Het technisch dossier is uw bewijspakket voor naleving van de CRA. Markttoezichtautoriteiten kunnen het opvragen, en een aangemelde instantie beoordeelt het wanneer uw conformiteitsroute die instantie gebruikt. Zonder een volledig technisch dossier mag u uw product niet wettelijk op de EU-markt brengen.
Deze gids behandelt het technisch dossier sectie voor sectie en legt uit welk bewijs elk gebied nodig heeft en hoe u dat voorbereidt.
Samenvatting
- Het technisch dossier beschrijft hoe uw product voldoet aan de essentiële CRA-vereisten
- Moet voor marktintroductie zijn opgesteld en minstens 10 jaar na het in de handel brengen worden bewaard, of gedurende de ondersteuningsperiode, afhankelijk van welke termijn langer is
- Bevat: productbeschrijving, risicoanalyse, ontwerpdocumentatie, SBOM, testresultaten en conformiteitsbewijzen
- Autoriteiten kunnen het op elk moment opvragen; een onvolledig dossier betekent non-compliance
- Begin vroeg: een degelijk technisch dossier opstellen kost maanden, geen weken
Wat is het technisch dossier?
Het technisch dossier (ook wel "technische documentatie" genoemd) is het volledige bewijspakket waarmee u aantoont dat uw product voldoet aan de essentiële cyberbeveiligingsvereisten.
Het is niet:
- Marketingmateriaal
- Alleen gebruikershandleidingen
- Een afvinkoefening
Het is wel:
- Volledige technische bewijsvoering
- Levende documentatie (bijgewerkt gedurende de productlevenscyclus)
- Uw verweer bij markttoezichtonderzoeken
- Verplicht voor de conformiteitsbeoordeling
Belangrijk: Het technisch dossier moet zijn opgesteld VOOR de marktintroductie en minstens 10 jaar na het in de handel brengen worden bewaard, of gedurende de ondersteuningsperiode, afhankelijk van welke termijn langer is. Autoriteiten kunnen het op elk moment opvragen.
Wat het technisch dossier moet bevatten
Het technisch dossier is makkelijker te controleren wanneer het rond acht bewijsgebieden is georganiseerd:
Productidentificatie, beoogd doel, relevante softwareversies, hardwareweergaven en gebruikersinformatie.
Architectuur, veilige ontwikkeling, kwetsbaarheidsprocessen, distributie van updates en gevalideerde productie en monitoring.
Risico's beoordeeld op ontwerp, productie, levering, onderhoud en toepasselijkheid van de essentiële vereisten.
Gegevens die zijn gebruikt om de ondersteuningsperiode te bepalen en te onderbouwen.
Geharmoniseerde normen, gemeenschappelijke specificaties, certificeringsschema's of alternatieve oplossingen.
Bewijs dat het product en de processen voor kwetsbaarheidsbeheer voldoen aan de toepasselijke essentiële cyberbeveiligingsvereisten.
Een kopie van de verklaring dat het product voldoet aan de toepasselijke CRA-eisen.
SBOM-bewijs opgesteld en bewaard in het technisch dossier, verstrekt op gemotiveerd verzoek van een markttoezichtautoriteit.
Sectie 1: algemene beschrijving
Doel: Vastleggen wat het product is en waarvoor het dient.
Vereiste inhoud
- Productnaam en modelnummer
- Hardwareversie of -versies
- Software- of firmwareversie of -versies
- Formaat of bereik van serienummers
- Uniek product-ID
- Beschrijving van de primaire functie
- Doelgebruikers en bedrijfsomgeving
- Beoogde gebruiksscenario's
- Niet-beoogd gebruik en uitsluitingen
- CRA-classificatie
- Onderbouwing van de classificatie
- Eventueel toepasselijke productregelgeving
- Datum van eerste EU-marktintroductie
- Doellidstaten
- Distributiekanalen
Voorbeeld
GENERAL DESCRIPTION
Product Name: SmartSense Pro Industrial Sensor
Model Number: SSP-3000
Hardware Version: Rev C (PCB v3.2)
Firmware Version: 2.4.1
INTENDED PURPOSE:
The SmartSense Pro is an industrial environmental sensor
designed for manufacturing facility monitoring. It measures
temperature, humidity, and air quality, transmitting data
via WiFi to cloud or local servers.
