CRA Bezpieczeństwo ENISA Secure by Design

Playbook ENISA Secure by Design: co to oznacza dla zespołów produktowych pod CRA

ENISA opublikowała Security by Design and Default Playbook (v0.4, marzec 2026) z 22 praktycznymi checklistami dla MŚP wdrażających CRA. Omawiamy zasady, działania w cyklu życia produktu, proces modelowania zagrożeń i mapowanie na wymagania CRA.

CRA Evidence Team
Autor
25 marca 2026
24 min czytania
Playbook ENISA Secure by Design and Default, praktyczny przewodnik dla zespołów produktowych pod CRA
In this article

Podsumowanie

  • ENISA opublikowała Security by Design and Default Playbook (v0.4, marzec 2026), pierwsze oficjalne wytyczne UE przekładające wymogi bezpieczeństwa CRA na praktyczne checklisty inżynierskie dla MŚP
  • Obejmuje pełny cykl życia produktu: od wymagań przez wycofanie z użytku
  • Definiuje 22 zasady bezpieczeństwa podzielone na Secure by Design (14) i Secure by Default (8)
  • Każda zasada ma jednostronicowy playbook z checklistą, minimalnym dowodem i kryteriami bramki wydania
  • Zawiera 8 działań zarządzania ryzykiem i pięcioetapowy proces modelowania zagrożeń zaprojektowany z myślą o małych zespołach
  • Wprowadza Machine-Readable Security Manifests (MRSM), nową koncepcję weryfikowalnych, czytelnych maszynowo dowodów zgodności
  • Mapuje wszystkie 22 zasady na wymagania zasadnicze CRA Annex I (Annex C)
  • Dokument jest aktualnie projektem otwartym na konsultacje publiczne

Czym jest Playbook ENISA Secure by Design?

19 marca 2026 roku Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała Security by Design and Default Playbook, wersję 0.4, jako projekt do konsultacji publicznych.

Jest to pierwsza oficjalna wytyczna UE przekładająca wymogi bezpieczeństwa CRA na konkretne checklisty inżynierskie skierowane do MŚP. Dokument nie jest poradą prawną. Oferuje praktyczne, technicznie ugruntowane podejścia, które zespoły produktowe mogą stosować na etapach projektowania, budowy i wdrażania.

Playbook jest skierowany do MŚP (zdefiniowanych jako organizacje zatrudniające mniej niż 250 pracowników i z rocznym obrotem poniżej 50 mln EUR), które wytwarzają produkty z elementami cyfrowymi. Dotyczy to wbudowanego oprogramowania, urządzeń IoT, systemów połączonych, oprogramowania autonomicznego oraz sprzętu z komponentami programowalnymi.

ENISA opracowała playbook na podstawie analizy istniejących ram bezpieczeństwa opublikowanych przez ENISA i inne unijne agencje ds. cyberbezpieczeństwa, a także wytycznych NIST i OWASP. Wspólne wymagania i wzorce implementacji zostały zidentyfikowane i ocenione pod kątem możliwości wdrożenia przez MŚP.

Annex C playbooka mapuje wszystkie 22 zasady bezpośrednio na wymagania zasadnicze CRA Annex I, zapewniając śledzalne powiązanie między praktykami inżynierskimi a obowiązkami regulacyjnymi.

Ważne: To jest projekt do konsultacji publicznych (v0.4). ENISA aktywnie zbiera uwagi. Wersja finalna może się różnić.

Dla kogo jest ten playbook?

Playbook wyróżnia cztery główne grupy odbiorców (Sekcja 1.3):

  • Programiści i inżynierowie oprogramowania: osoby piszące kod, które potrzebują praktycznych sposobów na wbudowanie bezpieczeństwa bez spowalniania dostarczania
  • Techniczni Product Managerowie: osoby balansujące między pracą nad funkcjami a wymaganiami bezpieczeństwa, próbujące pogodzić jedno z drugim
  • Liderzy bezpieczeństwa w MŚP: osoby przekładające frameworki korporacyjne na coś działającego przy ograniczonych budżetach i małych zespołach
  • Architekci systemów: osoby projektujące systemy, które chcą mieć bezpieczeństwo wbudowane od początku, a nie dołączone później

Wspólne wyzwanie, które ENISA przyznaje: większość MŚP nie ma dedykowanego zespołu bezpieczeństwa, ma ograniczony budżet na narzędzia bezpieczeństwa, a prace z zakresu bezpieczeństwa nieustannie konkurują z dostarczaniem funkcji.

Odpowiedź playbooka: ustrukturyzowane checklisty, które pomagają zespołom identyfikować kontrole bezpieczeństwa przynoszące szybkie efekty, wdrażać je w realistyczny sposób i budować powtarzalną bazę, którą można z czasem doskonalić.

Bezpieczeństwo w całym cyklu życia produktu

ENISA Security by Design, działania bezpieczeństwa w cyklu życia produktu na każdym etapie

Bezpieczeństwo musi być uwzględniane kompleksowo, niezależnie od stosowanego modelu wytwarzania (V-model, Agile lub inny). Playbook definiuje sześć faz, każda z konkretnymi działaniami bezpieczeństwa i dostarczanymi artefaktami.

