CRA vs ISO 27001: luki w zgodności, których Twój SZBI nie pokrywa

ISO 27001 nie obejmuje CRA w pełni. Przewodnik mapuje luki, to co SZBI przenosi, i to co trzeba dodać przed terminem 2027.

CRA Evidence Team Opublikowano 12 stycznia 2026 Zaktualizowano 17 kwietnia 2026
Trzy warstwy pokrycia bezpieczeństwa: organizacyjne (ISO 27001), wspólne procesy wytwórcze, bezpieczeństwo produktu (CRA)
W tym artykule

Firma z certyfikatem ISO 27001 często zakłada, że jest dobrze przygotowana na akt o cyberodporności (Rozporządzenie (UE) 2024/2847). Nie jest. Przynajmniej nie bez poważnych dodatkowych prac.

ISO 27001 chroni zasoby informacyjne organizacji. Rozporządzenie (UE) 2024/2847 wymaga, aby każdy produkt z elementami cyfrowymi wprowadzany na rynek UE był bezpieczny już w fazie projektowania, zawierał wykaz materiałów oprogramowania (SBOM) i był objęty aktualizacjami bezpieczeństwa przez cały przewidywany czas eksploatacji. To obowiązki na poziomie produktu, nie organizacji. Niezgodność grozi karami do 15 mln EUR lub 2,5% globalnego rocznego obrotu (Artykuł 64). Zobacz przewodnik po karach i egzekwowaniu CRA.

Obowiązki sprawozdawcze z Artykułu 14 zaczynają obowiązywać 11 września 2026 r. Pełna zgodność jest wymagana do 11 grudnia 2027 r. Zobacz pełny harmonogram wdrożenia CRA.

Ten przewodnik mapuje, gdzie SZBI pomaga, gdzie nie wystarcza i co trzeba dodać.

Podsumowanie

  • ISO 27001 = zarządzanie bezpieczeństwem informacji na poziomie organizacji
  • CRA = wymagania cyberbezpieczeństwa produktów (Załącznik I, Rozporządzenie (UE) 2024/2847)
  • ISO 27001 NIE oznacza zgodności z CRA
  • ISO 27001 daje podstawę dla procesów bezpiecznego wytwarzania
  • CRA wymaga dowodów na poziomie produktu: SBOM, obsługa podatności, oznakowanie CE
  • Oba standardy razem dają silną ogólną pozycję bezpieczeństwa
15 mln EUR
Maksymalna kara
lub 2,5% globalnego rocznego obrotu
11 wrz 2026
Artykuł 14
start obowiązków sprawozdawczych
11 gru 2027
Pełne stosowanie CRA
wymagana ocena zgodności
5 lat
Minimalne wsparcie
lub czas eksploatacji (Art. 13 ust. 8)

Źródło: Rozporządzenie (UE) 2024/2847, Artykuły 13, 14 i 64.

Co obejmuje ISO 27001, a czego wymaga CRA?

Co obejmuje ISO 27001

ISO 27001 to standard systemu zarządzania bezpieczeństwem informacji (SZBI), obejmujący:

Kontrole na poziomie organizacji:

  • Polityki bezpieczeństwa informacji
  • Zarządzanie aktywami
  • Kontrola dostępu (do systemów i danych)
  • Stosowanie kryptografii
  • Bezpieczeństwo fizyczne
  • Bezpieczeństwo operacyjne
  • Bezpieczeństwo komunikacji
  • Relacje z dostawcami
  • Zarządzanie incydentami
  • Ciągłość działania
  • Zarządzanie zgodnością

Cel: ochrona zasobów informacyjnych organizacji.

Co obejmuje CRA

CRA to rozporządzenie produktowe obejmujące (Załącznik I):

Wymagania na poziomie produktu:

  • Bezpieczeństwo w fazie projektowania
  • Brak znanych, aktywnie wykorzystywanych podatności
  • Bezpieczna konfiguracja domyślna
  • Ochrona przed nieautoryzowanym dostępem (w produkcie)
  • Ochrona danych (przez produkt)
  • Możliwość aktualizacji (produktu)
  • Obsługa podatności i zgłaszanie do ENISA (dla produktu)
  • SBOM komponentów produktu (Art. 13 ust. 5)
  • Polityka skoordynowanego ujawniania podatności (Art. 13 ust. 6)
  • Publiczny kontakt ds. podatności (Art. 13 ust. 7)
  • Oznakowanie CE i ocena zgodności

Cel: zapewnienie, że produkty wprowadzane na rynek są bezpieczne.