TARGET USERS:
- Facility managers
- Industrial automation integrators
- Environmental compliance officers
INTENDED ENVIRONMENT:
- Indoor industrial facilities
- Operating temperature: -10°C to +60°C
- Network: WiFi 802.11 b/g/n
NOT INTENDED FOR:
- Medical or life-safety applications
- Outdoor installation
- Explosive atmospheres
- Consumer/residential use
CRA CLASSIFICATION:
Default product. Not classified as important or critical.
Justification: General-purpose sensor without security
functions or critical infrastructure application.
EU MARKET PLACEMENT:
First placed on market: March 15, 2027
Target markets: All EU member states
Distribution: Direct sales and authorized distributors
Sectie 2: ontwerp, ontwikkeling en kwetsbaarheidsbeheer
Doel: Documenteer hoe het product is ontworpen en gebouwd, hoe kwetsbaarheden na uitrol worden afgehandeld en hoe productie- en monitoringprocessen worden gevalideerd. Behandel dit als één bewijsblok: ontwerp- en ontwikkelrecords, processen voor kwetsbaarheidsbeheer en productie- en monitoringcontroles die aantonen dat releases consistent worden gebouwd en bewaakt.
Ontwerp en ontwikkeling: vereiste inhoud
- Systeemarchitectuurdiagram
- Diagram van componentinteracties
- Datastroomdiagram
- Vertrouwensgrenzen geïdentificeerd
- Beschrijving van de beveiligingsarchitectuur
- Cryptografische implementaties
- Authenticatiemechanismen
- Autorisatiemodel
- Veilige communicatieprotocollen
- Maatregelen voor gegevensbescherming
- Beschrijving van de veilige ontwikkelcyclus
- Traceerbaarheid van beveiligingseisen
- Procedures voor codereview
- Beveiligingstests in ontwikkeling
- Configuratiebeheer
- Procedures voor versiebeheer
- Impactbeoordeling van wijzigingen
- Beveiligingsreview voor wijzigingen
Hoe "secure by design"-documentatie eruitziet
SECURITY ARCHITECTURE OVERVIEW
1. TRUST BOUNDARIES
+-----------------------------------------+
| Cloud Backend |
| (Authentication, Data Storage) |
\---------------+-------------------------+
| TLS 1.3
+---------------+-------------------------+
| Device Firmware |
| +---------------------------------+ |
| | Application Layer | |
| +---------------------------------+ |
| | Security Services | |
| | (Crypto, Auth, Secure Boot) | |
| +---------------------------------+ |
| | Hardware Security | |
| | (Secure Element, RNG) | |
| \---------------------------------+ |
\-----------------------------------------+
2. AUTHENTICATION
- Device-to-cloud: Mutual TLS with device certificates
- User-to-device: Local API requires authentication token
- Certificate provisioning: Factory-provisioned, unique per device
3. DATA PROTECTION
- Data at rest: AES-256-GCM encryption
- Data in transit: TLS 1.3 with certificate pinning
- Sensitive data: Stored in secure element
4. UPDATE MECHANISM
- Signed firmware updates (ECDSA P-256)
- Signature verification before installation
- Rollback protection via version counter
- Automatic update checks (user-configurable)
Kwetsbaarheidsbeheer: vereiste inhoud
- Contactkanalen gedocumenteerd
- CVD-beleid gepubliceerd
- Procedures voor communicatie met onderzoekers
- Triageprocedures
- Methodiek voor ernstinschatting
- Escalatiepaden
- Workflow voor patchontwikkeling
- Testprocedures voor patches
- Procedures voor klantnotificatie
- Publicatieproces van advisories
- Rapportage-integratie bij actieve exploitatie aan het coördinerend CSIRT en ENISA
- Monitoring van kwetsbaarheden in afhankelijkheden
- CVE-databasebewaking
- Bronnen voor dreigingsinformatie
Documentatie kwetsbaarheidsbeheer
VULNERABILITY HANDLING PROCEDURES
1. CONTACT METHODS
Primary: security@company.com
Web Form: https://company.com/security/report
security.txt: https://company.com/.well-known/security.txt
CVD Policy: https://company.com/security/disclosure-policy
2. RESPONSE COMMITMENTS
Acknowledgment: Within 3 business days
Initial Assessment: Within 10 business days
Status Updates: Every 14 days
Resolution Target: 90 days (critical: 7 days)
3. INTERNAL PROCESS
[Flowchart or process description]
See: Process Document PD-VULN-003
4. PATCH DISTRIBUTION
Mechanism: OTA updates via cloud infrastructure
Notification: In-app notification + email to registered users
Verification: Signed updates with rollback capability
5. RAPPORTAGE AAN COÖRDINEREND CSIRT EN ENISA
Trigger: Active exploitation detected or severe incident
Timeline: 24h early warning, 72h detailed report, 14d final report (actively exploited CVE) / 1 month (severe incident)
Responsible: Security Team Lead
Process: See PD-SRP-001
6. HISTORICAL RECORD
Vulnerabilities handled (past 24 months): 3
Average resolution time: 45 days
ENISA reports filed: 0
Productie en monitoring: vereiste inhoud
Voor softwareproducten is er geen fabriekslijn. Productie en monitoring betekent de build- en releasepipeline die uitleverbare artefacten produceert, de validatie dat die processen doen wat ze moeten doen, en de monitoring na uitrol die regressies en nieuwe kwetsbaarheden opvangt. Documenteer elk onderdeel zodat een auditor een release kan terugleiden naar een geverifieerde, reproduceerbare build.