Kluczowe zasady z dokumentu:

  • Używaj małych, wielokrotnego użytku artefaktów (jednostronicowe notatki kontekstowe, proste diagramy, checklisty)
  • Preferuj automatyczne kontrole w CI/CD zamiast ręcznych przeglądów, rezerwując dogłębną analizę dla zmian wysokiego ryzyka
  • Wprowadzaj szybkie bramki bezpieczeństwa dopasowane do istniejących ceremoni agile (Definition of Ready/Done, sprawdzenia PR, checklista wydania)
Faza Kluczowe działania Artefakt
Wymagania Zdefiniuj kontekst produktu (użytkownicy, środowiska, dane), "nieprzekraczalne" domyślne ustawienia bezpieczeństwa, najważniejsze ryzyka i przypadki nadużyć, ustal jasne kryteria podejmowania ryzyk Jednostronicowy kontekst bezpieczeństwa i założenia + checklista wymagań bezpieczeństwa
Projektowanie Utrzymuj jeden diagram architektury z granicami zaufania, przeprowadź lekki model zagrożeń dla 5-10 najważniejszych przypadków nadużyć, zdecyduj o kluczowych kontrolach projektowych Diagram architektury z granicami zaufania + najważniejsze zagrożenia i mitigacje
Wytwarzanie Wbuduj bezpieczne ustawienia domyślne w kod i konfigurację, egzekwuj higienę zależności, wymagaj przeglądu PR dla zmian wrażliwych na bezpieczeństwo, zautomatyzuj SAST/SCA w CI Dowody CI (logi pipeline) + lekka checklista bezpiecznego kodowania / PR
Testowanie i akceptacja Uruchom automatyczne kontrole bezpieczeństwa (SAST/zależności, podstawowy DAST gdzie stosowne), zwaliduj domyślną konfigurację, ukierunkowany test penetracyjny gdy spełnione są wyzwalacze ryzyka Checklista bezpieczeństwa wydania (zaliczone/niezaliczone + wyjątki + znane problemy/ryzyko resztkowe)
Wdrożenie i integracja Zapewnij bezpieczne provisionowanie i rejestrację, konfigurację runtime z najmniejszymi uprawnieniami, wskaźniki "zdrowia/bezpieczeństwa", kontrolowane zarządzanie zmianą Checklista hartowania wdrożenia + plan wycofania + lista monitorowania i alertów
Utrzymanie i wycofanie Zdefiniuj intake patchy i SLA, monitorowanie podatności, obsługę incydentów oraz plan zakończenia wsparcia/EOL; zapewnij bezpieczne usuwanie (kasowanie danych, unieważnianie poświadczeń) Proces zarządzania podatnościami i patchami + nota EOL/usunięcia + aktywny rejestr ryzyk

Każda faza produkuje konkretny artefakt. Nie są to ogólnikowe wskazówki.

Wskazówka: Playbook zaleca, by artefakty cyklu życia były lekkie: jednostronicowa notatka kontekstu bezpieczeństwa, prosty diagram architektury i checklista wydania wystarczają na początek.

Jakie działania zarządzania ryzykiem rekomenduje ENISA?

Działania zarządzania ryzykiem stanowią fundament wszystkich decyzji Secure by Design i Secure by Default. Playbook nie proponuje ciężkiego, formalnego frameworku. Zamiast tego definiuje minimalny zestaw działań, który może napędzać decyzje bezpieczeństwa bez tworzenia ciężkich procesów (Sekcja 2.2).

Dokument definiuje 8 działań (Tabela 2):

  1. Kontekst i zakres produktu: Zdefiniuj przeznaczenie, środowiska wdrożenia, role użytkowników i administratorów, typy/wrażliwość danych oraz kluczowe zależności zewnętrzne. Artefakt: 1-2 stronicowa notatka "Kontekst bezpieczeństwa produktu" (zakres, założenia, zależności).
  2. Identyfikacja zasobów i szkód: Wymień najważniejsze zasoby danych, sprzętowe lub funkcjonalne (poświadczenia, dane klientów, dane osobowe, sterowanie urządzeniami) oraz kluczowe wyniki szkód (naruszenie prywatności, przejęcie, awaria, oszustwo, wpływ na bezpieczeństwo). Artefakt: Lista zasobów + lista "Najważniejszych szkód" (jedna strona).
  3. Lekkie modelowanie zagrożeń: Patrz sekcja modelowania zagrożeń poniżej.
  4. Rejestr ryzyk: Zapisz 10-30 ryzyk z prawdopodobieństwem/wpływem (prosta skala), właścicielem, sposobem postępowania, statusem. Połącz wysokie ryzyka z elementami backlogu / kontrolami. Artefakt: Aktywny rejestr ryzyk (arkusz kalkulacyjny lub tablica zgłoszeń).
  5. Kryteria akceptacji ryzyka: Zdefiniuj zestaw nieprzekraczalnych warunków ryzyka. Na przykład: nadużycie aktualizacji oprogramowania, nieautoryzowany dostęp administracyjny lub wykorzystanie domyślnych poświadczeń jest NIEDOPUSZCZALNE. Ustal kryteria akceptacji ryzyk resztkowych, które nie powinny podważać zasadniczych wymagań cyberbezpieczeństwa. Artefakt: Jednostronicowa polityka akceptacji i wyjątków ryzyk.
  6. Bazowa linia wymagań bezpieczeństwa: Przełóż najważniejsze ryzyka na testowalne wymagania "must" (authn/authz, bezpieczne wartości domyślne, sekrety, szyfrowanie, logowanie, aktualizacje). Artefakt: Checklista wymagań bezpieczeństwa MŚP (testowalne kontrole).
  7. Bramka przeglądu ryzyk wydania: Formalna bramka przed wydaniem: potwierdź spełnienie checklisty, zweryfikuj domyślne ustawienia, wykonaj triage znanych podatności, zajmij się wysokimi ryzykami lub zaakceptuj je z uzasadnieniem. Zdecyduj o wydaniu lub jego wstrzymaniu. Artefakt: Zapis przeglądu bezpieczeństwa wydania + udokumentowane wyjątki.
  8. Ponowna ocena wyzwolona zmianą: Powtórz etapy kontekstu, zagrożeń i ryzyk przy istotnych zmianach (architektura, model uwierzytelniania, krytyczna zależność/dostawca, środowisko wdrożenia, po incydentach). Artefakt: Zaktualizowana notatka kontekstu, skrócona lista zagrożeń i wpisy w rejestrze ryzyk (z datą).

Uwaga: Zarządzanie ryzykiem jest iteracyjne, nie jednorazowe. Playbook precyzuje, że musi być weryfikowane w określonych bramkach cyklu życia i wyzwalane przez istotne zdarzenia (duże wydanie, zmiana dostawcy, nowy kontekst wdrożenia, wnioski z incydentów).

Jak MŚP powinny podejść do modelowania zagrożeń?

ENISA pięcioetapowy proces modelowania zagrożeń dla MŚP

Playbook opiera się na metodologii STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) jako fundamencie identyfikacji i klasyfikacji zagrożeń (Sekcja 2.3).

Dokument wyraźnie ostrzega przed typowymi anty-wzorcami: traktowaniem modelowania zagrożeń jako jednorazowego ćwiczenia compliance, nadmiernym rozbudowywaniem modeli, które nie wpływają na projekt ani decyzje o domyślnych ustawieniach bezpieczeństwa, oraz brakiem przeglądu modelu po istotnych modyfikacjach produktu lub zmianach w krajobrazie zagrożeń.

Dla MŚP, szczególnie tych tworzących produkty przeznaczone do środowisk niekrytycznych lub niskiego ryzyka, celem jest model "minimum viable": szybki do stworzenia, łatwy do odświeżenia i ściśle powiązany z dostarczaniem (decyzje architektoniczne, domyślna konfiguracja i bramki wydania).

5 kroków (Tabela 3)

  1. Zdefiniuj zakres, założenia i cele bezpieczeństwa: Ogranicz czasowo etap określania zakresu. Zapisz, co jest w zakresie, a co poza nim, kontekst wdrożenia i założenia, na których opierasz decyzje (np. "sieć klienta jest niezaufana", "API chmurowe są dostępne z internetu"). Określ cele bezpieczeństwa istotne dla tego produktu (poufność, integralność, dostępność, a dodatkowo prywatność/bezpieczeństwo fizyczne, jeśli dotyczy). Zidentyfikuj "klejnoty koronne": co absolutnie nie może zawieść. Artefakt: Jednostronicowy "Zakres i cele modelu zagrożeń".

  2. Zamodeluj system na odpowiednim poziomie abstrakcji: Przygotuj jeden, prosty diagram architektury lub przepływu danych. Pokaż główne komponenty, podmioty zewnętrzne, magazyny danych oraz kluczowe punkty wejścia i przepływy danych. Diagram w stylu DFD to najszybsze podejście o wysokiej wartości. Dokument mówi wprost: "nie komplikuj". Artefakt: Diagram obejmujący główne komponenty, podmioty zewnętrzne, magazyny danych i punkty wejścia.

  3. Zaznacz granice zaufania i uprzywilejowane ścieżki, zidentyfikuj kluczowe zasoby: Opatrz diagram adnotacjami o granicach zaufania (internet-backend, urządzenie-chmura, użytkownik-administrator, tenant-tenant) oraz operacjach o najwyższych uprawnieniach (aktualizacja firmware/OTA, zdalny dostęp administracyjny, provisionowanie kluczy, wydawanie tożsamości). Ten krok zamienia "architekturę" w "architekturę istotną dla bezpieczeństwa". Artefakt: Diagram z granicami zaufania, uprzywilejowanymi ścieżkami i najważniejszymi zasobami.

  4. Zidentyfikuj i nadaj priorytety najważniejszym zagrożeniom (5-10 przypadków nadużyć): Wygeneruj krótką listę realistycznych przypadków nadużyć zmapowanych na punkty wejścia i granice (np. "credential stuffing, przejęcie konta", "złośliwa aktualizacja", "ominięcie autoryzacji API", "MITM podczas onboardingu"). Oceń je za pomocą uproszczonego schematu (Wysokie/Średnie/Niskie) na podstawie wpływu i prawdopodobieństwa. OWASP opisuje identyfikację i ocenę zagrożeń jako kluczowy krok w większości podejść do modelowania zagrożeń. Artefakt: Tabela najważniejszych zagrożeń z 5-10 przypadkami nadużyć, wpływem i prawdopodobieństwem, lista "najważniejszych ryzyk".

  5. Zdefiniuj mitigacje, bezpieczne wartości domyślne i weryfikację; ustal wyzwalacze odświeżenia: Dla każdego najważniejszego zagrożenia określ strategię mitigacji, wymagane kontrole oraz domyślne ustawienie bezpieczeństwa, które powinno być dostarczone z produktem (np. "interfejs administracyjny wyłączony domyślnie", "brak domyślnych haseł", "wymagane podpisane aktualizacje", "role z minimalnymi uprawnieniami", "ograniczona liczba prób uwierzytelnienia"). Zmapuj każdą kontrolę na metodę weryfikacji (sprawdzenia CI, testy, walidacja konfiguracji, bramka wydania). Zdefiniuj wyzwalacze wymagające ponownego przeprowadzenia modelu (nowy interfejs dostępny z internetu, zmiana modelu uwierzytelniania, nowe dane wrażliwe, nowa krytyczna zależność, istotna zmiana architektoniczna). Artefakt: Checklista kontroli, domyślnych ustawień i weryfikacji.

Wskazówka: Nawet 2 godziny wspólnego modelowania zagrożeń z zespołem przynoszą rezultaty, na których można działać. Dokument kładzie nacisk na podejście "minimum viable". Zawsze można później dopracować.

Jakie są 22 zasady bezpieczeństwa?

ENISA Secure by Design i Secure by Default, wszystkie 22 zasady w dwóch filarach

Dokument definiuje 22 zasady bezpieczeństwa (Sekcja 3), z których każda ma własny jednostronicowy playbook w Sekcji 4. Playboooki stanowią główny artefakt dokumentu. Każdy z nich sprowadza jedną zasadę do praktycznego przewodnika skupionego na wykonaniu, zawierającego checklistę, minimalny dowód i kryteria bramki wydania. Zasady są podzielone na dwa filary: Secure by Design (jak system jest projektowany inżyniersko, 14 zasad) i Secure by Default (jak produkt zachowuje się po pierwszym uruchomieniu, 8 zasad). Każdy filar jest dalej podzielony na dwie grupy.