CRA klasyfikuje produkty na kategorie: domyślne, Ważne Klasa I, Ważne Klasa II oraz Krytyczne (Załączniki III i IV). Każda kategoria pociąga za sobą inne wymagania oceny zgodności. Produkt Ważny Klasy II wymaga obowiązkowej oceny przez jednostkę notyfikowaną, niezależnie od statusu certyfikatu ISO 27001. Zobacz przewodnik po klasyfikacji produktów CRA.

Zasadnicza różnica

Diagram ISO 27001 vs CRA: warstwy pokrycia bezpieczeństwa, trzy ułożone warstwy: bezpieczeństwo organizacji objęte przez ISO 27001, wspólne procesy wytwórcze, bezpieczeństwo produktu wymagane przez CRA

Gdzie ISO 27001 pomaga w CRA, a gdzie nie wystarcza

Gdzie ISO 27001 pomaga

Wymaganie CRA Wsparcie ISO 27001 W jaki sposób pomaga
Bezpieczne wytwarzanie A.8.25-28 (Bezpieczne wytwarzanie) Podstawa procesowa
Obsługa podatności A.8.8 (Podatności techniczne) Proces organizacyjny
Reagowanie na incydenty A.5.24-26 (Zarządzanie incydentami) Gotowość do reagowania
Zarządzanie dostawcami A.5.19-22 (Relacje z dostawcami) Bezpieczeństwo łańcucha dostaw
Kontrola dostępu A.5.15-18, A.8.2-5 Bezpieczeństwo środowiska wytwórczego
Kryptografia A.8.24 (Kryptografia) Podstawa polityki kryptograficznej
Dokumentacja A.5.1 (Polityki), 7.5 (Udokumentowane informacje) Kultura dokumentowania
Ocena ryzyka 6.1 (Ocena ryzyka) Metodologia ryzyka

Gdzie ISO 27001 nie wystarcza

Wymaganie CRA Luka ISO 27001 Czego brakuje
SBOM Częściowe: A.8.26/A.8.28 obejmują świadomość komponentów, nie maszynowo czytelny format SBOM Standardowy SBOM (SPDX/CycloneDX) zgodnie z Art. 13 ust. 5
Oznakowanie CE Nie pokryte Proces oceny zgodności
Testy bezpieczeństwa produktu Ograniczone Dowody testów produktu do pliku technicznego
Bezpieczna konfiguracja domyślna Brak ukierunkowania na produkt Wymagania konfiguracji produktu
Okres wsparcia Nie pokryte Co najmniej 5 lat lub czas eksploatacji, jeśli krótszy (Art. 13 ust. 8)
Zgłaszanie do ENISA Nie pokryte Powiadomienie 24 h/72 h + raport końcowy do krajowego CSIRT przez Single Reporting Platform (Art. 14)
Polityka CVD Nie pokryte Udokumentowana polityka skoordynowanego ujawniania podatności (Art. 13 ust. 6)
Publiczny kontakt ds. podatności Nie pokryte Jeden punkt kontaktu do zgłoszeń, np. security.txt (Art. 13 ust. 7)
Dokumentacja użytkownika Ograniczone Instrukcje bezpieczeństwa produktu
Plik techniczny Nie pokryte Format dokumentacji CRA zgodnie z Załącznikiem VII

Podsumowanie analizy luk

Mocna podstawa (ISO 27001 znacząco pomaga):

  • Kultura i świadomość bezpieczeństwa
  • Metodologia zarządzania ryzykiem
  • Gotowość do reagowania na incydenty
  • Zarządzanie bezpieczeństwem dostawców
  • Polityki bezpiecznego cyklu wytwarzania
  • Ramy kontroli dostępu
  • Praktyki dokumentowania

Częściowe pokrycie (ISO 27001 pomaga, ale nie wystarcza):

  • Zarządzanie podatnościami (zakres organizacyjny vs produktowy)
  • Kryptografia (polityka vs implementacja w produkcie)
  • Testy bezpieczeństwa (systemy korporacyjne vs testy produktu)
  • Zarządzanie zmianami (zmiany IT vs modyfikacje produktu)
  • SBOM (świadomość komponentów w A.8.26/A.8.28 vs maszynowo czytelny format)

Luki (specyficzne dla CRA, nie pokryte przez ISO 27001):

