Dokumentacja techniczna to pakiet dowodów potwierdzających zgodność z CRA. Organy nadzoru rynku mogą jej zażądać, a jednostka notyfikowana sprawdzi ją wtedy, gdy wybrana ścieżka oceny zgodności ją obejmuje. Bez kompletnej dokumentacji technicznej nie można legalnie wprowadzić produktu na rynek UE.
Niniejszy przewodnik omawia dokumentację techniczną sekcja po sekcji, wyjaśniając, jakich dowodów wymaga każdy obszar i jak je przygotować.
Podsumowanie
- Dokumentacja techniczna pokazuje, jak produkt spełnia zasadnicze wymagania CRA
- Musi zostać przygotowana przed wprowadzeniem do obrotu i przechowywana przez co najmniej 10 lat od wprowadzenia produktu na rynek lub przez okres wsparcia, w zależności od tego, który okres jest dłuższy
- Zawiera: opis produktu, ocenę ryzyka, dokumentację projektową, SBOM, wyniki testów, dowody zgodności
- Organy mogą jej żądać w dowolnym momencie, a niekompletne dokumenty oznaczają niezgodność
- Zacznij wcześnie: zbudowanie rzetelnej dokumentacji technicznej zajmuje miesiące, nie tygodnie
Czym jest dokumentacja techniczna?
Dokumentacja techniczna (nazywana również "teczką techniczną") to kompletny pakiet dowodów potwierdzających, że produkt spełnia zasadnicze wymagania w zakresie cyberbezpieczeństwa.
Czym nie jest:
- Dokumentacją marketingową
- Wyłącznie instrukcją użytkownika
- Odhaczaniem pól na liście kontrolnej
Czym jest:
- Pełnym dowodem technicznym
- Żywą dokumentacją (aktualizowaną przez cały cykl życia produktu)
- Linią obrony w postępowaniach nadzoru rynku
- Wymogiem dla oceny zgodności
Ważne: Dokumentacja techniczna musi zostać przygotowana PRZED wprowadzeniem do obrotu i przechowywana przez co najmniej 10 lat od wprowadzenia produktu na rynek lub przez okres wsparcia, w zależności od tego, który okres jest dłuższy. Organy mogą jej żądać w dowolnym momencie.
Co musi zawierać dokumentacja techniczna
Dokumentacja techniczna jest łatwiejsza do oceny, gdy jest zorganizowana wokół ośmiu obszarów dowodowych:
Identyfikacja produktu, przeznaczenie, właściwe wersje oprogramowania, widoki sprzętu i informacje dla użytkownika.
Architektura, bezpieczny rozwój, procesy obsługi podatności, dystrybucja aktualizacji oraz zwalidowana produkcja i monitorowanie.
Ryzyka rozważone w projektowaniu, produkcji, dostawie, utrzymaniu oraz stosowalność wymagań zasadniczych.
Dane wykorzystane przy określeniu i uzasadnieniu okresu wsparcia.
Normy zharmonizowane, wspólne specyfikacje, programy certyfikacji lub rozwiązania alternatywne.
Dowody, że produkt oraz procesy obsługi podatności spełniają mające zastosowanie zasadnicze wymagania w zakresie cyberbezpieczeństwa.
Kopia deklaracji potwierdzającej, że produkt spełnia mające zastosowanie wymagania CRA.
Dowody SBOM, gdy mają zastosowanie, udostępniane na uzasadnione żądanie organu nadzoru rynku.
Sekcja 1: Opis ogólny
Cel: Określić, czym jest produkt i do czego służy.
Wymagana zawartość
- Nazwa produktu i numer modelu
- Wersja lub wersje sprzętu
- Wersja lub wersje oprogramowania albo firmware'u
- Format lub zakres numerów seryjnych
- Unikalny identyfikator produktu
- Opis funkcji podstawowej
- Docelowi użytkownicy i środowisko pracy
- Zamierzone przypadki użycia
- Zastosowania niezamierzone i wyłączenia
- Klasyfikacja CRA
- Uzasadnienie klasyfikacji
- Powiązane regulacje produktowe, jeśli dotyczą
- Data pierwszego wprowadzenia na rynek UE
- Docelowe państwa członkowskie
- Kanały dystrybucji
Przykład
GENERAL DESCRIPTION
Product Name: SmartSense Pro Industrial Sensor
Model Number: SSP-3000
Hardware Version: Rev C (PCB v3.2)
Firmware Version: 2.4.1
INTENDED PURPOSE:
The SmartSense Pro is an industrial environmental sensor
designed for manufacturing facility monitoring. It measures
temperature, humidity, and air quality, transmitting data
via WiFi to cloud or local servers.