- Bron van waarheid geïdentificeerd
- Reproduceerbare build gedocumenteerd
- Build-provenance vastgelegd
- Ondertekeningssleutels en sleutelbeheer gedocumenteerd
- Integriteit van het release-artefact
- Beveiligingsgates in CI gedocumenteerd
- Regressiesuite dekt tests met label essentiële vereiste
- Goedkeuringsworkflow voor releases gedocumenteerd
- Terugroutineplan voor mislukte releases
- Cadans van reproduceerbaarheidsaudits
- Cadans voor monitoring van kwetsbaarheden in afhankelijkheden
- SBOM-diffproces bij elke release
- Integratie met CVE-feeds
- KEV-controle op actieve exploitatie
- Beveiligingsrelevante telemetrie
- Triggers voor klantnotificatie
Documentatie productie en monitoring
PRODUCTION AND MONITORING PROCESSES
Product: Industrial Gateway IG-200
Build platform: GitHub Actions on ubuntu-22.04 runners
Provenance: SLSA Level 3 (signed in-toto attestations)
Signing: Cosign + Sigstore, offline KMS-backed root key
BUILD PIPELINE:
1. Source: github.com/example/ig200-firmware (main branch protected,
2-of-N review gate, signed commits required)
2. Build: reproducible cross-compile (rustc 1.78, locked Cargo.lock)
3. SAST: cargo-audit + clippy security lints (gate: 0 high+ findings)
4. SCA: trivy scan against built binary (gate: 0 known-exploitable CVEs)
5. Test: regression suite (1247 tests) + essential requirements conformance suite (89 tests)
6. Sign: cosign sign-blob + attest --predicate slsa-provenance.json
7. Release: artifact + SBOM (CycloneDX 1.5) + DoC excerpt published
VALIDATION OF PROCESSES:
- Pipeline definition reviewed quarterly (Security Lead + Release Manager)
- Essential requirements conformance test suite reviewed when standards or risks change
- Annual reproducibility audit (independent rebuild from tagged source)
- Failure mode: any gate fails -> release blocked, incident logged
POST-DEPLOYMENT MONITORING:
- Dependency CVE feed: Trivy + Renovate, daily scan against current SBOM
- Threshold: Critical or High with KEV match -> patch within 7 days
- Threshold: Medium without KEV -> patch in next monthly release
- Customer notification: signed RSS feed + email for advisories
- Internal telemetry: failed update events, signature verification failures
- Review cadence: weekly triage, monthly trend review
Sectie 3: risicoanalyse voor cyberbeveiliging
Doel: De geïdentificeerde risico's en hun behandeling documenteren.
Vereiste inhoud
- Methodiek voor risicoanalyse beschreven
- Reikwijdte gedefinieerd
- Identificatie van activa
- Aanpak voor het identificeren van dreigingen
- Dreigingen opgesomd
- Kwetsbaarheden meegenomen
- Impactbeoordeling
- Beoordeling van waarschijnlijkheid
- Risicoclassificaties
- Behandelingsbesluit per risico
- Beveiligingsmaatregelen gekoppeld aan risico's
- Beoordeling van restrisico
- Criteria voor risico-acceptatie
Opzet van de risicoanalyse
CYBERSECURITY RISK ASSESSMENT
Product: SmartSense Pro (SSP-3000)
Version: 2.4.1
Assessment Date: January 2027
Assessor: [Name, Security Team]
METHODOLOGY:
Based on ISO 27005 adapted for product security.