  • Generowanie i utrzymanie SBOM w standardowym formacie
  • Ocena zgodności produktu
  • Proces oznakowania CE
  • Zgłaszanie podatności do krajowego CSIRT przez Single Reporting Platform (Art. 14)
  • Plik techniczny produktu (Załącznik VII)
  • Zobowiązanie dotyczące okresu wsparcia (Art. 13 ust. 8)
  • Weryfikacja bezpiecznej konfiguracji domyślnej
  • Wymagania mechanizmu aktualizacji produktu
  • Polityka skoordynowanego ujawniania podatności (Art. 13 ust. 6)
  • Publiczny kontakt do zgłaszania podatności (Art. 13 ust. 7)

Jak wykorzystać ISO 27001 do spełnienia wymagań CRA

SZBI jako fundament

Producent z certyfikatem ISO 27001 ma solidne podstawy. Klucz to rozszerzenie istniejących procesów na obowiązki produktowe, zamiast budowania od zera.

Rozszerz istniejące procesy:

Proces ISO 27001 Rozszerzenie CRA
Ocena ryzyka (6.1) Ocena ryzyka produktu
Zarz. podatnościami (A.8.8) Obsługa podatności produktu + zgłoszenia do CSIRT
Zarz. dostawcami (A.5.19-22) Zbieranie SBOM od dostawców
Zarz. incydentami (A.5.24-26) Zgłoszenia do CSIRT zgodnie z Art. 14
Bezpieczne wytwarzanie (A.8.25-28) Testy bezpieczeństwa produktu i plik techniczny

Nowe procesy do dodania:

Nowy proces Cel
Generowanie SBOM Śledzenie komponentów zgodnie z Art. 13 ust. 5
Ocena zgodności Oznakowanie CE
Plik techniczny produktu Dokumentacja regulacyjna wg Załącznika VII
Zarządzanie okresem wsparcia Zobowiązanie wg Art. 13 ust. 8
Procedura zgłaszania do ENISA Powiadamianie o podatnościach przez krajowy CSIRT
Polityka CVD Skoordynowane ujawnianie wg Art. 13 ust. 6

Praktyczne kroki integracji

Krok 1: rozszerzenie zakresu

  • Dodać bezpieczeństwo produktu do zakresu SZBI
  • Uwzględnić wytwarzanie produktu w ocenie ryzyka
  • Rozszerzyć inwentarz aktywów o komponenty produktu

Krok 2: aktualizacja procesów

  • Zaktualizować procedurę obsługi podatności o zgłaszanie produktu do krajowego CSIRT przez Single Reporting Platform
  • Dodać SBOM do zarządzania zmianami
  • Uwzględnić w reagowaniu na incydenty wczesne ostrzeżenie w 24 h, powiadomienie wstępne w 72 h i raport końcowy

Krok 3: uzupełnienia dokumentacji

  • Pliki techniczne produktu
  • Rejestry SBOM
  • Dowody oceny zgodności
  • Dokumentacja okresu wsparcia

Krok 4: role i odpowiedzialności

  • Przydzielić właściciela bezpieczeństwa produktu
  • Zdefiniować odpowiedzialność za zgłoszenia do CSIRT
  • Ustanowić właściciela utrzymania SBOM
  • Przydzielić właściciela polityki CVD

Kontrole Załącznika A w ISO 27001 a CRA

Najbardziej istotne kontrole

A.8.25 Bezpieczny cykl wytwarzania

  • ISO 27001: polityki bezpiecznego wytwarzania
  • Zastosowanie w CRA: podstawa wymagań bezpieczeństwa produktu (Załącznik I, Część I)

A.8.26 Wymagania bezpieczeństwa aplikacji

  • ISO 27001: wymagania bezpieczeństwa w procesie wytwarzania
  • Zastosowanie w CRA: podstawa zasadniczych wymagań produktu, częściowa podstawa dla inwentaryzacji komponentów SBOM

A.8.27 Bezpieczna architektura systemu

  • ISO 27001: zasady bezpiecznej architektury
  • Zastosowanie w CRA: architektura bezpieczeństwa produktu

A.8.28 Bezpieczne kodowanie

  • ISO 27001: praktyki bezpiecznego kodowania, w tym śledzenie zależności
  • Zastosowanie w CRA: bezpieczeństwo kodu produktu, częściowa podstawa dla świadomości komponentów SBOM

A.8.8 Zarządzanie podatnościami technicznymi

  • ISO 27001: organizacyjna obsługa podatności
  • Zastosowanie w CRA: rozszerzenie na podatności produktu + zgłoszenia do krajowego CSIRT przez Single Reporting Platform (Art. 14)

A.5.19-22 Relacje z dostawcami

  • ISO 27001: zarządzanie bezpieczeństwem dostawców
  • Zastosowanie w CRA: zbieranie SBOM od dostawców, bezpieczeństwo łańcucha dostaw

Czy certyfikat ISO 27001 liczy się przy ocenie zgodności z CRA?