TARGET USERS:
- Facility managers
- Industrial automation integrators
- Environmental compliance officers
INTENDED ENVIRONMENT:
- Indoor industrial facilities
- Operating temperature: -10°C to +60°C
- Network: WiFi 802.11 b/g/n
NOT INTENDED FOR:
- Medical or life-safety applications
- Outdoor installation
- Explosive atmospheres
- Consumer/residential use
CRA CLASSIFICATION:
Default product. Not classified as important or critical.
Justification: General-purpose sensor without security
functions or critical infrastructure application.
EU MARKET PLACEMENT:
First placed on market: March 15, 2027
Target markets: All EU member states
Distribution: Direct sales and authorized distributors
Sekcja 2: Projektowanie, rozwój i obsługa podatności
Cel: Udokumentować, w jaki sposób produkt został zaprojektowany i zbudowany, jak obsługiwane są podatności po wydaniu oraz w jaki sposób walidowane są procesy produkcji i monitorowania. Traktuj te elementy jako jeden blok dowodowy: zapisy projektowania i rozwoju, procesy obsługi podatności oraz kontrole produkcji i monitorowania, które pokazują, że wydania są budowane i nadzorowane w sposób spójny.
Projektowanie i rozwój: wymagana zawartość
- Diagram architektury systemu
- Diagram interakcji komponentów
- Diagram przepływu danych
- Zidentyfikowane granice zaufania
- Opis architektury bezpieczeństwa
- Implementacje kryptograficzne
- Mechanizmy uwierzytelniania
- Model autoryzacji
- Bezpieczne protokoły komunikacyjne
- Środki ochrony danych
- Opis bezpiecznego cyklu rozwoju
- Identyfikowalność wymagań bezpieczeństwa
- Procedury przeglądu kodu
- Testy bezpieczeństwa w trakcie rozwoju
- Zarządzanie konfiguracją
- Procedury kontroli wersji
- Ocena wpływu zmian
- Przegląd bezpieczeństwa zmian
Jak wygląda dokumentacja "secure by design"
SECURITY ARCHITECTURE OVERVIEW
1. TRUST BOUNDARIES
+-----------------------------------------+
| Cloud Backend |
| (Authentication, Data Storage) |
\---------------+-------------------------+
| TLS 1.3
+---------------+-------------------------+
| Device Firmware |
| +---------------------------------+ |
| | Application Layer | |
| +---------------------------------+ |
| | Security Services | |
| | (Crypto, Auth, Secure Boot) | |
| +---------------------------------+ |
| | Hardware Security | |
| | (Secure Element, RNG) | |
| \---------------------------------+ |
\-----------------------------------------+
2. AUTHENTICATION
- Device-to-cloud: Mutual TLS with device certificates
- User-to-device: Local API requires authentication token
- Certificate provisioning: Factory-provisioned, unique per device
3. DATA PROTECTION
- Data at rest: AES-256-GCM encryption
- Data in transit: TLS 1.3 with certificate pinning
- Sensitive data: Stored in secure element
4. UPDATE MECHANISM
- Signed firmware updates (ECDSA P-256)
- Signature verification before installation
- Rollback protection via version counter
- Automatic update checks (user-configurable)
Obsługa podatności: wymagana zawartość
- Udokumentowane metody kontaktu
- Opublikowana polityka CVD
- Procedury komunikacji z badaczami
- Procedury triażu
- Metodyka oceny powagi
- Ścieżki eskalacji
- Przepływ pracy nad łatkami
- Procedury testowania łatek
- Procedury powiadamiania klientów
- Proces publikacji ogłoszeń bezpieczeństwa
- Integracja zgłoszeń do ENISA przy aktywnej eksploitacji
- Monitorowanie podatności w zależnościach
- Monitorowanie bazy CVE
- Źródła wywiadu o zagrożeniach
Dokumentacja obsługi podatności
VULNERABILITY HANDLING PROCEDURES
1. CONTACT METHODS
Primary: security@company.com
Web Form: https://company.com/security/report
security.txt: https://company.com/.well-known/security.txt
CVD Policy: https://company.com/security/disclosure-policy
2. RESPONSE COMMITMENTS
Acknowledgment: Within 3 business days
Initial Assessment: Within 10 business days
Status Updates: Every 14 days
Resolution Target: 90 days (critical: 7 days)
3. INTERNAL PROCESS
[Flowchart or process description]
See: Process Document PD-VULN-003
4. PATCH DISTRIBUTION
Mechanism: OTA updates via cloud infrastructure
Notification: In-app notification + email to registered users
Verification: Signed updates with rollback capability
5. ENISA REPORTING
Trigger: Active exploitation detected
Timeline: 24h early warning, 72h detailed report
Responsible: Security Team Lead
Process: See PD-ENISA-001
6. HISTORICAL RECORD
Vulnerabilities handled (past 24 months): 3
Average resolution time: 45 days
ENISA reports filed: 0
Produkcja i monitorowanie: wymagana zawartość
W przypadku oprogramowania nie istnieje fizyczna linia produkcyjna. Produkcja i monitorowanie oznaczają potok budowy i wydania wytwarzający artefakty gotowe do dystrybucji, walidację potwierdzającą, że procesy te działają zgodnie z założeniem, oraz monitorowanie powdrożeniowe, które wychwytuje regresje i nowe podatności. Każdy z tych obszarów udokumentuj tak, aby audytor mógł prześledzić wydanie aż do zweryfikowanej, odtwarzalnej kompilacji.