Risk = Likelihood × Impact
Scale: Low (1-4), Medium (5-9), High (10-16), Critical (17-25)
-------------------------------------------------------------
RISK ID: R-001
THREAT: Unauthorized firmware modification
VULNERABILITY: Unsigned firmware could be installed
IMPACT: High (5) - Device compromise, data breach
LIKELIHOOD: Medium (3) - Requires physical access
INHERENT RISK: 15 (High)
CONTROL: Firmware signature verification
IMPLEMENTATION: ECDSA P-256 signature checked before install
RESIDUAL RISK: 3 (Low) - Cryptographic attack unlikely
STATUS: Mitigated
-------------------------------------------------------------
RISK ID: R-002
THREAT: Man-in-the-middle attack on cloud communication
VULNERABILITY: Network traffic interception
IMPACT: High (4) - Data exposure, command injection
LIKELIHOOD: Medium (3) - Public networks possible
INHERENT RISK: 12 (High)
CONTROL: TLS 1.3 with certificate pinning
IMPLEMENTATION: Hardcoded CA certificate, no fallback
RESIDUAL RISK: 2 (Low) - Certificate compromise unlikely
STATUS: Mitigated
-------------------------------------------------------------
[Continue for all identified risks...]
RISK SUMMARY:
Total risks identified: 23
Critical: 0
High: 3 (all mitigated to Low/Medium)
Medium: 8 (all mitigated to Low)
Low: 12 (accepted or mitigated)
RESIDUAL RISK ACCEPTANCE:
All residual risks are within acceptable tolerance.
Signed: [Security Lead], [Date]
Sectie 4: informatie over de ondersteuningsperiode
Doel: Documenteer de redenering achter de gekozen ondersteuningsperiode. De ondersteuningsperiode is de periode waarin de fabrikant zich verbindt om beveiligingsupdates te leveren. Het technisch dossier moet de informatie vastleggen die tot dat besluit heeft geleid.
Vereiste inhoud
- Begin van de aangegeven ondersteuningsperiode
- Einde van de aangegeven ondersteuningsperiode
- Minimum gecontroleerd aan de ondergrens van vijf jaar of kortere productlevensduur
- Verwachte gebruiksduur van het product
- Verwachtingen van gebruikers en klanten
- Aard en beoogd doel van het product
- Relevant Unierecht
- Beschikbare richtsnoeren van de Commissie of ADCO
- Vergelijkbare productlevensduren in de markt
- Ondersteuningstermijnen van componentleveranciers
- Klantcontracten of SLA's met impliciete updateperiodes
- Hardware end-of-life-schema's waar relevant
Hoe goede documentatie eruitziet
SUPPORT PERIOD DETERMINATION
Product: Industrial Gateway IG-200
Market placement: 2026-09-01
Declared support period: 2026-09-01 to 2034-09-01 (8 years)
Rationale:
1. Expected operational lifetime: 8-10 years (field deployment data,
comparable to predecessor IG-150 still active in 2024 at 9 years).
2. Component support: Linux LTS kernel covers 6 years; we backport
security patches for 2 additional years using vendor commitments.
3. Customer contracts: top 3 customers have 7-year service agreements;
remainder typically renew on 5-year cycles.
4. Sector guidance: NIS2 covers operators of essential services using
this gateway; assume update requirements through asset lifetime.
5. End-of-support communication: documented in user manual and EOL
policy at https://example.com/security/eol.
Decision approved by: [Product Owner], [Security Lead], [Legal]
Date: 2026-08-15
Review trigger: any material change to component support timelines
Veelvoorkomende valkuilen
- Vasthouden aan het minimum van 5 jaar zonder onderbouwing. De 5 jaar in de ondersteuningsperioderegel is een ondergrens, geen standaard. Producten met een langere verwachte levensduur vragen om een langere periode.
- Vergeten dat de ondergrens "of de productlevensduur, indien korter" luidt. Een consumentenapparaat dat 18 maanden wordt verkocht, blijft updateondersteuning verschuldigd voor de periode waarin het product redelijkerwijs in gebruik is.
- De gegevens niet vastleggen. Markttoezichtautoriteiten kunnen vragen hoe de periode is bepaald. "We hebben 5 jaar gekozen" is geen antwoord.
- Het als in beton gegoten beschouwen. Als ondersteuningstermijnen van componenten veranderen (bijvoorbeeld wanneer een upstream-OS eerder dan verwacht EOL bereikt), moet het besluit worden bijgewerkt en moet de ondersteuningstoezegging worden gecommuniceerd.