Czy certyfikat ISO 27001 obejmuje zgodność z CRA?

Kluczowe zrozumienie:

  • Certyfikat ISO 27001 potwierdza dojrzałość organizacji w zakresie bezpieczeństwa
  • Zgodność z CRA to wymaganie regulacyjne dla każdego produktu osobno
  • Posiadanie ISO 27001 nie zwalnia z CRA
  • Audytorzy ISO 27001 nie oceniają zgodności z CRA

Obowiązki sprawozdawcze Artykułu 14 zaczynają obowiązywać 11 września 2026 r. Pełna zgodność jest wymagana do 11 grudnia 2027 r. Niezgodność grozi karami do 15 mln EUR lub 2,5% globalnego rocznego obrotu (Artykuł 64).

Synergie audytowe

Nadzorczy audyt ISO 27001:

  • Coroczna ocena SZBI
  • Może obejmować zakres bezpieczeństwa produktu
  • Dowody nadają się do ponownego użycia w CRA

Ocena zgodności CRA:

  • Ocena właściwa dla produktu
  • Odwołuje się do SZBI w kwestii dowodów procesowych
  • Wymaga dodatkowych dowodów na poziomie produktu

Możliwości synergii:

  • Synchronizacja harmonogramów audytów
  • Ponowne użycie dowodów tam, gdzie to możliwe
  • Podejście zintegrowanego systemu zarządzania
  • Jedno repozytorium dokumentacji

Trzy typowe scenariusze ISO 27001 + CRA

Scenariusz 1: ISO 27001 certyfikowany, start z CRA

Zalety, które producent już ma:

  • Metodologia ryzyka istnieje
  • Kultura bezpieczeństwa ugruntowana
  • Praktyki dokumentowania wdrożone
  • Zarządzanie dostawcami działa
  • Gotowość do reagowania na incydenty

Co trzeba jeszcze dodać:

  • [ ] Klasyfikacja produktu wg CRA (Załącznik III/IV)
  • [ ] Zdolność generowania SBOM (Art. 13 ust. 5)
  • [ ] Proces zgłaszania do CSIRT (Art. 14)
  • [ ] Pliki techniczne produktu (Załącznik VII)
  • [ ] Proces oceny zgodności
  • [ ] Zarządzanie okresem wsparcia (Art. 13 ust. 8)
  • [ ] Testy bezpieczeństwa właściwe dla produktu
  • [ ] Polityka CVD (Art. 13 ust. 6)
  • [ ] Publiczny kontakt ds. podatności (Art. 13 ust. 7)

Podejście:

  1. Analiza luk względem wymagań CRA
  2. Rozszerzenie zakresu SZBI o produkty
  3. Dodanie procesów specyficznych dla CRA
  4. Aktualizacja dokumentacji
  5. Szkolenie odpowiednich zespołów

Scenariusz 2: brak ISO 27001, podejście do CRA

Opcja A: tylko CRA

  • Bezpośrednie wdrożenie wymagań CRA
  • Podejście skoncentrowane na produkcie
  • Możliwe pominięcie korzyści z bezpieczeństwa organizacyjnego
  • Szybsza ścieżka do zgodności z CRA

Opcja B: ISO 27001 + CRA

  • Wdrożenie obu ram
  • Silniejsza ogólna pozycja bezpieczeństwa
  • Więcej pracy na początku
  • Lepsza pozycja długoterminowa

Zalecenie: producent powinien zacząć od wymagań CRA (termin regulacyjny jest stały) i budować ku ISO 27001 stopniowo. Od początku trzeba wyrównać podejścia, żeby nie dublować pracy. Zobacz przewodnik CRA dla startupów dla ścieżki o minimalnym nakładzie.