- Zidentyfikowane źródło prawdy
- Udokumentowana odtwarzalna kompilacja
- Zarejestrowana proweniencja kompilacji
- Udokumentowane klucze podpisujące i zarządzanie kluczami
- Integralność artefaktu wydania
- Udokumentowane bramki bezpieczeństwa w CI
- Pakiet regresji pokrywa testy oznaczone wymaganiami zasadniczymi
- Udokumentowany proces zatwierdzania wydania
- Plan wycofania nieudanych wydań
- Częstotliwość audytu odtwarzalności
- Częstotliwość monitorowania podatności w zależnościach
- Proces porównywania SBOM przy każdym wydaniu
- Integracja kanału CVE
- Sprawdzanie bazy KEV pod kątem aktywnej eksploatacji
- Telemetria istotna dla bezpieczeństwa
- Wyzwalacze powiadamiania klientów
Dokumentacja produkcji i monitorowania
PRODUCTION AND MONITORING PROCESSES
Product: Industrial Gateway IG-200
Build platform: GitHub Actions on ubuntu-22.04 runners
Provenance: SLSA Level 3 (signed in-toto attestations)
Signing: Cosign + Sigstore, offline KMS-backed root key
BUILD PIPELINE:
1. Source: github.com/example/ig200-firmware (main branch protected,
2-of-N review gate, signed commits required)
2. Build: reproducible cross-compile (rustc 1.78, locked Cargo.lock)
3. SAST: cargo-audit + clippy security lints (gate: 0 high+ findings)
4. SCA: trivy scan against built binary (gate: 0 known-exploitable CVEs)
5. Test: regression suite (1247 tests) + essential requirements conformance suite (89 tests)
6. Sign: cosign sign-blob + attest --predicate slsa-provenance.json
7. Release: artifact + SBOM (CycloneDX 1.5) + DoC excerpt published
VALIDATION OF PROCESSES:
- Pipeline definition reviewed quarterly (Security Lead + Release Manager)
- Essential requirements conformance test suite reviewed when standards or risks change
- Annual reproducibility audit (independent rebuild from tagged source)
- Failure mode: any gate fails -> release blocked, incident logged
POST-DEPLOYMENT MONITORING:
- Dependency CVE feed: Trivy + Renovate, daily scan against current SBOM
- Threshold: Critical or High with KEV match -> patch within 7 days
- Threshold: Medium without KEV -> patch in next monthly release
- Customer notification: signed RSS feed + email for advisories
- Internal telemetry: failed update events, signature verification failures
- Review cadence: weekly triage, monthly trend review
Sekcja 3: Ocena ryzyka w zakresie cyberbezpieczeństwa
Cel: Udokumentować zidentyfikowane ryzyka i sposób ich obsłużenia.
Wymagana zawartość
- Opisana metodyka oceny ryzyka
- Zdefiniowany zakres
- Identyfikacja aktywów
- Podejście do identyfikacji zagrożeń
- Wyliczone zagrożenia
- Uwzględnione podatności
- Ocena skutków
- Ocena prawdopodobieństwa
- Oceny ryzyka
- Decyzje dotyczące każdego ryzyka
- Mapowanie zabezpieczeń na ryzyka
- Ocena ryzyka rezydualnego
- Kryteria akceptacji ryzyka
Format oceny ryzyka
CYBERSECURITY RISK ASSESSMENT
Product: SmartSense Pro (SSP-3000)
Version: 2.4.1
Assessment Date: January 2027
Assessor: [Name, Security Team]
METHODOLOGY:
Based on ISO 27005 adapted for product security.
