Załącznik I

Zasadnicze wymagania w zakresie cyberbezpieczeństwa

Część I Wymagania w zakresie cyberbezpieczeństwa dotyczące cech produktów z elementami cyfrowymi

    1. Produkty z elementami cyfrowymi należy projektować, opracowywać i produkować tak, by zapewniały odpowiedni poziom cyberbezpieczeństwa stosownie do ryzyka;
    1. Na podstawie oceny ryzyka w cyberprzestrzeni, o której mowa w art. 13 ust. 2, i w stosownych przypadkach produkty z elementami cyfrowymi:
    • a) są udostępniane bez żadnych znanych i możliwych do wykorzystania podatności;
    • b) są udostępniane na rynku w bezpiecznej konfiguracji domyślnej, obejmującej możliwość zresetowania produktu do stanu pierwotnego, chyba że producent i użytkownik biznesowy uzgodnią inaczej w odniesieniu do produktu z elementami cyfrowymi dostosowanego do indywidualnych potrzeb;
    • c) zapewniają możliwość eliminowania podatności przez aktualizacje zabezpieczeń, w tym w stosownych przypadkach automatyczne aktualizacje zabezpieczeń instalowane w odpowiednim czasie dzięki ustawieniom domyślnym, z jasnym i łatwym do zastosowania mechanizmem opt-out oraz z powiadamianiem użytkowników o dostępnych aktualizacjach oraz możliwości ich tymczasowego odroczenia;
    • d) zapewniają ochronę przed nieuprawnionym dostępem dzięki odpowiednim mechanizmom kontroli, w tym między innymi systemom uwierzytelniania, identyfikacji lub zarządzania dostępem, a także raportowania o potencjalnym nieuprawnionym dostępie;
    • e) zapewniają ochronę poufności przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych, w tym danych osobowych lub innych, w tym przez szyfrowanie odpowiednich danych odłożonych lub danych przesyłanych z wykorzystaniem najnowocześniejszych mechanizmów oraz przez zastosowanie innych środków technicznych;
    • f) zapewniają ochronę integralności przechowywanych, przekazywanych lub w inny sposób przetwarzanych danych, w tym danych osobowych lub innych, komend, programów i konfiguracji przed wszelką manipulacją lub modyfikacją nieautoryzowaną przez użytkownika, a także powiadamiają o uszkodzeniach danych;
    • g) przetwarzają tylko te dane, w tym dane osobowe lub inne, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne w związku z przeznaczeniem produktu z elementami cyfrowymi (minimalizacja danych);
    • h) zapewniają ochronę dostępności najważniejszych i podstawowych funkcji, również po incydencie, w tym dzięki odporności na ataki typu „odmowa usługi” i środkom łagodzącym ich skutki;
    • i) minimalizują negatywny wpływ samych produktów lub urządzeń podłączonych do internetu na dostępność usług dostarczanych przez inne urządzenia lub sieci;
    • j) są projektowane, opracowywane i produkowane tak, by ograniczyć powierzchnię ataku, w tym interfejsów zewnętrznych;
    • k) są projektowane, opracowywane i produkowane tak, by zmniejszyć wpływ incydentu przy użyciu odpowiednich mechanizmów i technik łagodzenia skutków wykorzystania;
    • l) dostarczają informacje związane z bezpieczeństwem dzięki rejestrowaniu i monitorowaniu odpowiedniej aktywności wewnętrznej, w tym dostępu do danych, usług lub funkcji lub ich modyfikacji, z mechanizmem opt-out dla użytkownika;
    • m) dają użytkownikom możliwość bezpiecznego i łatwego usuwania na stałe wszystkich danych i ustawień, a jeżeli takie dane mogą być przekazywane do innych produktów lub systemów, zapewniają, że odbywa się to bezpiecznie.

Część II Wymagania dotyczące postępowania w przypadku wykrycia podatności

Producenci produktów z elementami cyfrowymi mają obowiązek:

    1. identyfikowania i dokumentowania podatności i komponentów zawartych w produkcie z elementami cyfrowymi, w tym przez sporządzenie zestawienia podstawowych materiałów do produkcji oprogramowania w powszechnie używanym formacie nadającym się do odczytu maszynowego, obejmującego co najmniej zależności najwyższego poziomu produktów;
    1. w odniesieniu do ryzyka, jakie stwarzają produkty z elementami cyfrowymi – bezzwłocznego reagowania na podatności i ich eliminowania, w tym przez udostępnianie aktualizacji zabezpieczeń; jeżeli jest to technicznie wykonalne, nowe aktualizacje zabezpieczeń dostarcza się oddzielnie od aktualizacji funkcji;
    1. przeprowadzania skutecznych i regularnych testów i przeglądów bezpieczeństwa produktu z elementami cyfrowymi;
    1. po udostępnieniu aktualizacji zabezpieczeń – udostępniania i publicznego ujawniania informacji o naprawionych podatnościach, w tym opisu podatności, informacji pozwalających użytkownikom zidentyfikować produkt z elementami cyfrowymi, którego te podatności dotyczą, skutków podatności i ich dotkliwości, a także jasnych i dostępnych informacji pomagających użytkownikom wyeliminować podatności; w należycie uzasadnionych przypadkach, jeżeli producenci uznają, że ryzyko dla bezpieczeństwa związane z publikacją przewyższa korzyści w zakresie bezpieczeństwa, mogą opóźnić podanie do wiadomości publicznej informacji o naprawionych podatnościach do czasu, gdy użytkownicy będą mogli wprowadzić odpowiednią poprawkę (patch);
    1. wprowadzania i egzekwowania polityki skoordynowanego ujawniania podatności;
    1. przyjmowania środków ułatwiających wymianę informacji o potencjalnych podatnościach w ich produkcie z elementami cyfrowymi, a także w komponentach strony trzeciej zawartych w tym produkcie, w tym przez udostępnienie adresu do kontaktu służącego do zgłaszania podatności wykrytych w produkcie z elementami cyfrowymi;
    1. zapewniania mechanizmów bezpiecznej dystrybucji aktualizacji zabezpieczeń produktów z elementami cyfrowymi w celu zapewnienia naprawy lub ograniczenia podatności w odpowiednim czasie, a w przypadku aktualizacji zabezpieczeń – automatycznie;
    1. zapewniania – gdy dostępne są aktualizacje zabezpieczeń służące rozwiązaniu zidentyfikowanych problemów bezpieczeństwa – ich rozpowszechniania bezzwłocznie i bezpłatnie, chyba że producent i użytkownik biznesowy uzgodnią inaczej w odniesieniu do produktu z elementami cyfrowymi dostosowanego do indywidualnych potrzeb, wraz z komunikatami doradczymi zawierającymi odpowiednie informacje dla użytkowników, w tym o potencjalnych działaniach, które należy podjąć.