Scenariusz 3: wiele produktów, centralny SZBI

Centralnie (SZBI):

  • Metodologia ryzyka
  • Proces obsługi podatności
  • Zarządzanie dostawcami
  • Reagowanie na incydenty
  • Standardy wytwarzania

Na produkt (CRA):

  • Plik techniczny
  • SBOM
  • Ocena zgodności
  • Dokumentacja produktu
  • Okres wsparcia

Korzyści:

  • Efektywne ponowne użycie procesów
  • Spójne podejście do bezpieczeństwa
  • Skoncentrowana wiedza specjalistyczna
  • Zgodność właściwa dla produktu

Lista kontrolna: organizacja z ISO 27001 dodająca CRA

Ocena:

  • [ ] Przegląd aktualnego zakresu SZBI
  • [ ] Identyfikacja produktów z elementami cyfrowymi
  • [ ] Klasyfikacja produktów wg kategorii CRA (Załącznik III/IV)
  • [ ] Analiza luk: SZBI vs wymagania CRA

Rozszerzenie zakresu:

  • [ ] Dodanie bezpieczeństwa produktu do zakresu SZBI
  • [ ] Aktualizacja oceny ryzyka o produkty
  • [ ] Rozszerzenie Deklaracji stosowalności

Uzupełnienia procesów:

  • [ ] Proces generowania SBOM (Art. 13 ust. 5)
  • [ ] Procedura zgłaszania do CSIRT (Art. 14)
  • [ ] Proces oceny zgodności
  • [ ] Zarządzanie okresem wsparcia (Art. 13 ust. 8)
  • [ ] Procedura pliku technicznego produktu (Załącznik VII)
  • [ ] Polityka CVD (Art. 13 ust. 6)
  • [ ] Konfiguracja publicznego kontaktu ds. podatności (Art. 13 ust. 7)

Dokumentacja:

  • [ ] Szablony pliku technicznego
  • [ ] Szablon oceny ryzyka produktu
  • [ ] Format i przechowywanie SBOM
  • [ ] Szablon deklaracji zgodności UE

Rozszerzenia kontroli:

  • [ ] A.8.8: dodać podatności produktu i zgłoszenia do CSIRT
  • [ ] A.8.25-28: dodać testy bezpieczeństwa produktu
  • [ ] A.5.19-22: dodać SBOM od dostawców

Role:

  • [ ] Przydzielić właściciela bezpieczeństwa produktu
  • [ ] Zdefiniować odpowiedzialność za zgłoszenia do CSIRT
  • [ ] Ustanowić rolę oceny zgodności
  • [ ] Przydzielić właściciela polityki CVD

Szkolenia:

  • [ ] Świadomość CRA dla zespołów wytwórczych
  • [ ] Szkolenie z narzędzi SBOM
  • [ ] Szkolenie z oceny zgodności

Oficjalne zasoby ISO 27001 i CRA

ISO 27001:

  • ISO/IEC 27001:2022: zarządzanie bezpieczeństwem informacji
  • ISO/IEC 27002:2022: kontrole bezpieczeństwa informacji

CRA:

Standardy uzupełniające:

  • ISO/IEC 27034: bezpieczeństwo aplikacji (łączy SZBI i bezpieczeństwo produktu)
  • IEC 62443: bezpieczeństwo przemysłowe (dobre dopasowanie dla producentów OT/IoT, silny kandydat na zharmonizowany standard CRA)
  • ISO/SAE 21434: bezpieczeństwo motoryzacyjne
Ważne

Certyfikat ISO 27001 NIE oznacza zgodności z CRA. ISO 27001 obejmuje bezpieczeństwo informacji organizacji, CRA wymaga oceny zgodności właściwej dla produktu.

Wskazówka

Zmapuj istniejące kontrole Załącznika A na wymagania Załącznika I CRA, aby zidentyfikować luki. Zacznij od A.8.8, A.8.25-28 i A.5.19-22.

Często zadawane pytania

Czy certyfikat ISO 27001 zwalnia firmę z oceny zgodności CRA?

Nie. Certyfikat ISO 27001 potwierdza dojrzałość organizacji w zakresie bezpieczeństwa informacji, ale nie stanowi oceny zgodności CRA. CRA wymaga dowodów na poziomie produktu: SBOM, pliku technicznego, deklaracji zgodności UE oraz, w stosownych przypadkach, oceny przez jednostkę notyfikowaną. Audytor certyfikujący SZBI nie ocenia zgodności z CRA. Zobacz ścieżki oceny zgodności CRA.

Które kontrole Załącznika A ISO 27001 są najbardziej bezpośrednio powiązane z Załącznikiem I CRA?