Mapping van essentiële vereisten
Doel: Aantonen hoe aan elke essentiële cyberbeveiligingsvereiste wordt voldaan.
Vereisten deel I
Koppel elke secure-by-designvereiste aan uw implementatie:
ESSENTIAL REQUIREMENTS COMPLIANCE MATRIX
ANNEX I, PART I - SECURITY REQUIREMENTS
═══════════════════════════════════════════════════════════
1. DESIGNED WITHOUT KNOWN EXPLOITABLE VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability scan report (Trivy): 0 critical/high
- Dependency analysis: All components at latest secure versions
- Penetration test report: No exploitable vulnerabilities found
Reference: Test Report TR-2027-001, pages 15-23
2. SECURE BY DEFAULT CONFIGURATION
Status: COMPLIANT
Evidence:
- Default configuration review document
- No default passwords (unique credentials required at setup)
- Unnecessary services disabled by default
- Secure protocols enabled by default (TLS, not HTTP)
Reference: Design Document DD-004, Section 3.2
3. PROTECTION AGAINST UNAUTHORIZED ACCESS
Status: COMPLIANT
Evidence:
- Authentication architecture document
- Access control implementation
- Session management design
- Failed login lockout mechanism
Reference: Security Architecture SA-001, Chapter 4
4. CONFIDENTIALITY OF DATA
Status: COMPLIANT
Evidence:
- Encryption specifications (AES-256-GCM)
- Key management procedures
- Data classification and handling
Reference: Design Document DD-005
5. INTEGRITY OF DATA AND COMMANDS
Status: COMPLIANT
Evidence:
- Message authentication (HMAC)
- Command validation logic
- Input validation procedures
Reference: Security Architecture SA-001, Chapter 5
6. DATA MINIMIZATION
Status: COMPLIANT
Evidence:
- Data inventory document
- Justification for each data type collected
- Retention policy (automatic purge after 90 days)
Reference: Privacy Impact Assessment PIA-001
[Continue for all essential requirements...]
Vereisten deel II
Koppel elke vereiste voor kwetsbaarheidsbeheer aan uw implementatie:
ANNEX I, PART II - VULNERABILITY HANDLING
═══════════════════════════════════════════════════════════
1. IDENTIFY AND DOCUMENT VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability tracking system (JIRA project VULN)
- CVE monitoring process document
- SBOM-based dependency tracking
Reference: Process Document PD-VULN-001
2. ADDRESS VULNERABILITIES WITHOUT DELAY
Status: COMPLIANT
Evidence:
- Vulnerability response SLA document
- Historical response time metrics
- Patch development process
Reference: Process Document PD-VULN-002
3. APPLY EFFECTIVE REGULAR TESTING
Status: COMPLIANT
Evidence:
- Security testing schedule
- Automated scan reports (weekly)
- Annual penetration test reports
Reference: Test Plan TP-SEC-001
[Continue for all Part II requirements...]
Sectie 5: toegepaste normen
Doel: Documenteren welke normen zijn gebruikt en hoe.
Vereiste inhoud
- Alle toegepaste normen met versienummers
- Geharmoniseerde normen apart vermeld
- Verwijzing naar Publicatieblad waar van toepassing
- Hoe elke norm is toegepast
- Welke clausules of secties van toepassing zijn
- Eventuele afwijking of gedeeltelijke toepassing
- Afwijkingen onderbouwd vastgelegd
- Alternatieve maatregelen voor afgewezen vereisten
- Risicoanalyse voor afwijkingen
Formaat normendocumentatie
APPLIED STANDARDS
HARMONIZED STANDARDS (presumption of conformity):
-------------------------------------------------------------
Standard: EN 303 645 (when harmonized for CRA)
Title: Cybersecurity for Consumer IoT
Status: Applied in full
Publication: OJEU [reference when published]
Evidence: Standards Compliance Report SCR-001
-------------------------------------------------------------
OTHER STANDARDS APPLIED:
-------------------------------------------------------------
Standard: IEC 62443-4-1:2018
Title: Security for Industrial Automation - Secure Development
Status: Applied (selected requirements)
Clauses Applied: 5, 6, 7, 8, 10
Evidence: SDL Documentation SLD-001
-------------------------------------------------------------
Standard: ISO/IEC 27001:2022
Title: Information Security Management
Status: Organization certified (Certificate #12345)
Relevance: ISMS covers product development processes
-------------------------------------------------------------
Standard: NIST Cybersecurity Framework 2.0
Title: Framework for Improving Critical Infrastructure Cybersecurity
Status: Reference framework for risk assessment
Evidence: Risk Assessment methodology document
-------------------------------------------------------------
DEVIATIONS:
-------------------------------------------------------------
Standard: EN 303 645
Clause: 5.3-2 (Unique per device credentials)
Deviation: Credentials unique per device but not pre-provisioned
Justification: Device requires user setup; credentials created
during first-time configuration
Alternative Measure: Strong password requirements enforced,
account lockout after failed attempts
Risk Assessment: Residual risk acceptable (see R-015)
-------------------------------------------------------------
Tip: Automatiseer uw SBOM-generatie in CI/CD. Handmatige SBOM-aanmaak is foutgevoelig en schaalt niet over productversies heen.