Risk = Likelihood × Impact
Scale: Low (1-4), Medium (5-9), High (10-16), Critical (17-25)
-------------------------------------------------------------
RISK ID: R-001
THREAT: Unauthorized firmware modification
VULNERABILITY: Unsigned firmware could be installed
IMPACT: High (5) - Device compromise, data breach
LIKELIHOOD: Medium (3) - Requires physical access
INHERENT RISK: 15 (High)
CONTROL: Firmware signature verification
IMPLEMENTATION: ECDSA P-256 signature checked before install
RESIDUAL RISK: 3 (Low) - Cryptographic attack unlikely
STATUS: Mitigated
-------------------------------------------------------------
RISK ID: R-002
THREAT: Man-in-the-middle attack on cloud communication
VULNERABILITY: Network traffic interception
IMPACT: High (4) - Data exposure, command injection
LIKELIHOOD: Medium (3) - Public networks possible
INHERENT RISK: 12 (High)
CONTROL: TLS 1.3 with certificate pinning
IMPLEMENTATION: Hardcoded CA certificate, no fallback
RESIDUAL RISK: 2 (Low) - Certificate compromise unlikely
STATUS: Mitigated
-------------------------------------------------------------
[Continue for all identified risks...]
RISK SUMMARY:
Total risks identified: 23
Critical: 0
High: 3 (all mitigated to Low/Medium)
Medium: 8 (all mitigated to Low)
Low: 12 (accepted or mitigated)
RESIDUAL RISK ACCEPTANCE:
All residual risks are within acceptable tolerance.
Signed: [Security Lead], [Date]
Sekcja 4: Informacje o okresie wsparcia
Cel: Udokumentować uzasadnienie wybranego okresu wsparcia. Okres wsparcia to czas, w którym producent zobowiązuje się dostarczać aktualizacje bezpieczeństwa. Dokumentacja techniczna musi obejmować informacje, które wpłynęły na tę decyzję.
Wymagana zawartość
- Zadeklarowana data początku okresu wsparcia
- Zadeklarowana data końca okresu wsparcia
- Minimum porównane z pięcioletnim progiem lub krótszym czasem życia produktu
- Oczekiwany czas użytkowania produktu
- Oczekiwania użytkowników i klientów
- Charakter i przeznaczenie produktu
- Właściwe prawo Unii
- Wytyczne Komisji lub ADCO, jeśli są dostępne
- Czas życia porównywalnych produktów na rynku
- Harmonogramy wsparcia dostawców komponentów
- Umowy z klientami lub SLA implikujące okna aktualizacji
- Harmonogramy końca życia sprzętu, jeśli dotyczą
Jak wygląda dobra dokumentacja
SUPPORT PERIOD DETERMINATION
Product: Industrial Gateway IG-200
Market placement: 2026-09-01
Declared support period: 2026-09-01 to 2034-09-01 (8 years)
Rationale:
1. Expected operational lifetime: 8-10 years (field deployment data,
comparable to predecessor IG-150 still active in 2024 at 9 years).
2. Component support: Linux LTS kernel covers 6 years; we backport
security patches for 2 additional years using vendor commitments.
3. Customer contracts: top 3 customers have 7-year service agreements;
remainder typically renew on 5-year cycles.
4. Sector guidance: NIS2 covers operators of essential services using
this gateway; assume update requirements through asset lifetime.
5. End-of-support communication: documented in user manual and EOL
policy at https://example.com/security/eol.
Decision approved by: [Product Owner], [Security Lead], [Legal]
Date: 2026-08-15
Review trigger: any material change to component support timelines
Częste pułapki
- Zakotwiczenie w pięcioletnim minimum bez uzasadnienia. Pięć lat z reguły dotyczącej okresu wsparcia to dolna granica, nie wartość domyślna. Produkty o dłuższym oczekiwanym czasie życia wymagają dłuższego okresu.
- Pomijanie zastrzeżenia "lub czas życia produktu, jeśli krótszy". Urządzenie konsumenckie sprzedawane przez 18 miesięcy nadal wymaga wsparcia aktualizacji przez okres, w którym produkt jest racjonalnie używany.
- Brak zapisu przesłanek. Organy nadzoru mogą zapytać, jak ustalono okres. "Wybraliśmy 5 lat" nie jest odpowiedzią.
