole
   - Sessiebeheersontwerp
   - Vergrendelmechanisme bij mislukte aanmeldingen
   Referentie: Beveiligingsarchitectuur SA-001, Hoofdstuk 4

4. VERTROUWELIJKHEID VAN GEGEVENS
   Status: CONFORM
   Bewijs:
   - Versleutelingsspecificaties (AES-256-GCM)
   - Sleutelbeheerprocessen
   - Gegevensclassificatie en -verwerking
   Referentie: Ontwerpdocument DD-005

5. INTEGRITEIT VAN GEGEVENS EN OPDRACHTEN
   Status: CONFORM
   Bewijs:
   - Berichtauthenticatie (HMAC)
   - Validatielogica opdrachten
   - Invoervalidatieprocedures
   Referentie: Beveiligingsarchitectuur SA-001, Hoofdstuk 5

6. DATAMINIMALISATIE
   Status: CONFORM
   Bewijs:
   - Gegevensinventarisdocument
   - Onderbouwing voor elk type verzamelde gegevens
   - Bewaarbeleid (automatisch verwijderen na 90 dagen)
   Referentie: Privacy Impact Assessment PIA-001

[Doorgaan voor alle Bijlage I-vereisten...]

Bijlage I, Deel II Vereisten

BIJLAGE I, DEEL II - KWETSBAARHEIDSAFHANDELING
═══════════════════════════════════════════════════════════

1. KWETSBAARHEDEN IDENTIFICEREN EN DOCUMENTEREN
   Status: CONFORM
   Bewijs:
   - Kwetsbaarheidsvolgingssysteem (JIRA-project VULN)
   - Processdocument CVE-monitoring
   - SBOM-gebaseerde tracking afhankelijkheden
   Referentie: Procesd ocument PD-VULN-001

2. KWETSBAARHEDEN ZONDER VERTRAGING AANPAKKEN
   Status: CONFORM
   Bewijs:
   - SLA-document kwetsbaarheidsrespons
   - Historische responstijdcijfers
   - Patchontwikkelingsproces
   Referentie: Processdocument PD-VULN-002

3. EFFECTIEF REGULIER TESTEN TOEPASSEN
   Status: CONFORM
   Bewijs:
   - Beveiligingstestschema
   - Geautomatiseerde scanrapporten (wekelijks)
   - Jaarlijkse penetratietestrapporten
   Referentie: Testplan TP-SEC-001

[Doorgaan voor alle Deel II-vereisten...]

Sectie 5: Toegepaste normen

Doel: Documenteren welke normen zijn gebruikt en op welke manier.

Vereiste inhoud

CHECKLIST NORMTOEPASSING

Normenlijst:
[ ] Alle toegepaste normen vermeld met versienummers
[ ] Geharmoniseerde normen afzonderlijk geïdentificeerd
[ ] Verwijzing naar publicatie in Publicatieblad (indien geharmoniseerd)

Toepassingsbewijs:
[ ] Hoe elke norm is toegepast
[ ] Welke clausules/secties van toepassing zijn
[ ] Eventuele afwijkingen of gedeeltelijke toepassing

Afwijkingsafhandeling:
[ ] Afwijkingen gedocumenteerd met onderbouwing
[ ] Alternatieve maatregelen voor afgeweken vereisten
[ ] Risicobeoordeling voor afwijkingen

Format normendocumentatie

TOEGEPASTE NORMEN

GEHARMONISEERDE NORMEN (vermoeden van conformiteit):
─────────────────────────────────────────────────────────────
Norm: EN 303 645 (wanneer geharmoniseerd voor CRA)
Titel: Cybersecurity voor consument-IoT
Status: Volledig toegepast
Publicatie: OJEU [referentie na publicatie]
Bewijs: Normnalevingsrapport SCR-001
─────────────────────────────────────────────────────────────

OVERIGE TOEGEPASTE NORMEN:
─────────────────────────────────────────────────────────────
Norm: IEC 62443-4-1:2018
Titel: Beveiliging voor industriële automatisering - Veilige ontwikkeling
Status: Toegepast (geselecteerde vereisten)
Toegepaste clausules: 5, 6, 7, 8, 10
Bewijs: SDL-documentatie SLD-001
─────────────────────────────────────────────────────────────
Norm: ISO/IEC 27001:2022
Titel: Informatiebeveiligingsbeheer
Status: Organisatie gecertificeerd (Certificaat #12345)
Relevantie: ISMS dekt productont wikkelingsprocessen
─────────────────────────────────────────────────────────────
Norm: NIST Cybersecurity Framework 2.0
Titel: Raamwerk voor verbetering cyberbeveiliging kritieke infrastructuur
Status: Referentieraamwerk voor risicobeoordeling
Bewijs: Methodologiedocument risicobeoordeling
─────────────────────────────────────────────────────────────

AFWIJKINGEN:
─────────────────────────────────────────────────────────────
Norm: EN 303 645
Clausule: 5.3-2 (Unieke inloggegevens per apparaat)
Afwijking: Inloggegevens uniek per apparaat maar niet vooraf ingericht
Onderbouwing: Apparaat vereist gebruikersinrichting; inloggegevens
              aangemaakt tijdens eerste configuratie
Alternatieve maatregel: Sterke wachtwoordvereisten afgedwongen,
                        accountvergrendeling na mislukte pogingen
Risicobeoordeling: Restrisico acceptabel (zie R-015)
─────────────────────────────────────────────────────────────

Sectie 6: Software Bill of Materials

Doel: Componenttransparantie bieden voor kwetsbaarheidsopsporing.

Vereiste inhoud

CHECKLIST SBOM-VEREISTEN

Formaat:
[ ] Machineleesbaar formaat (CycloneDX of SPDX)
[ ] Leesbare samenvatting voor mensen

Inhoud:
[ ] Alle softwarecomponenten vermeld
[ ] Componentversies gespecificeerd
[ ] Leveranciersinformatie opgenomen
[ ] Licentie-informatie opgenomen
[ ] Bekende kwetsbaarheden op beoordelingsmoment

Scope:
[ ] Directe afhankelijkheden
[ ] Transitieve afhankelijkheden
[ ] Besturingssysteemcomponenten (indien van toepassing)
[ ] Bibliotheken van derden

SBOM-documentatie

SOFTWARE BILL OF MATERIALS

Product: SmartSense Pro (SSP-3000)
Firmwareversie: 2.4.1
SBOM-formaat: CycloneDX 1.5
Gegenereerd: 2027-01-15
Tool: Trivy + syft

SBOM-BESTAND:
sbom-ssp3000-v2.4.1.json (bijgevoegd)

COMPONENTSAMENVATTING:
─────────────────────────────────────────────────────────────
Totaal componenten: 127
  Directe afhankelijkheden: 23
  Transitieve afhankelijkheden: 104

Per type:
  Bibliotheken: 98
  Frameworks: 12
  Besturingssysteem: 1 (FreeRTOS)
  Firmwaremodules: 16

Per licentie:
  MIT: 45
  Apache 2.0: 38
  BSD: 15
  LGPL: 8
  Eigendomsrechtelijk: 21 (interne componenten)
─────────────────────────────────────────────────────────────

KWETSBAARHEIDSSTATUS BIJ BEOORDELING:
─────────────────────────────────────────────────────────────
Scandatum: 2027-01-15
Scanner: Trivy v0.48.0

Kritiek: 0
Hoog: 0
Gemiddeld: 2 (geaccepteerd - zie hieronder)
Laag: 5 (geaccepteerd)

GEACCEPTEERDE KWETSBAARHEDEN:
CVE-2026-XXXXX (Gemiddeld): Component xyz v1.2.3
  Status: Niet uitbuitbaar in onze configuratie
  Onderbouwing: Functie niet ingeschakeld, codepad niet bereikbaar
  Herzieningsdatum: 2027-04-15

CVE-2026-YYYYY (Gemiddeld): Component abc v2.0.1
  Status: Gemitigeerd door netwerkcontroles
  Onderbouwing: Vereist lokale toegang, apparaat is netwerk-geïsoleerd
  Herzieningsdatum: 2027-04-15
─────────────────────────────────────────────────────────────

SBOM-UPDATECOMMITMENT:
SBOM wordt bijgewerkt bij elke firmwarerelease en op
verzoek beschikbaar gesteld aan klanten.

Sectie 7: Testresultaten

Doel: Bewijs leveren dat aan vereisten daadwerkelijk wordt voldaan.

Vereiste inhoud

CHECKLIST TESTDOCUMENTATIE

Testplanning:
[ ] Testplan met scope en doelstellingen
[ ] Testcases gekoppeld aan vereisten
[ ] Beschrijving testomgeving
[ ] Slaag-/zakcriterium

Testuitvoering:
[ ] Testuitvoeringsregistraties
[ ] Testresultatensamenvatting
[ ] Mislukte tests en oplossing
[ ] Hertestbewijs

Testtypen:
[ ] Functioneel beveiligingstesten
[ ] Kwetsbaarheidsscanning
[ ] Penetratietesten (indien van toepassing)
[ ] Fuzz testing (indien van toepassing)
[ ] Configuratiebeoordeling

Format testresultaten

SAMENVATTING TESTRESULTATEN

Product: SmartSense Pro (SSP-3000) v2.4.1
Testperiode: December 2026 - januari 2027
Testleider: [Naam]

═══════════════════════════════════════════════════════════
TESTCAMPAGNE: TC-2027-001
═══════════════════════════════════════════════════════════

1. FUNCTIONEEL BEVEILIGINGSTESTEN
   Scope: Authenticatie, autorisatie, versleuteling, secure boot
   Testcases: 85
   Geslaagd: 85
   Mislukt: 0
   Referentie: Testrapport TR-FUNC-001

2. KWETSBAARHEIDSSCANNING
   Tool: Trivy v0.48.0 + Nessus Professional
   Scope: Firmware, netwerkdiensten, webinterface
   Bevindingen:
     Kritiek: 0
     Hoog: 0
     Gemiddeld: 2 (geaccepteerd met onderbouwing)
     Laag: 5 (geaccepteerd)
   Referentie: Scanrapport SR-VULN-001

3. PENETRATIETESTEN
   Uitvoerder: [Naam externe partij]
   Scope: Black-box testen van geïmplementeerd apparaat
   Duur: 5 dagen
   Bevindingen:
     Kritiek: 0
     Hoog: 0
     Gemiddeld: 1 (verholpen vóór release)
     Laag: 3 (geaccepteerd)
   Referentie: Penetratietestrapport PT-2027-001

4. FIRMWAREANALYSE
   Tool: EMBA v1.3
   Scope: Binaire analyse, hardgecodeerde inloggegevens, crypto-problemen
   Bevindingen:
     Kritiek: 0
     Hoog: 0
     Informatief: 4
   Referentie: Firmwareanalyserapport FA-001

5. CONFIGURATIEBEOORDELING
   Scope: Beveiliging standaardconfiguratie
   Bevindingen: Alle standaardinstellingen voldoen aan beveiligingsvereisten
   Referentie: Configuratiebeoordeling CR-001

═══════════════════════════════════════════════════════════
ALGEHELE BEOORDELING: GESLAAGD
Alle kritieke en hoge bevindingen verholpen.
Gemiddelde/lage bevindingen geaccepteerd met gedocumenteerde onderbouwing.
═══════════════════════════════════════════════════════════

Sectie 8: EU-conformiteitsverklaring

Doel: De formele verklaring opnemen of ernaar verwijzen.

Vereiste inhoud

Het technisch dossier moet een kopie van de EU-conformiteitsverklaring bevatten of een verwijzing naar waar deze kan worden verkregen.

EU-CONFORMITEITSVERKLARING

(Zie afzonderlijk document conformiteitsverklaring of
voeg kopie op in technisch dossier)

Referentie: DoC-SSP3000-2027-001
Datum: 1 maart 2027
Locatie: Technisch dossier, Bijlage A

De EU-conformiteitsverklaring is bijgevoegd bij elk product
en beschikbaar om te downloaden via:
https://company.com/support/ssp3000/doc

Sectie 9: Procedures voor kwetsbaarheidsafhandeling

Doel: Beveiligingsprocessen na marktplaatsing documenteren.

Vereiste inhoud

CHECKLIST KWETSBAARHEIDSAFHANDELING

Intake:
[ ] Contactmethoden gedocumenteerd (e-mail, webformulier, security.txt)
[ ] CVD-beleid gepubliceerd
[ ] Communicatieprocedures voor onderzoekers

Proces:
[ ] Triageprocedures
[ ] Ernstbeoordelingsmethodologie
[ ] Escalatiepaden
[ ] Workflow patchontwikkeling
[ ] Testprocedures voor patches

Communicatie:
[ ] Klantmeldingsprocedures
[ ] Publicatieproces adviezen
[ ] ENISA-meldingsintegratie (bij actief misbruik)

Monitoring:
[ ] Kwetsbaarheidsmonitoring afhankelijkheden
[ ] CVE-databasemonitoring
[ ] Bronnen voor bedreigingsinformatie

Documentatie kwetsbaarheidsafhandeling

PROCEDURES KWETSBAARHEIDSAFHANDELING

1. CONTACTMETHODEN
   Primair: security@company.com
   Webformulier: https://company.com/security/report
   security.txt: https://company.com/.well-known/security.txt
   CVD-beleid: https://company.com/security/disclosure-policy

2. RESPONSVERPLICHTINGEN
   Bevestiging: Binnen 3 werkdagen
   Initiële beoordeling: Binnen 10 werkdagen
   Statusupdates: Elke 14 dagen
   Doelstelling oplossing: 90 dagen (kritiek: 7 dagen)

3. INTERN PROCES
   [Stroomdiagram of procesbeschrijving]
   Zie: Procesd ocument PD-VULN-003

4. DISTRIBUTIE PATCHES
   Mechanisme: OTA-updates via cloudinfrastructuur
   Melding: In-app melding + e-mail aan geregistreerde gebruikers
   Verificatie: Ondertekende updates met terugrolcapaciteit

5. ENISA-MELDING
   Trigger: Actief misbruik gedetecteerd
   Tijdlijn: 24u eerste melding, 72u gedetailleerd rapport
   Verantwoordelijke: Teamleider Beveiliging
   Proces: Zie PD-ENISA-001

6. HISTORISCH OVERZICHT
   Afgehandelde kwetsbaarheden (afgelopen 24 maanden): 3
   Gemiddelde oplossingstijd: 45 dagen
   ENISA-rapporten ingediend: 0

Onderhoud technisch dossier

Levende documentatie

Het technisch dossier is niet statisch:

UPDATETRIGGERS TECHNISCH DOSSIER

VERPLICHTE UPDATES:
- Nieuwe firmware-/softwareversie
- Uitgebrachte beveiligingspatch
- Ontdekte en aangepakte kwetsbaarheid
- Ontwerpwijziging die beveiliging beïnvloedt
- Normupdate (als toegepaste normen wijzigen)
- SBOM-wijzigingen (nieuwe/bijgewerkte componenten)

PERIODIEKE BEOORDELINGEN:
- Per kwartaal: SBOM en kwetsbaarheidsstatus
- Jaarlijks: Volledige beoordeling technisch dossier
- Vóór einde ondersteuningsperiode: Definitieve documentatiebevriezing

VERSIEBEHEER:
- Alle documenten onder versiebeheer
- Wijzigingengeschiedenis bijgehouden
- Eerdere versies gearchiveerd

Bewaringsvereisten

Opmerking: "10 jaar na de laatste eenheid op de markt gebracht" betekent dat als u producten verkoopt tot 2030, de bewaring loopt tot 2040. Plan uw documentopslag dienovereenkomstig.

DOCUMENTBEWARING

Bewaartermijn: 10 jaar na laatste eenheid op markt gebracht

Voorbeeldtijdlijn:
- Product eerste keer op markt gebracht: Maart 2027
- Laatste eenheid op markt gebracht: December 2030
- Documentbewaring tot: December 2040

Opslagvereisten:
- Veilige, toegankelijke opslag
- Back-upprocedures
- Integriteitsbescherming
- Beschikbaar binnen [48 uur] op verzoek van autoriteiten

Veelgemaakte fouten

Waarschuwing: Een technisch dossier dat alleen versie 1.0 beschrijft terwijl uw product op versie 2.3 is, wordt als non-compliant beschouwd. Documentatie bijwerken bij elke release.

Onvolledige risicobeoordeling

Probleem: Risicobeoordeling dekt niet alle bedreigingen of mist behandelingsdetails.

Oplossing: Gestructureerde methode gebruiken. Elk geïdentificeerd risico koppelen aan een beheersmaatregel of acceptatiebeslissing.

Ontbrekende SBOM

Probleem: Geen SBOM of SBOM die geen transitieve afhankelijkheden bevat.

Oplossing: SBOM genereren met geschikte tooling. Volledige afhankelijkheidsboom opnemen.

Verouderde documentatie

Probleem: Technisch dossier beschrijft versie 1.0 maar product is op versie 2.3.

Oplossing: Documentatie bijwerken bij elke release. Versies expliciet bijhouden.

Geen vereistentraceerbaarheid

Probleem: Beweert conform te zijn maar toont niet hoe aan elke vereiste wordt voldaan.

Oplossing: Expliciete mapping aanmaken van elke Bijlage I-vereiste naar bewijs.

Tests zonder bewijs

Probleem: Beweert dat testen is uitgevoerd maar geen rapporten beschikbaar.

Oplossing: Alle testrapporten bewaren. In technisch dossier opnemen of duidelijk ernaar verwijzen.

Checklist technisch dossier

VOLLEDIGHEIDSCHECK TECHNISCH DOSSIER

SECTIE 1 - ALGEMENE BESCHRIJVING:
[ ] Productidentificatie volledig
[ ] Beoogd doel gedocumenteerd
[ ] CRA-classificatie vermeld met onderbouwing
[ ] Marktplaatsingsinformatie

SECTIE 2 - ONTWERP:
[ ] Architectuurdiagrammen
[ ] Documentatie beveiligingsontwerp
[ ] Beschrijving ontwikkelproces
[ ] Procedures wijzigingsbeheer

SECTIE 3 - RISICOBEOORDELING:
[ ] Methodologie gedocumenteerd
[ ] Alle risico's geïdentificeerd
[ ] Behandelingsbeslissingen per risico
[ ] Restrisicobeoordeling

SECTIE 4 - ESSENTIËLE VEREISTEN:
[ ] Mapping Bijlage I Deel I volledig
[ ] Mapping Bijlage I Deel II volledig
[ ] Bewijs gerefereerd per vereiste

SECTIE 5 - NORMEN:
[ ] Alle toegepaste normen vermeld
[ ] Toepassingsbewijs verstrekt
[ ] Afwijkingen gedocumenteerd en onderbouwd

SECTIE 6 - SBOM:
[ ] Machineleesbare SBOM bijgevoegd
[ ] Alle componenten opgenomen
[ ] Kwetsbaarheidsstatus gedocumenteerd

SECTIE 7 - TESTRESULTATEN:
[ ] Testplan gedocumenteerd
[ ] Testrapporten bijgevoegd
[ ] Alle bevindingen aangepakt

SECTIE 8 - CONFORMITEITSVERKLARING:
[ ] Conformiteitsverklaring opgenomen/gerefereerd

SECTIE 9 - KWETSBAARHEIDSAFHANDELING:
[ ] Contactmethoden gedocumenteerd
[ ] Proces gedocumenteerd
[ ] ENISA-procedures ingericht

ONDERHOUD:
[ ] Versiebeheer ingericht
[ ] Updateprocedures gedocumenteerd
[ ] Bewaarplan ingericht

Hoe CRA Evidence helpt

CRA Evidence stroomlijnt de aanmaak van technisch dossiers:

• Gestructureerde sjablonen: Sectie-voor-sectie technisch dossierbuilder
• Vereistenmapping: Bijlage I-compliancebewijs bijhouden
• SBOM-beheer: SBOM's opslaan, analyseren en bijwerken
• Documentrepository: Gecentraliseerde opslag voor al het bewijs
• Versiebeheer: Documentatie bijhouden over productversies heen
• Exportfunctie: Volledige technische dossierbundels genereren

Bouw uw technisch dossier via app.craevidence.com.

Gerelateerde gidsen

SBOM: Verdiep u in SBOM-vereisten met onze SBOM-gids.

Beoordeling: Kies uw conformiteitsbeoordelingsroute met onze modulebeslissingsgids.

Verklaring: Leer hoe u uw EU-conformiteitsverklaring voorbereidt.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.