Sectie 6: testresultaten
Doel: Bewijs leveren dat aan de vereisten daadwerkelijk is voldaan.
Vereiste inhoud
- Testplan met reikwijdte en doelstellingen
- Testgevallen gekoppeld aan vereisten
- Beschrijving van de testomgeving
- Slaag- en faalcriteria
- Vastlegging van de testuitvoering
- Samenvatting van de testresultaten
- Mislukte tests en hun oplossing
- Bewijs van hertests
- Functionele beveiligingstests
- Kwetsbaarheidsscanning
- Penetratietesten waar van toepassing
- Fuzztesten waar van toepassing
- Configuratiereview
Formaat testresultaten
TEST RESULTS SUMMARY
Product: SmartSense Pro (SSP-3000) v2.4.1
Test Period: December 2026 - January 2027
Test Lead: [Name]
═══════════════════════════════════════════════════════════
TEST CAMPAIGN: TC-2027-001
═══════════════════════════════════════════════════════════
1. SECURITY FUNCTIONAL TESTING
Scope: Authentication, authorization, encryption, secure boot
Test Cases: 85
Passed: 85
Failed: 0
Reference: Test Report TR-FUNC-001
2. VULNERABILITY SCANNING
Tool: Trivy v0.48.0 + Nessus Professional
Scope: Firmware, network services, web interface
Findings:
Critical: 0
High: 0
Medium: 2 (accepted with justification)
Low: 5 (accepted)
Reference: Scan Report SR-VULN-001
3. PENETRATION TESTING
Provider: [Third-party firm name]
Scope: Black-box testing of deployed device
Duration: 5 days
Findings:
Critical: 0
High: 0
Medium: 1 (remediated before release)
Low: 3 (accepted)
Reference: Pentest Report PT-2027-001
4. FIRMWARE ANALYSIS
Tool: EMBA v1.3
Scope: Binary analysis, hardcoded credentials, crypto issues
Findings:
Critical: 0
High: 0
Informational: 4
Reference: Firmware Analysis Report FA-001
5. CONFIGURATION REVIEW
Scope: Default configuration security
Findings: All defaults meet security requirements
Reference: Configuration Review CR-001
═══════════════════════════════════════════════════════════
OVERALL ASSESSMENT: PASS
All critical and high findings remediated.
Medium/Low findings accepted with documented justification.
═══════════════════════════════════════════════════════════
Sectie 7: EU-conformiteitsverklaring
Doel: De formele verklaring opnemen of ernaar verwijzen.
Vereiste inhoud
Het technisch dossier moet een kopie van de EU-conformiteitsverklaring bevatten, of een verwijzing naar de plaats waar deze kan worden verkregen.
Sectie 8: softwarestuklijst
Doel: Componenttransparantie bieden voor het volgen van kwetsbaarheden. De SBOM hoort op gemotiveerd verzoek van een markttoezichtautoriteit bij het technisch dossier. In de praktijk stellen fabrikanten deze op en onderhouden deze samen met de rest van het dossier.
Verwante gidsen: Bewaar bij hardwareproducten bewijs over hardwarecomponenten waar dit de risicoanalyse, gebruikersinformatie of kwetsbaarheidsanalyse ondersteunt. BSI TR-03183 helpt bij SBOM-kwaliteit, en VEX kan de kwetsbaarheidsstatus van componenten communiceren. Zie de gids voor SBOM-vereisten voor formaatkeuzes, BSI TR-03183-kwaliteitsniveaus, HBOM-reikwijdte en VEX-gebruik, en de gids voor kwetsbaarheidsrapportage voor de manier waarop VEX de verplichting "geen bekende exploiteerbare kwetsbaarheden" ondersteunt.
Vereiste inhoud
- Machineleesbaar formaat
- CycloneDX of SPDX gekozen en gedocumenteerd
- Mensleesbare samenvatting waar nuttig
- Alle softwarecomponenten opgesomd
- Componentversies vastgelegd
- Leveranciersinformatie opgenomen
- Licentie-informatie opgenomen
- Bekende kwetsbaarheden op het moment van beoordeling
- Directe afhankelijkheden
- Transitieve afhankelijkheden (best practice bovenop het wettelijk minimum van directe afhankelijkheden)
- Componenten van het besturingssysteem waar van toepassing
- Bibliotheken van derden
SBOM-documentatie
Wanneer moet het technisch dossier worden bijgewerkt?
Levende documentatie
Het technisch dossier is niet statisch:
- Nieuwe firmware- of softwareversie
- Beveiligingspatch-release
- Kwetsbaarheid ontdekt en aangepakt
- Ontwerpwijziging met beveiligingsimpact
- Toegepaste normen wijzigen
- Wijzigingen in SBOM-componenten
- Kwartaalreview van SBOM- en kwetsbaarheidsstatus
- Jaarlijkse volledige review van het technisch dossier
- Definitieve documentatie-freeze vóór einde ondersteuningsperiode
- Alle documenten onder versiebeheer
- Wijzigingsgeschiedenis bewaard
- Eerdere versies gearchiveerd
Bewaartermijn
Opmerking: Bewaar het technisch dossier de langste van 10 jaar na de marktintroductie of de ondersteuningsperiode. Verkoopt u producten tot en met 2030 met een ondersteuningsperiode van 5 jaar, dan domineert de 10-jaarsklok en loopt de bewaring tot 2040. Loopt uw ondersteuningsperiode voorbij die 10-jaarsstaart, dan volgt de bewaring de ondersteuningsperiode. Plan de opslag voor de langere van beide.
DOCUMENTATION RETENTION
Retention Period: at least 10 years from market placement, or the support period, whichever is longer
Example Timeline:
- Product first placed on market: March 2027
- Last unit placed on market: December 2030
- Documentation retention until: December 2040
Storage Requirements:
- Secure, accessible storage
- Backup procedures
- Integrity protection
- Available within [48 hours] of authority request
Veelgemaakte fouten
Waarschuwing: Een technisch dossier dat alleen versie 1.0 beschrijft terwijl uw product op versie 2.3 staat, geldt als non-compliant. Werk de documentatie bij bij elke release.
Onvolledige risicoanalyse
Probleem: Een risicoanalyse die niet alle dreigingen dekt of geen behandeldetails bevat.
Oplossing: Gebruik een gestructureerde methodiek. Koppel elk geïdentificeerd risico aan een maatregel of acceptatiebeslissing.
Ontbrekende SBOM
Probleem: Geen SBOM, of een SBOM zonder de vereiste top-niveau-afhankelijkheden.
Oplossing: Genereer een SBOM met geschikte tooling die ten minste de top-niveau-afhankelijkheden dekt die de CRA vereist (Bijlage I Deel II(1)). De volledige afhankelijkheidsboom opnemen is betere praktijk voor kwetsbaarheidskoppeling, maar is niet het wettelijke minimum.
Verouderde documentatie
Probleem: Het technisch dossier beschrijft versie 1.0, terwijl het product op versie 2.3 staat.
Oplossing: Werk de documentatie bij bij elke release. Houd versies expliciet bij.
Geen vereistentracering
Probleem: Compliance wordt geclaimd, maar er wordt niet aangetoond hoe aan elke vereiste is voldaan.
Oplossing: Maak een expliciete mapping van elke essentiële vereiste naar bewijs.
Tests zonder bewijs
Probleem: Er wordt gesteld dat testen is uitgevoerd, maar er zijn geen rapporten beschikbaar.
Oplossing: Bewaar alle testrapporten. Neem ze op in het technisch dossier of verwijs er duidelijk naar.