- Traktowanie decyzji jako niezmiennej. Jeśli harmonogramy wsparcia komponentów się zmienią (np. nadrzędny system operacyjny osiągnie EOL wcześniej niż zakładano), zapis decyzji musi zostać zaktualizowany, a zobowiązanie do wsparcia zakomunikowane.
Mapowanie wymagań zasadniczych
Cel: Wykazać, w jaki sposób spełnione jest każde zasadnicze wymaganie w zakresie cyberbezpieczeństwa.
Wymagania części I
Powiąż każde wymaganie secure-by-design ze swoją implementacją:
ESSENTIAL REQUIREMENTS COMPLIANCE MATRIX
ANNEX I, PART I - SECURITY REQUIREMENTS
═══════════════════════════════════════════════════════════
1. DESIGNED WITHOUT KNOWN EXPLOITABLE VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability scan report (Trivy): 0 critical/high
- Dependency analysis: All components at latest secure versions
- Penetration test report: No exploitable vulnerabilities found
Reference: Test Report TR-2027-001, pages 15-23
2. SECURE BY DEFAULT CONFIGURATION
Status: COMPLIANT
Evidence:
- Default configuration review document
- No default passwords (unique credentials required at setup)
- Unnecessary services disabled by default
- Secure protocols enabled by default (TLS, not HTTP)
Reference: Design Document DD-004, Section 3.2
3. PROTECTION AGAINST UNAUTHORIZED ACCESS
Status: COMPLIANT
Evidence:
- Authentication architecture document
- Access control implementation
- Session management design
- Failed login lockout mechanism
Reference: Security Architecture SA-001, Chapter 4
4. CONFIDENTIALITY OF DATA
Status: COMPLIANT
Evidence:
- Encryption specifications (AES-256-GCM)
- Key management procedures
- Data classification and handling
Reference: Design Document DD-005
5. INTEGRITY OF DATA AND COMMANDS
Status: COMPLIANT
Evidence:
- Message authentication (HMAC)
- Command validation logic
- Input validation procedures
Reference: Security Architecture SA-001, Chapter 5
6. DATA MINIMIZATION
Status: COMPLIANT
Evidence:
- Data inventory document
- Justification for each data type collected
- Retention policy (automatic purge after 90 days)
Reference: Privacy Impact Assessment PIA-001
[Continue for all essential requirements...]
Wymagania części II
Powiąż każde wymaganie dotyczące obsługi podatności ze swoją implementacją:
ANNEX I, PART II - VULNERABILITY HANDLING
═══════════════════════════════════════════════════════════
1. IDENTIFY AND DOCUMENT VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability tracking system (JIRA project VULN)
- CVE monitoring process document
- SBOM-based dependency tracking
Reference: Process Document PD-VULN-001
2. ADDRESS VULNERABILITIES WITHOUT DELAY
Status: COMPLIANT
Evidence:
- Vulnerability response SLA document
- Historical response time metrics
- Patch development process
Reference: Process Document PD-VULN-002
3. APPLY EFFECTIVE REGULAR TESTING
Status: COMPLIANT
Evidence:
- Security testing schedule
- Automated scan reports (weekly)
- Annual penetration test reports
Reference: Test Plan TP-SEC-001
[Continue for all Part II requirements...]
Sekcja 5: Zastosowane normy
Cel: Udokumentować, jakie normy zostały zastosowane i w jaki sposób.
Wymagana zawartość
- Wszystkie zastosowane normy z numerami wersji
- Normy zharmonizowane oznaczone osobno
- Odniesienie do publikacji w Dzienniku Urzędowym, jeśli zharmonizowane
- Sposób zastosowania każdej normy
- Zastosowane klauzule lub sekcje
- Wszelkie odstępstwa lub częściowe zastosowanie
- Odstępstwa udokumentowane wraz z uzasadnieniem
- Środki alternatywne dla wymagań objętych odstępstwem
- Ocena ryzyka dla odstępstw
Format dokumentacji norm
APPLIED STANDARDS
HARMONIZED STANDARDS (presumption of conformity):
-------------------------------------------------------------
Standard: EN 303 645 (when harmonized for CRA)
Title: Cybersecurity for Consumer IoT
Status: Applied in full
Publication: OJEU [reference when published]
Evidence: Standards Compliance Report SCR-001
-------------------------------------------------------------
OTHER STANDARDS APPLIED:
-------------------------------------------------------------
Standard: IEC 62443-4-1:2018
Title: Security for Industrial Automation - Secure Development
Status: Applied (selected requirements)
Clauses Applied: 5, 6, 7, 8, 10
Evidence: SDL Documentation SLD-001
-------------------------------------------------------------
Standard: ISO/IEC 27001:2022
Title: Information Security Management
Status: Organization certified (Certificate #12345)
Relevance: ISMS covers product development processes
-------------------------------------------------------------
Standard: NIST Cybersecurity Framework 2.0
Title: Framework for Improving Critical Infrastructure Cybersecurity
Status: Reference framework for risk assessment
Evidence: Risk Assessment methodology document
-------------------------------------------------------------
DEVIATIONS:
-------------------------------------------------------------
Standard: EN 303 645
Clause: 5.3-2 (Unique per device credentials)
Deviation: Credentials unique per device but not pre-provisioned
Justification: Device requires user setup; credentials created
during first-time configuration
Alternative Measure: Strong password requirements enforced,
account lockout after failed attempts
Risk Assessment: Residual risk acceptable (see R-015)
-------------------------------------------------------------
Wskazówka: Zautomatyzuj generowanie SBOM w CI/CD. Ręczne tworzenie SBOM jest podatne na błędy i nie skaluje się między wersjami produktu.
Sekcja 6: Wyniki testów
Cel: Dostarczyć dowodów, że wymagania są faktycznie spełnione.
Wymagana zawartość
- Plan testów z zakresem i celami
- Przypadki testowe powiązane z wymaganiami
- Opis środowiska testowego
- Kryteria zaliczenia i niezaliczenia
- Zapisy z wykonania testów
- Podsumowanie wyników testów
- Niezaliczone testy i ich rozwiązanie
- Dowody powtórnych testów
- Funkcjonalne testy bezpieczeństwa
- Skanowanie podatności
- Testy penetracyjne, jeśli dotyczą
- Testy fuzzingowe, jeśli dotyczą
- Przegląd konfiguracji
Format wyników testów
TEST RESULTS SUMMARY
Product: SmartSense Pro (SSP-3000) v2.4.1
Test Period: December 2026 - January 2027
Test Lead: [Name]
═══════════════════════════════════════════════════════════
TEST CAMPAIGN: TC-2027-001
═══════════════════════════════════════════════════════════
1. SECURITY FUNCTIONAL TESTING
Scope: Authentication, authorization, encryption, secure boot
Test Cases: 85
Passed: 85
Failed: 0
Reference: Test Report TR-FUNC-001
2. VULNERABILITY SCANNING
Tool: Trivy v0.48.0 + Nessus Professional
Scope: Firmware, network services, web interface
Findings:
Critical: 0
High: 0
Medium: 2 (accepted with justification)
Low: 5 (accepted)
Reference: Scan Report SR-VULN-001
3. PENETRATION TESTING
Provider: [Third-party firm name]
Scope: Black-box testing of deployed device
Duration: 5 days
Findings:
Critical: 0
High: 0
Medium: 1 (remediated before release)
Low: 3 (accepted)
Reference: Pentest Report PT-2027-001
4. FIRMWARE ANALYSIS
Tool: EMBA v1.3
Scope: Binary analysis, hardcoded credentials, crypto issues
Findings:
Critical: 0
High: 0
Informational: 4
Reference: Firmware Analysis Report FA-001
5. CONFIGURATION REVIEW
Scope: Default configuration security
Findings: All defaults meet security requirements
Reference: Configuration Review CR-001
═══════════════════════════════════════════════════════════
OVERALL ASSESSMENT: PASS
All critical and high findings remediated.
Medium/Low findings accepted with documented justification.
═══════════════════════════════════════════════════════════
Sekcja 7: Deklaracja zgodności UE
Cel: Dołączyć formalną deklarację lub odniesienie do niej.
Wymagana zawartość
Dokumentacja techniczna musi zawierać kopię deklaracji zgodności UE lub odniesienie do miejsca, w którym można ją uzyskać.
Sekcja 8: Wykaz komponentów oprogramowania
Cel: Zapewnić przejrzystość komponentów na potrzeby śledzenia podatności. SBOM stanowi część dokumentacji technicznej na uzasadnione żądanie organu nadzoru rynku. W praktyce producenci przygotowują go i utrzymują równolegle z resztą dokumentacji.
Powiązane przewodniki: W przypadku produktów sprzętowych zachowuj dowody dotyczące komponentów fizycznych tam, gdzie wspierają one ocenę ryzyka, informacje dla użytkownika lub analizę podatności. BSI TR-03183 może pomóc w jakości SBOM, a VEX może komunikować status podatności komponentów. Zobacz przewodnik po wymaganiach SBOM dla wyboru formatu, poziomów jakości BSI TR-03183, zakresu HBOM i użycia VEX oraz przewodnik po zgłaszaniu podatności opisujący, jak VEX wspiera obowiązek "braku znanych podatności możliwych do wykorzystania".