Fundamenty architektoniczne (6 zasad)

Dotyczą strukturalnego projektowania i budowy systemu:

  1. Granice zaufania i modelowanie zagrożeń: Zrób zaufanie jawnym. Zdefiniuj, gdzie dane, tożsamości i konteksty wykonania przekraczają granicę ze strefy zaufanej do niezaufanej. Przeprowadź modelowanie zagrożeń, by zidentyfikować co może pójść nie tak na tych granicach.
  2. Minimalne uprawnienia: Przyznawaj tylko minimalny wymagany dostęp. Stosuj konsekwentnie w kontach użytkowników, kontach serwisowych, API i rolach administracyjnych. Eskaluj uprawnienia tylko gdy niezbędne, na najkrótszy możliwy czas.
  3. Silna tożsamość i architektura uwierzytelniania: Jasne podejście do tworzenia, weryfikacji i zarządzania tożsamościami użytkowników, urządzeń, serwisów i administratorów. Odporne na credential stuffing, replay i przechwycenie sesji.
  4. Minimalizacja powierzchni ataku: Redukuj złożoność. Usuń domyślne konta, odinstaluj nieużywane pakiety, zamknij niepotrzebne porty, ogranicz dostępne interfejsy zarządzania. Ciągłe skanowanie podatności.
  5. Obrona w głąb: Warstwowe kontrole, aby awaria jednej nie oznaczała pełnego kompromitacji. Kontrole prewencyjne, detekcyjne i korekcyjne. Różnorodne i niezależne, nie opierające się na tej samej technologii lub założeniu zaufania.
  6. Otwarty projekt (unikanie obscurity): Nie polegaj na tajności projektu jako ochrony. Używaj dobrze zbadanych algorytmów i protokołów, przejrzystej dokumentacji i projektów wytrzymujących kontrolę. Bezpieczeństwo powinno opierać się na chronionych kluczach, silnym uwierzytelnianiu i solidnej implementacji, nie na ukrytych mechanizmach.

Integralność operacyjna (8 zasad)

Dotyczą zarządzania i utrzymania systemu:

  1. Zarządzanie cyklem życia: Bezpieczeństwo wykracza poza etap wytwarzania. Utrzymuj, aktualizuj i wycofuj w kontrolowany sposób. Stosuj Secure by Design od wytwarzania aż po wycofanie z eksploatacji.
  2. Projektowanie zorientowane na użytkownika: Bezpieczeństwo musi być użyteczne dla zwykłych użytkowników. Słaba użyteczność prowadzi do niebezpiecznych obejść. Proste konfigurowanie, automatyczne szyfrowanie, poprowadzone przepływy.
  3. Bezpieczne praktyki kodowania: Stosuj ustalone standardy bezpiecznego kodowania. Narzędzia SAST, SCA dla zależności, DAST przed wdrożeniem. Wczesna identyfikacja, nie po wydaniu.
  4. Logowanie, monitorowanie i alerty: Generuj logi istotne dla bezpieczeństwa, przechowuj przez określony czas i chroń przed modyfikacją. Wykrywaj podejrzane zachowania (nieudane uwierzytelnianie, eskalacja uprawnień, nieoczekiwane zmiany konfiguracji).
  5. Zarządzanie konfiguracją i zmianą: Konfiguracje muszą być kontrolowane, spójne i audytowalne. Bazowe hartowanie, infrastruktura jako kod, proces zmian z przeglądem, testowaniem, zatwierdzeniem i możliwością wycofania.
  6. Reagowanie na incydenty i odtwarzanie: Przygotowany na podatności, skompromitowany kod, złośliwe aktualizacje, niewłaściwe użycie produktu. Zdefiniowane role, ścieżki eskalacji, udokumentowane playboooki, komunikacja z klientami.
  7. Zarządzanie podatnościami i patchami: Praktyczne, powtarzalne, priorytetyzowane ryzykiem. Prosty kanał intake (e-mail bezpieczeństwa + proces disclosure), wewnętrzny proces triage, jasne SLA.
  8. Kontrole łańcucha dostaw: Chroń integralność produktu w punktach o najwyższym wpływie: repozytoria kodu, systemy budowania, klucze podpisywania, kanały dystrybucji. Minimum: ograniczony dostęp do CI/CD, MFA, przegląd peerów dla zmian krytycznych z punktu widzenia bezpieczeństwa, SBOM.

Hartowanie domyślne (4 zasady)

Zapewniają, że produkty startują w bezpiecznym i restrykcyjnym stanie:

  1. Minimalizacja domyślnych serwisów: Nieistotne funkcje i usługi wyłączone domyślnie. Użytkownik musi jawnie się zdecydować na ich włączenie.
  2. Restrykcyjny dostęp początkowy: Wyeliminuj universalne poświadczenia "admin/admin". Wymagaj unikalnych haseł i obowiązkowej zmiany hasła przy pierwszym uruchomieniu.
  3. Bezpieczna komunikacja domyślnie: Wszystkie zewnętrzne komunikaty zaszyfrowane i uwierzytelnione od pierwszego połączenia. Ścisłe wymuszanie TLS 1.3 lub SSH. Brak fallbacków HTTP/Telnet.
  4. Unikalna tożsamość urządzenia i sekrety domyślnie: Dostarcz z unikalnymi poświadczeniami per urządzenie i kryptograficzną tożsamością. Bez wspólnych kluczy ani certyfikatów między produktami. Chronione przed ekstrakcją.

Zarządzana ochrona (4 zasady)

Wspierają użytkowników w utrzymaniu bezpieczeństwa po wdrożeniu:

  1. Obowiązkowy onboarding bezpieczeństwa: Krytyczne funkcje bezpieczeństwa muszą być częścią kreatora konfiguracji początkowej (MFA, klucz szyfrowania, konfiguracja konta administratora). Nie chować w ustawieniach. Blokuj działanie do zakończenia konfiguracji.
  2. Automatyczne utrzymanie i aktualizacje: Automatyczne aktualizacje bezpieczeństwa włączone domyślnie. Oddziel aktualizacje bezpieczeństwa od aktualizacji funkcji. Kryptograficznie zweryfikowane. Bezpieczne tryby awarii (nie "cegłuj" urządzenia). Powiadamiaj użytkowników.
  3. Przejrzysty stan bezpieczeństwa: Wyraźnie pokazuj aktualny stan bezpieczeństwa. Ostrzegaj, gdy użytkownik obniża bezpieczeństwo. Wyjaśniaj wpływ prostym językiem. Oferuj jednokliktową ścieżkę do przywrócenia bezpiecznej linii bazowej.
  4. Bezpieczne odtwarzanie i cykl życia własności: Poprowadzone odtwarzanie (reset poświadczeń, odtwarzanie konta, reset fabryczny, transfer własności). Proste dla użytkowników, ale odporne na przejęcie konta i inżynierię społeczną. Reset fabryczny musi w pełni usunąć dostęp poprzedniego użytkownika.

Powiązanie z CRA: Annex C playbooka mapuje każdą z 22 zasad na konkretne wymagania zasadnicze CRA Annex I, pokazując dokładnie, które praktyki inżynierskie wspierają które obowiązki prawne.

Jak działają playboooki?

22 playbooki ENISA w skrócie, pogrupowane według kategorii

Format playbooka

Sekcja 4 jest najobszerniejszą częścią dokumentu. Zapewnia praktyczny, lekki sposób dla MŚP na wdrożenie Security by Design and Default bez tworzenia ciężkiego obciążenia governance. Każdy playbook sprowadza jedną zasadę bezpieczeństwa do jednostronicowego przewodnika skoncentrowanego na wykonaniu, który zespoły mogą stosować wielokrotnie w kolejnych wydaniach i liniach produktów (Sekcja 4, str. 28).

Celem jest przekształcenie zasad bezpieczeństwa z abstrakcyjnych aspiracji w konkretne działania inżynierskie i operacyjne, z jasnymi oczekiwaniami, weryfikowalnymi wynikami i spójną "definicją ukończenia" dla bezpieczeństwa. Każdy playbook stosuje ten sam pięciosegmentowy format:

  • Nazwa zasady: wdrażana koncepcja bezpieczeństwa
  • Cel: co zasada ma osiągnąć i jakie tryby awarii redukuje
  • Checklista: działania o najwyższym wpływie do wdrożenia (zaprojektowane tak, by były osiągalne przez małe zespoły)
  • Minimalny dowód: najmniejszy zestaw artefaktów, logów lub konfiguracji demonstrujący, że checklista została zrealizowana
  • Bramka wydania: gotowy do użycia zestaw kryteriów zaliczony/niezaliczony, który można stosować w przeglądzie wydania lub CI/CD, by zapobiegać regresjom

Ważne: Ta struktura jest celowo dopasowana do sposobu działania MŚP: krótkie cykle, współdzielone odpowiedzialności, ograniczone możliwości specjalistyczne i potrzeba wskazówek o wysokim stosunku sygnału do szumu.

Stosowanie playbooków

  • Traktuj bramkę wydania każdego playbooka jako stały punkt agendy w przeglądach gotowości do wydania
  • Wdrażaj minimalny dowód jako artefakty repozytorium i wyniki CI wszędzie tam, gdzie to możliwe
  • Zezwalaj na wyjątki tylko z udokumentowanym uzasadnieniem, właścicielem i datą przeglądu
  • Odświeżaj playboooki okresowo na podstawie wniosków z incydentów, trendów podatności i zmian produktu
  • Zawartość powinna być traktowana jako linia bazowa, nie stan finalny. Przeglądaj i aktualizuj w miarę ewolucji produktów.

Wszystkie 22 playboooki w skrócie

Fundamenty architektoniczne:

# Playbook Fokus
4.1 Granice zaufania i modelowanie zagrożeń Narysuj diagram systemu, zaznacz granice, zidentyfikuj 5-10 przypadków nadużyć, zdefiniuj mitigacje
4.2 Minimalne uprawnienia Minimalne uprawnienia per rola/serwis, brak wspólnego konta admin, dostęp JIT, higiena uprawnień
4.3 Silna tożsamość i architektura uwierzytelniania Autorytatywne źródła tożsamości, unikalne tożsamości, MFA dla uprzywilejowanych działań
4.4 Minimalizacja powierzchni ataku Lista dostępnych interfejsów, domyślne odmawianie, usunięcie narzędzi deweloperskich z produkcji, minimalne zależności
4.5 Obrona w głąb Warstwowe kontrole per krytyczny zasób, zakładanie awarii, wielowarstwowa detekcja, różnorodne kontrole
4.6 Otwarty projekt Dokumentuj decyzje bezpieczeństwa, sprawdzone standardy, SBOM, VDP, przegląd PR wrażliwych na bezpieczeństwo

Integralność operacyjna:

# Playbook Fokus
4.7 Zarządzanie cyklem życia Zobowiązania wsparcia, mechanizm aktualizacji i wycofania, śledzenie podatności, plan wycofania z eksploatacji
4.8 Projektowanie zorientowane na użytkownika Bezpieczne wartości domyślne, poprowadzony onboarding, jasne komunikaty, dostęp oparty na rolach dopasowany do przepływów pracy
4.9 Bezpieczne praktyki kodowania Bazowa linia kodowania, zakazane niebezpieczne wzorce, SAST/SCA w CI, negatywne testy dla krytycznych endpointów
4.10 Logowanie, monitorowanie i alerty Obowiązkowe zdarzenia do logowania, strukturalne logi audytu, scentralizowane zbieranie, alerty o wysokim sygnale
4.11 Zarządzanie konfiguracją i zmianą Wersjonuj i przeglądaj konfigurację (IaC), hartuj wartości domyślne, oddzielne środowiska, plany wycofania
4.12 Reagowanie na incydenty i odtwarzanie Role IR i eskalacja, runbooki z checklistami scenariuszy, narzędzia ograniczania, ćwiczenia tabletop
4.13 Zarządzanie podatnościami i patchami Kanały intake, spójny triage z SLA, patchowanie zależności, bezpieczny proces wydania
4.14 Kontrole łańcucha dostaw Inwentarz zależności i SBOM, skanowanie CI, hartowanie pipeline, bazowe oczekiwania wobec dostawców

Hartowanie domyślne:

# Playbook Fokus
4.15 Minimalizacja domyślnych serwisów Domyślnie włączone tylko podstawowe funkcje, wymagane jawne opt-in, ujawnione implikacje bezpieczeństwa
4.16 Restrykcyjny dostęp początkowy Brak domyślnych poświadczeń, unikalne poświadczenia per urządzenie, bezpieczna konfiguracja wymagana przed dostępem
4.17 Bezpieczna komunikacja domyślnie Szyfrowanie od pierwszego połączenia, brak fallbacku do plaintext, tylko nowoczesne protokoły
4.18 Unikalna tożsamość urządzenia i sekrety Kryptograficzna tożsamość per urządzenie, bez wspólnych sekretów, sekrety chronione w spoczynku, obsługiwane unieważnianie

Zarządzana ochrona:

# Playbook Fokus
4.19 Obowiązkowy onboarding bezpieczeństwa Kroki bezpieczeństwa wymuszane w kreatorze konfiguracji, nie można pominąć, blokuje działanie do ukończenia
4.20 Automatyczne utrzymanie i aktualizacje Automatyczne aktualizacje bezpieczeństwa domyślnie, oddzielne od funkcji, kryptograficznie zweryfikowane, bezpieczna awaria
4.21 Przejrzysty stan bezpieczeństwa Pokazuj aktualny stan, ostrzegaj przy obniżeniu bezpieczeństwa, wyjaśniaj wpływ, jednokliktowe przywrócenie do linii bazowej
4.22 Bezpieczne odtwarzanie i cykl życia własności Poprowadzone odtwarzanie/transfer, silna weryfikacja, reset fabryczny w pełni usuwa poprzedni dostęp

Głębsze spojrzenie: Playbook 4.13, Zarządzanie podatnościami i patchami

By pokazać praktyczną głębię formatu, poniżej Playbook 4.13 w pełnym szczególe tak, jak pojawia się w dokumencie:

Zasada: Zarządzanie podatnościami i patchami powinno być praktyczne, powtarzalne i priorytetyzowane ryzykiem. Producenci potrzebują prostego sposobu, by klienci i badacze mogli zgłaszać problemy, oraz wewnętrznego procesu szybkiego triage'u wyników i decydowania o pilnych działaniach.

Cel: Identyfikuj, priorytetyzuj i usuwaj podatności wystarczająco szybko, by redukować realne narażenie w kodzie, zależnościach, infrastrukturze i (jeśli dotyczy) urządzeniach i firmware. Fokus to prosty przepływ od intake do naprawy, jasne SLA i mechanizm aktualizacji zapewniający niezawodne patchowanie.

Checklista:

Działanie Szczegóły
Ustanów kanały intake (nie przegap zgłoszeń) Źródła: skanowanie zależności, wyniki SAST/DAST, doradztwa dostawców, zgłoszenia klientów, e-mail bezpieczeństwa itp. Przypisz jednego właściciela do triage'u i śledzenia.
Triage i priorytetyzuj konsekwentnie Stosuj uproszczone podejście do oceny ważności (np. Krytyczne/Wysokie/Średnie/Niskie) wraz z flagami "dostępne z internetu?" i "aktywnie eksploatowane?". Decyduj szybko: napraw teraz, mitiguj, zaakceptuj (z limitem czasowym) lub odłóż (z uzasadnieniem).
Patchuj zależności i strony trzecie proaktywnie Utrzymuj regularny rytm (np. tygodniowy/miesięczny) dla aktualizacji zależności. Pinuj wersje; usuń nieużywane zależności; śledź zależności przechodnie.
Napraw, przetestuj i wydaj bezpiecznym procesem Zapewnij, że poprawki są przeglądane i testowane; zweryfikuj brak regresji w authn/authz, walidacji danych wejściowych i krytycznych przepływach. Dla urządzeń/IoT: zapewnij bezpieczną ścieżkę OTA/aktualizacji i bezpieczne wycofanie tam, gdzie to wykonalne.
Komunikuj i zamykaj pętlę Śledź dotknięte wersje, klientów/środowiska i wskazówki dotyczące mitigacji. Publikuj noty o wydaniach bezpieczeństwa lub doradztwa stosownie do sytuacji. Zweryfikuj zakończenie wdrożenia i zaktualizuj rejestr ryzyk.

Minimalny dowód:

  • Tablica/rejestr śledzenia podatności: zgłoszenie, ważność, dotknięte komponenty/wersje, właściciel, status, docelowa data
  • Zdefiniowane SLA (przykład): triage Krytycznych w ciągu 48 godzin; cel usunięcia/wydania w ciągu X dni (dostosuj do swojej rzeczywistości)
  • Dowody skanowania: wyniki CI dla skanowania zależności i SAST (i DAST jeśli dotyczy)
  • Proaktywne patche zależności: SBOM lub inwentarz zależności per wydanie (co najmniej dla dostarczanych artefaktów)
  • Zapis wydania patcha: powiązanie od zgłoszenia podatności przez PR(y) do testów, do wersji wydania, do potwierdzenia wdrożenia
  • Log wyjątków: zaakceptowane ryzyka mają właściciela i datę wygaśnięcia/przeglądu oraz kontrole kompensujące (jeśli dotyczy)

Bramka wydania:

  • Skanowania zależności i SAST wykonane dla wydania; wyniki Krytyczne/Wysokie zaadresowane lub udokumentowany wyjątek (właściciel + data wygaśnięcia)
  • SBOM (lub inwentarz zależności) wygenerowany/zaktualizowany i przechowany dla wydania
  • Znane podatności dotykające dostarczanych komponentów mają triage z ważnością, właścicielem i docelową datą
  • Proces patchowania zwalidowany: poprawka przejrzana, testy zaliczone i noty wydania zaktualizowane stosownie do potrzeb
  • Dla komponentów dostępnych z internetu: mitigacje lub patche dla Krytycznych/Wysokich są wdrożone przed wydaniem
  • OTA/aktualizacja (jeśli dotyczy) zwalidowana pod kątem bezpiecznego dostarczania; udokumentowane wycofanie i odtwarzanie
  • Zaakceptowane ryzyko resztkowe jest ograniczone czasowo i śledzone do zamknięcia lub daty przeglądu

Czym są Machine-Readable Security Manifests?

ENISA MRSM czteropoziomowy model, od tożsamości do dowodu

Sekcja 5 playbooka wprowadza nową koncepcję: przejście od statycznej, dokumentochłonnej zgodności do weryfikowalnych, czytelnych maszynowo atestacji bezpieczeństwa.

Atestacja bezpieczeństwa czytelna maszynowo to cyfrowe twierdzenie w formacie JSON lub YAML stwierdzające, że określona kontrola bezpieczeństwa, proces lub właściwość zostały spełnione. W przeciwieństwie do statycznych raportów PDF, te atestacje mogą być generowane i konsumowane przez systemy automatyczne, umożliwiając częste aktualizacje i automatyczną walidację. Wbudowane w pipeline wytwarzania, bezpieczeństwo staje się inherentne, a nie sprawdzeniem po fakcie.

Cztery kluczowe właściwości

  • Demonastrowalność: Proaktywna zdolność dostarczania czytelnych maszynowo dowodów implementacji wymagań bezpieczeństwa, przejście od "twierdzenia" do "pokazywania"
  • Weryfikowalność: Niezależna strona może programistycznie uwierzytelnić i zwalidować integralność twierdzeń bezpieczeństwa, przejrzyste, odporne na manipulację i zmapowane na uznane kotwice zaufania
  • Ponowne użycie: Używaj istniejących atestacji jako podstawy, integruj w cyklu wytwarzania i włączaj do agile quality gates
  • Niezawodność: Polegaj na atestacjach przy due diligence stron trzecich, upraszczając zaufanie w łańcuchu dostaw

Model czteropoziomowy

Playbook ilustruje hierarchiczny model danych, w którym każde twierdzenie bezpieczeństwa wysokiego poziomu jest poparte granularnym dowodem technicznym:

  1. Metadane i atestacja (domena tożsamości): tożsamość produktu, wersjonowanie, kryptograficzny podpis producenta
  2. Warstwa kontrolna (domena governance): ustrukturyzowane cele bezpieczeństwa dopasowane do wymagań, zasad i regulacji
  3. Warstwa implementacji / mapa zagrożeń i mitigacji (domena operacyjna): mapuje konkretne zagrożenia na wdrożone mitigacje, zasady projektowe, domyślne ustawienia i opisy czytelne dla człowieka
  4. Warstwa oceny i weryfikacji (domena dowodowa): czytelne maszynowo wyniki zaliczony/niezaliczony z automatycznych bramek, z odnośnikami do SBOM

Dokument opisuje również warstwy kontroli dostępu: publiczny JSON zapewniający twierdzenia wysokiego poziomu oraz zastrzeżona nakładka techniczna zawierająca zaszyfrowane szczegółowe konfiguracje narzędzi i telemetrię testów.

Istniejący ekosystem

Playbook umieszcza MRSM w kontekście istniejącego krajobrazu standardów:

  • OSCAL (NIST): "Compliance as Code", standaryzowane katalogi kontroli bezpieczeństwa, plany bezpieczeństwa systemu, wyniki ocen
  • CycloneDX CDXA (OWASP/ECMA-424): Pierwotnie format SBOM, rozszerzony do pełnego standardu przejrzystości. Atestacje CDXA dla twierdzeń bezpieczeństwa, VEX dla podatności na eksploitację, CBOM dla zasobów kryptograficznych
  • OpenSSF: Security Insights (czytelne maszynowo fakty bezpieczeństwa w YAML), Scorecard (automatyczna ocena najlepszych praktyk)
  • OWASP ASVS: Application Security Verification Standard, bazowe wymagania. MLSVS rozszerzone na AI/ML
  • TC54 (Ecma International): Transparency Exchange API, standaryzujące sposób odkrywania i udostępniania SBOM i atestacji

Przepracowany przykład SafeGate-X1

Dokument zawiera kompletny scenariusz (strony 56-61) pokazujący, jak fikcyjny producent sprzętowego kontrolera wdrożyłby MRSM: model zagrożeń z 5 zagrożeniami (RCE przez web API, eskalacja uprawnień, skanowanie portów, credential stuffing, manipulacja binarnym plikiem), kontrole zmapowane na zasady i manifest JSON pokazujący, jak każde threat_id mapuje na zasadę, mitigation_control, secure_by_default_setting i verification_gate z evidence_hash. Zawiera również tabelę weryfikacji stron trzecich pokazującą, co audytorzy mogą sprawdzić wyrywkowo.

Uwaga: MRSM to koncepcja ilustracyjna, nie proponowany standard. Ale sygnalizuje kierunek, w jakim zmierza zgodność z CRA: od statycznych folderów z dowodami PDF do weryfikowalnych, czytelnych maszynowo artefaktów, które twój pipeline CI/CD i klienci mogą automatycznie weryfikować.

Jak zasady mapują się na wymagania CRA?

Annex C playbooka zapewnia kompletne mapowanie wszystkich 22 zasad na konkretne wymagania zasadnicze CRA Annex I. To jest inżynierski pomost między wskazówkami playbooka a twoimi obowiązkami prawnymi.

CRA Annex I jest podzielony na dwie części:

  • Część 1 (ANNEX-1.PT1): Wymagania bezpieczeństwa produktu, obejmujące 14 wymagań: ocena ryzyk cyberbezpieczeństwa, bezpieczne wartości domyślne, aktualizacje, kontrola dostępu, ochrona danych, integralność, minimalizacja danych, dostępność, ograniczenie powierzchni ataku, mitigacja incydentów, logowanie i bezpieczne usuwanie danych
  • Część 2 (ANNEX-1.PT2): Wymagania obsługi podatności, obejmujące 8 wymagań: SBOM, terminowe usuwanie, testowanie, disclosure, skoordynowane VDP, intake podatności, bezpieczna dystrybucja poprawek i terminowe rozpowszechnianie

Każda zasada mapuje na wiele wymagań CRA. Poniżej wybrane przykłady z Annex C:

Zasada Wymagania CRA Wsparcie implementacji
Granice zaufania i modelowanie zagrożeń ANNEX-1.PT1.1, PT1.2.d, PT1.2.e, PT1.2.f, PT1.2.j Wspiera ocenę ryzyk, kontrolę dostępu, poufność, integralność i ograniczenie powierzchni ataku przez jawne wyrażenie założeń i granic zaufania
Zarządzanie podatnościami i patchami ANNEX-1.PT2.1, PT2.2, PT2.4, PT2.5, PT2.6, PT2.7, PT2.8 Wspiera SBOM, terminowe usuwanie, disclosure, skoordynowane VDP, intake podatności, bezpieczną dystrybucję patchy i terminowe rozpowszechnianie
Kontrole łańcucha dostaw ANNEX-1.PT1.2.a, PT2.1, PT2.7 Wspiera wydanie bez znanych podatności exploitowalnych, generowanie SBOM i bezpieczną dystrybucję przez chronione kanały budowania
Automatyczne utrzymanie i aktualizacje ANNEX-1.PT1.2.b, PT1.2.c, PT2.2, PT2.7 Wspiera bezpieczną konfigurację domyślną, automatyczne aktualizacje bezpieczeństwa, terminowe usuwanie i bezpieczną dystrybucję aktualizacji
Minimalne uprawnienia ANNEX-1.PT1.2.d, PT1.2.f, PT1.2.g Wspiera ochronę przed nieautoryzowanym dostępem, ochronę integralności i minimalizację danych
Logowanie, monitorowanie i alerty ANNEX-1.PT1.2.d, PT1.2.l Wspiera wykrywanie prób nieautoryzowanego dostępu i rejestrowanie/monitorowanie istotnych dla bezpieczeństwa działań wewnętrznych

Powiązanie z CRA: Playbook nie jest checklistą zgodności prawnej, ale zapewnia inżynierski pomost do CRA Annex I. Jeśli możesz wykazać przestrzeganie tych 22 zasad, masz istotne dowody wspierające ocenę zgodności z CRA.

Co powinieneś zrobić dalej?

  1. Zacznij od Sekcji 2: Zidentyfikuj aktualną fazę cyklu życia i wyprodukuj artefakty z Tabeli 1. Nawet jednostronicowa notatka kontekstu bezpieczeństwa i podstawowy diagram architektury stawiają cię przed większością zespołów.

  2. Przejdź przez 8 działań zarządzania ryzykiem (Tabela 2): Większość MŚP może wyprodukować wyniki w 1-2 skupionych dniach. Zacznij od kontekstu produktu, identyfikacji zasobów i szkód oraz kryteriów akceptacji ryzyk.

  3. Przeprowadź lekki model zagrożeń (Tabela 3): Nawet 2 godziny z twoim zespołem przy tablicy i metodologii STRIDE przynoszą rezultaty, na których można działać. Skoncentruj się na 5-10 przypadkach nadużyć, które mają największe znaczenie.

  4. Wybierz 3-5 playbooków najbardziej istotnych dla twojego następnego wydania i użyj checklisty. Typowe punkty startowe: 4.9 (Bezpieczne kodowanie), 4.13 (Zarządzanie podatnościami), 4.2 (Minimalne uprawnienia), 4.16 (Restrykcyjny dostęp początkowy).

  5. Użyj kryteriów bramki wydania jako agendy przeglądu bezpieczeństwa przed wydaniem. To najszybsza ścieżka od "brak procesu przeglądu bezpieczeństwa" do "udokumentowanych, powtarzalnych bramek bezpieczeństwa".

  6. Pobierz pełny playbook ENISA: To jest projekt v0.4. Prześlij swoje uwagi w trakcie okresu konsultacji.

Wskazówka: Zacznij od małego. Wybierz jedno nadchodzące wydanie, zastosuj 3 playboooki i użyj bramek wydania. Będziesz mieć konkretne dowody praktyk Secure by Design, na których możesz budować.

Oficjalne źródła

Powiązane przewodniki

Niniejszy artykuł ma wyłącznie charakter informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności skonsultuj się z wykwalifikowanym radcą prawnym.

Tematy omówione w tym artykule

Udostępnij ten artykuł

Powiązane artykuły

Does the CRA apply to your product?

Odpowiedz na 6 prostych pytań, aby sprawdzić, czy Twój produkt podlega unijnemu Cyber Resilience Act. Otrzymaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny
Powrót do wszystkich artykułów