Checklist technisch dossier
- Productidentificatie volledig
- Beoogd doel gedocumenteerd
- CRA-classificatie met onderbouwing vastgelegd
- Marktintroductie-informatie
- Architectuurdiagrammen
- Documentatie van het beveiligingsontwerp
- Beschrijving van het ontwikkelproces
- Procedures voor wijzigingsbeheer
- Contactkanalen voor kwetsbaarheden gedocumenteerd
- CVD-beleid gepubliceerd
- Kwetsbaarheidsbeheerproces gedocumenteerd
- Rapportageprocedures aan het coördinerend CSIRT en ENISA aanwezig
- Methodiek gedocumenteerd
- Alle risico's geïdentificeerd
- Behandelingsbesluiten per risico
- Beoordeling van restrisico
- Aangegeven ondersteuningsperiode vermeld
- Gegevens over de ondersteuningsperiode gedocumenteerd
- Onderbouwing vastgelegd
- Besluit-sign-off vastgelegd
- Mapping van secure-by-designvereisten volledig
- Mapping van vereisten voor kwetsbaarheidsbeheer volledig
- Bewijs gekoppeld aan elke vereiste
- Alle toegepaste normen opgesomd
- Bewijs van toepassing geleverd
- Afwijkingen gedocumenteerd en onderbouwd
- Testplan gedocumenteerd
- Testrapporten bijgevoegd
- Alle bevindingen behandeld
- EU-conformiteitsverklaring opgenomen of gekoppeld
- Machineleesbare SBOM opgesteld
- Alle componenten opgenomen
- Kwetsbaarheidsstatus gedocumenteerd
- Op verzoek beschikbaar voor toezichthouder
- Versiebeheer ingericht
- Updateprocedures gedocumenteerd
- Bewaarplan aanwezig
Veelgestelde vragen
Welke documenten zijn verplicht in een CRA technisch dossier?
Het dossier heeft acht bewijsgebieden nodig. Het moet productbeschrijving, ontwerp en productie, kwetsbaarheidsbeheer, risicoanalyse, onderbouwing van de ondersteuningsperiode, toegepaste normen of alternatieve oplossingen, testrapporten, de EU-conformiteitsverklaring en, waar van toepassing, de SBOM voor markttoezicht omvatten. Behandel ze als bewijssecties, niet als een vaste mappenstructuur.
Heeft elke firmwareversie een eigen technisch dossier nodig?
Nee, maar het dossier moet versie-accuraat blijven. Een firmware- of softwarerelease die beveiligingsrelevant gedrag wijzigt, moet de betrokken secties bijwerken, doorgaans de SBOM, risicoanalyse, ontwerpnotities en testbewijs. U bouwt het dossier niet vanaf nul opnieuw, maar het bewijs moet aansluiten op de productversie die in de handel wordt gebracht of wordt ondersteund.
Hoe lang moet het technisch dossier worden bewaard nadat het product is teruggetrokken?
Bewaar het de langste termijn van 10 jaar of de ondersteuningsperiode. De 10-jaarsperiode loopt vanaf het in de handel brengen van het product met digitale elementen; als de ondersteuningsperiode langer is, volgt de bewaring die langere ondersteuningsperiode. In de praktijk plannen fabrikanten opslag rond de laatste marktintroductiedatum van de relevante product- of versielijn en bewaren ze bewijs voor elke langere ondersteuningstoezegging.
Moet het technisch dossier proactief bij autoriteiten worden ingediend?
Nee. De fabrikant bewaart de technische documentatie en verstrekt deze wanneer een markttoezichtautoriteit een gemotiveerd verzoek doet. Een aangemelde instantie beoordeelt de documentatie ook wanneer de gekozen conformiteitsbeoordelingsroute er een betrekt, maar de verordening vereist niet dat er bij marktintroductie standaard wordt ingediend bij autoriteiten.
Mag het technisch dossier verwijzen naar externe documenten of moet alles op één plek staan?
Externe verwijzingen zijn aanvaardbaar als ze precies en opvraagbaar zijn. Het dossier mag verwijzen naar ontwerpdocumenten, testrapporten, certificaten, SBOM-artefacten of releasegegevens die elders zijn opgeslagen, mits de verwijzing het exacte document, de versie, eigenaar en locatie benoemt. Autoriteiten hebben bruikbaar bewijs nodig, geen kapotte index.
Wat is het verschil tussen het technisch dossier en de conformiteitsverklaring?
De verklaring is de publieke uitspraak; het technisch dossier is het bewijs. De EU-conformiteitsverklaring stelt dat het product voldoet aan de CRA. Het technisch dossier bevat de risicoanalyse, ontwerpbewijs, testrapporten, normenmapping, SBOM-bewijs en andere registraties die die verklaring onderbouwen.