Wymagana zawartość
- Format maszynowo czytelny
- Wybrany i udokumentowany CycloneDX lub SPDX
- Streszczenie czytelne dla człowieka tam, gdzie jest to przydatne
- Wszystkie komponenty oprogramowania wymienione
- Określone wersje komponentów
- Informacje o dostawcach
- Informacje o licencjach
- Znane podatności w chwili oceny
- Zależności bezpośrednie
- Zależności tranzytowe
- Komponenty systemu operacyjnego, jeśli dotyczą
- Biblioteki innych dostawców
Dokumentacja SBOM
Kiedy należy aktualizować dokumentację techniczną?
Żywa dokumentacja
Dokumentacja techniczna nie jest dokumentem statycznym:
- Nowa wersja firmware'u lub oprogramowania
- Wydanie łatki bezpieczeństwa
- Wykryta i obsłużona podatność
- Zmiana projektu wpływająca na bezpieczeństwo
- Zmiana zastosowanych norm
- Zmiany komponentów w SBOM
- Kwartalny przegląd SBOM i statusu podatności
- Roczny pełny przegląd dokumentacji technicznej
- Ostateczne zamrożenie dokumentacji przed końcem okresu wsparcia
- Wszystkie dokumenty pod kontrolą wersji
- Utrzymywana historia zmian
- Wcześniejsze wersje archiwizowane
Wymogi przechowywania
Uwaga: Przechowuj dokumentację techniczną przez dłuższy z dwóch okresów: 10 lat od wprowadzenia na rynek albo okres wsparcia. Jeśli sprzedajesz produkty do 2030 r. z pięcioletnim okresem wsparcia, dominuje dziesięcioletni zegar i przechowywanie obowiązuje do 2040 r. Jeśli okres wsparcia wykracza poza ten dziesięcioletni horyzont, przechowywanie podąża za okresem wsparcia. Zaplanuj składowanie na dłuższy z dwóch okresów.
DOCUMENTATION RETENTION
Retention Period: at least 10 years from market placement, or the support period, whichever is longer
Example Timeline:
- Product first placed on market: March 2027
- Last unit placed on market: December 2030
- Documentation retention until: December 2040
Storage Requirements:
- Secure, accessible storage
- Backup procedures
- Integrity protection
- Available within [48 hours] of authority request
Częste błędy
Ostrzeżenie: Dokumentacja techniczna opisująca wyłącznie wersję 1.0, gdy produkt jest w wersji 2.3, jest uznawana za niezgodną. Aktualizuj dokumentację z każdym wydaniem.
Niekompletna ocena ryzyka
Problem: Ocena ryzyka, która nie obejmuje wszystkich zagrożeń lub nie zawiera szczegółów postępowania.
Rozwiązanie: Stosuj uporządkowaną metodykę. Powiąż każde zidentyfikowane ryzyko z zabezpieczeniem lub decyzją o akceptacji.
Brak SBOM
Problem: Brak SBOM lub SBOM nieobejmujący zależności tranzytowych.
Rozwiązanie: Generuj SBOM przy użyciu właściwych narzędzi. Uwzględnij pełne drzewo zależności.
Nieaktualna dokumentacja
Problem: Dokumentacja techniczna opisuje wersję 1.0, ale produkt jest w wersji 2.3.
Rozwiązanie: Aktualizuj dokumentację z każdym wydaniem. Wyraźnie śledź wersje.
Brak identyfikowalności wymagań
Problem: Deklaracja zgodności bez wykazania, jak spełniono każde wymaganie.
Rozwiązanie: Stwórz jawne mapowanie każdego zasadniczego wymagania na dowody.
Testy bez dowodów
Problem: Deklaracja przeprowadzenia testów bez dostępnych raportów.
Rozwiązanie: Zachowuj wszystkie raporty z testów. Włącz je do dokumentacji technicznej lub wyraźnie do nich odsyłaj.
Lista kontrolna dokumentacji technicznej
- Identyfikacja produktu kompletna
- Przeznaczenie udokumentowane
- Klasyfikacja CRA wskazana z uzasadnieniem
- Informacje o wprowadzeniu na rynek
- Diagramy architektury
- Dokumentacja projektu zabezpieczeń
- Opis procesu rozwoju
- Procedury zarządzania zmianami
- Udokumentowane metody kontaktu w sprawie podatności
- Opublikowana polityka CVD
- Udokumentowany proces obsługi podatności
- Wdrożone procedury zgłaszania do ENISA
- Udokumentowana metodyka
- Zidentyfikowane wszystkie ryzyka
- Decyzje dotyczące każdego ryzyka
- Ocena ryzyka rezydualnego
- Zadeklarowany okres wsparcia wskazany
- Udokumentowane dane dotyczące okresu wsparcia
- Zarejestrowane uzasadnienie
- Zatwierdzenie decyzji odnotowane
- Mapowanie wymagań secure-by-design kompletne
- Mapowanie wymagań obsługi podatności kompletne
- Dowody przypisane do każdego wymagania
- Wszystkie zastosowane normy wymienione
- Dostarczone dowody zastosowania
- Odstępstwa udokumentowane i uzasadnione
- Plan testów udokumentowany
- Załączone raporty z testów
- Wszystkie ustalenia zaadresowane
- Deklaracja zgodności dołączona lub przywołana
- Przygotowany maszynowo czytelny SBOM
- Wszystkie komponenty włączone
- Status podatności udokumentowany
- Dostępny dla organu nadzoru na żądanie
- Ustanowiona kontrola wersji
- Udokumentowane procedury aktualizacji
- Wdrożony plan przechowywania
Najczęściej zadawane pytania
Jakie dokumenty są obowiązkowe w dokumentacji technicznej CRA?
Dokumentacja potrzebuje ośmiu obszarów dowodowych. Musi obejmować opis produktu, projektowanie i produkcję, obsługę podatności, ocenę ryzyka, uzasadnienie okresu wsparcia, zastosowane normy lub rozwiązania alternatywne, raporty z testów, deklarację zgodności UE oraz, w stosownych przypadkach, SBOM do kontroli przez organy nadzoru rynku. Traktuj je jako obszary dowodowe, a nie sztywną strukturę folderów.
Czy każda wersja firmware'u potrzebuje własnej dokumentacji technicznej?
Nie, ale dokumentacja musi pozostać dokładna dla danej wersji. Wydanie firmware'u lub oprogramowania zmieniające zachowanie istotne dla bezpieczeństwa powinno aktualizować dotknięte sekcje, zwykle SBOM, ocenę ryzyka, notatki projektowe i dowody z testów. Nie trzeba budować całej dokumentacji od zera, ale dowody muszą odpowiadać wersji wprowadzanej na rynek lub objętej wsparciem.
Jak długo należy przechowywać dokumentację techniczną po wycofaniu produktu?
Przechowuj ją przez dłuższy z dwóch okresów: 10 lat albo okres wsparcia. Dziesięcioletni okres liczy się od wprowadzenia produktu z elementami cyfrowymi na rynek; jeśli okres wsparcia jest dłuższy, przechowywanie podąża za tym dłuższym okresem wsparcia. W praktyce producenci powinni planować składowanie wokół ostatniej daty wprowadzenia na rynek danego produktu lub wersji oraz zachować dowody dla każdego dłuższego zobowiązania wsparcia.
Czy dokumentację techniczną należy proaktywnie składać organom?
Nie. Producent przechowuje dokumentację techniczną i przekazuje ją, gdy organ nadzoru rynku występuje z uzasadnionym żądaniem. Jednostka notyfikowana również ją ocenia, gdy wybrana ścieżka oceny zgodności ją obejmuje, jednak rozporządzenie nie wymaga rutynowego składania dokumentacji organom przy wprowadzaniu na rynek.
Czy dokumentacja techniczna może odsyłać do dokumentów zewnętrznych, czy wszystko musi być w jednym miejscu?
Odniesienia zewnętrzne są dopuszczalne, jeśli są precyzyjne i możliwe do odtworzenia. Dokumentacja może wskazywać dokumenty projektowe, raporty z testów, certyfikaty, artefakty SBOM lub zapisy wydań przechowywane w innym miejscu, o ile odniesienie identyfikuje dokładny dokument, wersję, właściciela i lokalizację. Organy potrzebują użytecznych dowodów, a nie uszkodzonego indeksu.
Jaka jest różnica między dokumentacją techniczną a deklaracją zgodności?
Deklaracja jest publicznym oświadczeniem; dokumentacja techniczna jest dowodem. Deklaracja zgodności UE stwierdza, że produkt spełnia CRA. Dokumentacja techniczna zawiera ocenę ryzyka, dowody projektowe, raporty z testów, mapowanie norm, dowody SBOM i inne zapisy, które uzasadniają tę deklarację.