Kontrole o najsilniejszym pokrywaniu to A.8.25-28 (bezpieczny cykl wytwarzania), A.8.8 (zarządzanie podatnościami technicznymi) i A.5.19-22 (relacje z dostawcami). Odpowiadają one wymaganiom CRA dotyczącym bezpieczeństwa w fazie projektowania, obowiązku obsługi podatności i przepisom dotyczącym SBOM w łańcuchu dostaw. A.8.8 wymaga rozszerzenia, aby objąć zgłaszanie podatności produktu do krajowego CSIRT przez Single Reporting Platform ENISA (Artykuł 14).

Czy dowody z audytu ISO 27001 mogą być ponownie wykorzystane w pliku technicznym CRA?

Tak, selektywnie. Dowody z SZBI dotyczące bezpiecznego wytwarzania (A.8.25-28), zarządzania podatnościami (A.8.8) i kontroli dostawców (A.5.19-22) mogą być przywołane w pliku technicznym CRA. Plik techniczny wymaga jednak także dowodów na poziomie produktu, w tym architektury bezpieczeństwa, raportów z testów, SBOM i dokumentacji okresu wsparcia, których audyty ISO 27001 nie generują.

Czy ISO 27001:2022 jest lepiej dostosowany do CRA niż ISO 27001:2013?

Tak. ISO 27001:2022 dodaje kontrole bardziej istotne dla CRA, w szczególności A.8.25-28 (bezpieczny cykl wytwarzania, wymagania bezpieczeństwa aplikacji, bezpieczna architektura, bezpieczne kodowanie). Wersja z 2013 r. miała w tych obszarach słabsze pokrycie. Organizacja korzystająca z wersji 2013 powinna przeprowadzić analizę luk względem kontroli z 2022 r. specjalnie pod kątem CRA.

Czy ISO 27001 obejmuje wymaganie CRA dotyczące SBOM?

Częściowo. A.8.26 (wymagania bezpieczeństwa aplikacji) i A.8.28 (bezpieczne kodowanie) obejmują koncepcje świadomości komponentów i śledzenia zależności. ISO 27001 nie wymaga jednak maszynowo czytelnego SBOM w formacie CycloneDX lub SPDX z minimalnymi elementami NTIA, czego wymaga Artykuł 13 ust. 5 CRA. Świadomość organizacyjna stanowi podstawę, nie substytut.

Czy prace nad zgodnością z CRA można zintegrować z trwającym programem ISO 27001?

Tak, i jest to zalecane podejście dla firm posiadających certyfikat. Rozszerz zakres SZBI o bezpieczeństwo produktu, dodaj procedury właściwe dla produktu dotyczące SBOM i zgłaszania do CSIRT oraz odwołuj się do dowodów SZBI w plikach technicznych CRA. Kluczem jest uzupełnianie, a nie powielanie: dowody CRA trafiają do plików technicznych, nie do Deklaracji stosowalności SZBI.

Następne kroki

Co zrobić w najbliższym kwartale

  1. Przeprowadzić analizę luk kontroli Załącznika A SZBI względem Załącznika I CRA. Zacząć od A.8.8, A.8.25-28 i A.5.19-22. To one niosą większość ciężaru.
  2. Sklasyfikować każdy produkt zgodnie z Załącznikami III i IV. Ścieżka oceny zgodności zależy od tego, nie od statusu certyfikatu ISO 27001.
  3. Rozszerzyć deklarację zakresu SZBI o bezpieczeństwo produktu. Zaktualizować Deklarację stosowalności tak, aby obowiązki produktowe były widoczne dla audytorów.
  4. Dodać generowanie SBOM (Art. 13 ust. 5) do procesu zarządzania zmianami. CycloneDX lub SPDX, maszynowo czytelny, powiązany z każdym wydaniem.
  5. Utworzyć lub zaktualizować procedurę zgłaszania do CSIRT zgodnie z Artykułem 14: wczesne ostrzeżenie w 24 h, powiadomienie wstępne w 72 h, raport końcowy w 14 dni lub 1 miesiąc w zależności od typu incydentu. Zobacz przewodnik po Single Reporting Platform.
  6. Przydzielić właściciela bezpieczeństwa produktu i właściciela polityki CVD (Art. 13 ust. 6 i 7). To nie może być ten sam niejasny slot „zespołu bezpieczeństwa".
  7. Zaplanować połączony audyt wewnętrzny obejmujący zarówno nadzór ISO 27001, jak i gotowość pliku technicznego CRA. Ponownie wykorzystać dowody tam, gdzie to możliwe.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wytycznych dotyczących zgodności należy skonsultować się z wykwalifikowanym prawnikiem.

CRA Standardy Bezpieczeństwa Zgodność
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny