CRA leverantörs due diligence: Frageblankett och verifieringsprocess

Din CRA-efterlevnad beror på dina leverantörer. Om du importerar produkter måste du verifiera tillverkarens efterlevnad. Om du tillverkar påverkar dina komponenter din produkts säkerhetsstatus.

Den här guiden tillhandahåller ett komplett ramverk för leverantörs due diligence, inklusive en frågeblankett du kan skicka idag.

Sammanfattning

• Importörer måste verifiera tillverkarens CRA-efterlevnad innan produkter placeras på EU-marknaden
• Tillverkare bör bedöma komponentleverantörers säkerhetspraxis
• Due diligence är löpande, inte engångsinsat
• Nyckelområden: Dokumentation, sårbarhethantering, säkerhetspraxis, supportåtagande
• Röda flaggor: Saknad DoC, ingen säkerhetskontakt, korta supportperioder, ingen SBOM

Tips: Fokusera din frågeblankett på tre nyckelområden: 1) SBOM-tillgänglighet, 2) Förmåga för sårbarhetrespons, 3) Åtagandeperiod för säkerhetsuppdateringar.

Varning: Leveranskedjesäkerhet är ett delat ansvar under CRA. Om din leverantörs komponenter har kända oåtgärdade sårbarheter är DIN produkt icke-efterlevnad.

Varför leverantörs due diligence spelar roll

För importörer

Artikel 19 gör importörer ansvariga för att verifiera tillverkarens efterlevnad:

• Tillverkaren har genomfört konformitetsbedömning
• Teknisk dokumentation är tillgänglig
• Produkten bär erforderliga märkningar och information
• Tillverkaren har processer för sårbarhethantering

Om tillverkaren inte är efterlevande kan du inte lagligen importera.

För tillverkare

Även som tillverkare inkluderar din produkt komponenter från leverantörer:

• Tredjeparts programvarubibliotek
• Hårdvarukomponenter
• Firmware-moduler
• Molntjänster

Sårbarheter i dessa komponenter blir dina sårbarheter. Din konformitetsbedömning måste beakta risker i leveranskedjan.

Ramverk för due diligence

Nivåbaserad approach

Inte alla leverantörer kräver samma grad av granskning:

LEVERANTÖRSNIVÅBEDÖMNING

NIVÅ 1 (Kritisk):
- Komponenter med säkerhetsfunktioner (krypto, auth, brandväggar)
- Kärnprogramvaruberoenden
- Hårdvara med firmware
Bedömning: Fullständig frågeblankett + dokumentationsgranskning + löpande övervakning

NIVÅ 2 (Signifikant):
- Större funktionalitetskomponenter
- Nätverksanslutna element
- Databearbetningskomponenter
Bedömning: Standardfrågeblankett + dokumentationsgranskning

NIVÅ 3 (Standard):
- Icke-säkerhetskomponenter
- Verktygsbibliotek
- Perifer hårdvara
Bedömning: Grundläggande frågeblankett + stickprov

NIVÅ 4 (Minimal):
- Råvarukomponenter
- Väletablerad öppen källkod
- Icke-ansluten hårdvara
Bedömning: Grundläggande verifiering + SBOM-inkludering

Bedömningsområden

Din due diligence bör täcka:

Frågeblanketten

Använd den här frågeblanketten som startpunkt. Anpassa baserat på leverantörsnivå och dina specifika behov.

Avsnitt 1: Företagsinformation

LEVERANTÖRS DUE DILIGENCE FRÅGEBLANKETT
Avsnitt 1: Företagsinformation

1.1 Företagsuppgifter
    Företagsnamn: ________________________________
    Juridisk adress: _____________________________
    Registreringsland: ___________________________
    Primär kontakt: ______________________________
    Säkerhetskontakt: ____________________________

1.2 Affärsinformation
    År i verksamhet: ____________________________
    Antal anställda: ____________________________
    Årsomsättning (intervall): __________________

1.3 EU-närvaro
    [ ] Etablerat i EU
    [ ] Auktoriserad representant i EU (om utanför EU)
        Namn/adress: ____________________________
    [ ] Ingen EU-närvaro (förklara arrangemang): ___

1.4 Certifieringar (bifoga kopior)
    [ ] ISO 9001 (Kvalitetshantering)
    [ ] ISO 27001 (Informationssäkerhet)
    [ ] ISO 27701 (Integritet)
    [ ] SOC 2
    [ ] Annat: __________________________________

Avsnitt 2: Produktefterlevnad

Avsnitt 2: Produktefterlevnad

2.1 Produktidentifiering
    Produktnamn/modell: __________________________
    Version/revision: ___________________________
    Produktkategori: ___________________________

2.2 CRA-klassificering
    Vad är den här produktens CRA-klassificering?
    [ ] Standard
    [ ] Viktig klass I (Bilaga III, Del I)
    [ ] Viktig klass II (Bilaga III, Del II)
    [ ] Kritisk (Bilaga IV)
    [ ] Ej ännu klassificerad

2.3 Konformitetsbedömning
    Vilken konformitetsbedömningsväg användes?
    [ ] Modul A (Självbedömning)
    [ ] Modul B+C (EU-typprovning)
    [ ] Modul H (Fullständig kvalitetssäkring)
    [ ] Ej ännu genomförd

    Om Modul B, C eller H:
    Anmält organ: ________________________________
    Certifikatnummer: ____________________________
    Certifikatdatum: _____________________________

2.4 EU-försäkran om överensstämmelse
    [ ] DoC tillgänglig (bifoga kopia)
    [ ] DoC ej ännu utfärdad
    Datum för DoC: ______________________________

2.5 CE-märkning
    [ ] CE-märkning applicerad
    [ ] CE-märkning ej ännu applicerad
    Om applicerad, var på produkten: _____________

2.6 Teknisk dokumentation
    [ ] Teknisk fil tillgänglig på begäran
    [ ] SBOM tillgänglig (format: _______________)
    [ ] Riskbedömningsdokumentation tillgänglig
    [ ] Användar-/säkerhetsinstruktioner tillgängliga

Avsnitt 3: Säkerhetspraxis

Avsnitt 3: Säkerhetspraxis

3.1 Säker utveckling
    Följer ni en säker utvecklingslivscykel?
    [ ] Ja - Beskriv: __________________________
    [ ] Nej

    Genomför ni säkerhetstestning?
    [ ] Statisk analys (SAST)
    [ ] Dynamisk analys (DAST)
    [ ] Penetrationstestning
    [ ] Fuzz-testning
    [ ] Annat: __________________________________

    Har ni en standard för säker kod?
    [ ] Ja - Vilken: ___________________________
    [ ] Nej

3.2 Komponenthantering
    Hur spårar ni tredjepartskomponenter?
    [ ] SBOM underhålls
    [ ] Beroendesporningverktyg (namn: __________)
    [ ] Manuell spårning
    [ ] Ej systematiskt spårad

    Hur övervakar ni efter sårbarheter i beroenden?
    [ ] Automatiserad skanning (verktyg: _________)
    [ ] Manuell CVE-övervakning
    [ ] Förlitar sig på leverantörsnotifieringar
    [ ] Ingen systematisk övervakning

3.3 Säkerhetsarkitektur
    Beskriv produktens nyckelsäkerhetsfunktioner:
    ____________________________________________

    Vilka kryptografiska standarder används?
    ____________________________________________

    Hur är autentisering implementerat?
    ____________________________________________

    Hur skyddas data i vila och under transport?
    ____________________________________________

Avsnitt 4: Sårbarhethantering

Avsnitt 4: Sårbarhethantering

4.1 Sårbarhetavslöjande
    Har ni en policy för samordnat sårbarhetavslöjande?
    [ ] Ja - URL: _______________________________
    [ ] Nej

    Har ni en security.txt-fil?
    [ ] Ja - URL: _______________________________
    [ ] Nej

    Vad är säkerhetskontaktmetoden?
    [ ] E-post: _________________________________
    [ ] Webbformulär: ___________________________
    [ ] Bug bounty-plattform: ___________________
    [ ] Annat: __________________________________

4.2 Responsåtaganden
    Vad är er bekräftelsetidslinje?
    [ ] Inom 24 timmar
    [ ] Inom 72 timmar
    [ ] Inom 7 dagar
    [ ] Inget åtagande

    Vad är er typiska patchningstidslinje för:
    Kritiska sårbarheter: _______________________
    Höga sårbarheter: __________________________
    Medelstora sårbarheter: ____________________

4.3 ENISA-rapportering
    Är ni förberedda för ENISA-rapportering (sept 2026)?
    [ ] Ja, process etablerad
    [ ] Pågår
    [ ] Nej
    [ ] Ej tillämpligt (inte tillverkare)

4.4 Historiska sårbarheter
    Hur många säkerhetssårbarheter rapporterades
    i den här produkten de senaste 24 månaderna? ___

    Hur löstes de?
    [ ] Alla patchade inom angivna tidslinjer
    [ ] Vissa förseningar (förklara): ____________
    [ ] Vissa kvarstår opatchade (förklara): _____

Avsnitt 5: Uppdatering och support

Avsnitt 5: Uppdatering och support

5.1 Supportperiod
    Vad är den bekräftade supportperioden från
    marknadsplacering?
    [ ] 5 år (CRA-minimum)
    [ ] 7 år
    [ ] 10 år
    [ ] Annat: __________________________________
    [ ] Ej definierat

    När placerades den här produkten för första gången på EU-marknaden?
    Datum: _____________________________________

    När slutar supportperioden?
    Datum: _____________________________________

5.2 Uppdateringsmekanism
    Hur levereras säkerhetsuppdateringar?
    [ ] Automatiska uppdateringar (OTA)
    [ ] Manuell nedladdning från portal
    [ ] Fysiska media
    [ ] Annat: __________________________________

    Är säkerhetsuppdateringar separerade från funktionsuppdateringar?
    [ ] Ja
    [ ] Nej - paketerade tillsammans

    Kan användare skjuta upp eller hoppa över uppdateringar?
    [ ] Ja
    [ ] Nej - obligatorisk
    [ ] Konfigurerbart

5.3 Uppdateringsverifiering
    Signeras uppdateringar?
    [ ] Ja - Metod: ____________________________
    [ ] Nej

    Kan användare verifiera uppdateringens äkthet?
    [ ] Ja - Hur: ______________________________
    [ ] Nej

5.4 Slut-på-support-planering
    Har ni en dokumenterad EOL-process?
    [ ] Ja
    [ ] Nej

    Hur kommer kunder att notifieras om EOL?
    ____________________________________________

    Vad händer efter att supportperioden slutar?
    [ ] Produkten fortsätter att fungera
    [ ] Produkten förlorar funktionalitet
    [ ] Produkten kräver migrering

Avsnitt 6: Dokumentationskrav

Avsnitt 6: Dokumentationskrav

6.1 Tillgänglig dokumentation
    Markera all dokumentation ni kan tillhandahålla:

    [ ] EU-försäkran om överensstämmelse
    [ ] Teknisk fil (eller relevanta utdrag)
    [ ] Software Bill of Materials (SBOM)
        Format: [ ] CycloneDX [ ] SPDX [ ] Annat
    [ ] Sammanfattning av riskbedömning
    [ ] Säkerhetsarkitekturdokument
    [ ] Användarinstruktioner (säkerhetsrelevanta)
    [ ] Policy för sårbarhetavslöjande
    [ ] Support-/underhållsvillkor

6.2 Dokumentationsleverans
    Hur kommer dokumentation att tillhandahållas?
    [ ] På begäran (responstid: ________________)
    [ ] Via säker portal
    [ ] Medföljer produkten
    [ ] Annat: __________________________________

6.3 SBOM-detaljer (om tillgänglig)
    SBOM täcker:
    [ ] Direkta beroenden enbart
    [ ] Transitiva beroenden inkluderade
    [ ] Hårdvarukomponenter (om tillämpligt)

    SBOM-uppdateringsfrekvens:
    [ ] Per release
    [ ] På begäran
    [ ] Uppdateras inte systematiskt

Avsnitt 7: Kontraktsmässiga åtaganden

Avsnitt 7: Kontraktsmässiga åtaganden

7.1 Efterlevnadsgaranti
    Kommer ni att garantera CRA-efterlevnad i kontraktet?
    [ ] Ja
    [ ] Nej
    [ ] Förhandlingsbart

7.2 Dokumentationsbevarande
    Kommer ni att bevara teknisk dokumentation i 10 år?
    [ ] Ja
    [ ] Nej
    [ ] Kortare period: ________________________

7.3 Notifieringsskyldigheter
    Kommer ni att notifiera oss om:
    [ ] Säkerhetssårbarheter i produkten
    [ ] Förändringar i konformitetsstatus
    [ ] Beslut om slut-på-support
    [ ] Väsentliga förändringar av säkerhetsarkitektur

7.4 Granskningsrättigheter
    Tillåter ni efterlevnadsrevisioner?
    [ ] Ja - obegränsat
    [ ] Ja - med varsel
    [ ] Nej

7.5 Ersättningsskyldighet
    Kommer ni att ersätta för CRA-icke-efterlevnad?
    [ ] Ja
    [ ] Nej
    [ ] Förhandlingsbart

Avsnitt 8: Intyg

Avsnitt 8: Intyg

Jag intygar att informationen i den här frågeblanketten
är korrekt och fullständig enligt min bästa förmåga.

Jag förstår att [Ditt Företag] förlitar sig på denna information
för CRA-efterlevnadsändamål och att väsentliga felaktiga
uppgifter kan resultera i kontraktsuppsägning.

Ifyllt av: ________________________________________
Titel: ____________________________________________
Datum: ____________________________________________
Underskrift: ______________________________________

Röda flaggor

Se upp för dessa varningssignaler under due diligence:

Kritiska röda flaggor (Avbryt relationen)

Allvarliga röda flaggor (Kräver åtgärd)

Gula flaggor (Övervaka noggrant)

Verifieringsprocess

Initial verifiering

1. Dokumentinsamling

   • Begär kopia av DoC
   • Begär SBOM (eller bekräftelse av tillgänglighet)
   • Begär säkerhetskontaktinformation
   • Begär supportperiodåtagande

2. Dokumentgranskning

   • Verifiera att DoC är undertecknad och fullständig
   • Kontrollera att produktidentifiering stämmer
   • Verifiera CE-märkningsanspråk
   • Granska SBOM-format och fullständighet

3. Efterlevnadsstickprov

   • Verifiera att security.txt finns (om webbåtkomlig)
   • Kontrollera att CVD-policy är publicerad
   • Testa att säkerhetskontakt svarar
   • Verifiera supportperiodanspråk i dokumentation

Löpande övervakning

LEVERANTÖRSÖVERVAKNINGSSCHEMA

Månadsvis:
[ ] Kontrollera efter publicerade säkerhetsrådgivningar
[ ] Verifiera att säkerhetskontakt fortfarande fungerar
[ ] Granska eventuella sårbarhetavslöjanden

Kvartalsvis:
[ ] Begär uppdaterad SBOM (om signifikanta releaser)
[ ] Verifiera att CVD-policy fortfarande är tillgänglig
[ ] Kontrollera efter nya certifieringar eller bortfall

Årligen:
[ ] Fullständig frågeblankettsuppdatering
[ ] Granska supportperiodstatus
[ ] Verifiera att dokumentation fortfarande är tillgänglig
[ ] Affärsstabilitetsgenomgång

Händelsebaserat:
[ ] Stor säkerhetsincident → Omedelbar granskning
[ ] Ägarförändring → Fullständig omutvärdering
[ ] Produktavveckling → EOL-planering
[ ] Kontraktsförnyelse → Ny efterlevnadsverifiering

Leverantörsavtalsklausuler

Väsentliga klausuler för CRA

Inkludera dessa bestämmelser i leverantörskontrakt:

Efterlevnadsgaranti:

Leverantören garanterar att Produkten/erna
efterlever förordning (EU) 2024/2847 (Cyberresiliensakt)
och att Leverantören har genomfört erforderlig
konformitetsbedömning.

Dokumentationstillhandahållande:

Leverantören ska på begäran tillhandahålla:
(a) Kopia av EU-försäkran om överensstämmelse
(b) Software Bill of Materials i [CycloneDX/SPDX]-format
(c) Teknisk dokumentation relevant för Köparens
    efterlevnadsskyldigheter
Responstid: [5 arbetsdagar]

Sårbarhetnotifiering:

Leverantören ska notifiera Köparen inom [24/48] timmar
från det att man blivit medveten om en säkerhetssårbarhet
i Produkten/erna som:
(a) Aktivt exploateras, eller
(b) Har ett CVSS-poäng på 7,0 eller högre, eller
(c) Är föremål för offentligt avslöjande

Supportperiodåtagande:

Leverantören åtar sig att tillhandahålla säkerhetsuppdateringar
för Produkten/erna under en minimiperiod av [5/7/10] år
från datumet för första marknadsplacering i EU.

SBOM-uppdateringar:

Leverantören ska tillhandahålla en uppdaterad SBOM inom [10]
arbetsdagar efter varje produktrelease som inkluderar
förändringar av tredjepartskomponenter.

Granskningsrättigheter:

Köparen kan revidera Leverantörens efterlevnad av detta
Avtal och tillämpliga CRA-krav vid [30 dagars] skriftligt
varsel, inte mer än en gång per år om det inte utlöses
av en efterlevnadsfråga.

Vanliga misstag

Förlita sig på självintygande

Problem: Acceptera leverantörens muntliga försäkringar utan dokumentation.

Fix: Erhåll alltid skriftliga bevis. Ingen DoC-kopia = inget köp.

Engångsbedömning

Problem: Due diligence enbart vid kontraktsundertecknande.

Fix: Implementera löpande övervakningsschema. Efterlevnad kan förändras.

Ignorera Nivå 3-4-leverantörer

Problem: Bedömer enbart "stora" leverantörer medan mindre ignoreras.

Fix: Även mindre komponenter kan introducera sårbarheter. Skala bedömningen, hoppa inte över.

Inget kontraktsstöd

Problem: Förlitar sig på leverantörens goda vilja utan kontraktsvillkor.

Fix: Skriv ner efterlevnadsskyldigheter. Inkludera påföljder vid icke-efterlevnad.

Väntar till december 2027

Problem: Påbörjar leverantörsbedömningar precis före CRA-verkställighet.

Fix: Börja nu. Bedömning tar tid. Icke-efterlevande leverantörer behöver tid att åtgärda eller ersättas.

Checklista för leverantörs due diligence

CHECKLISTA FÖR LEVERANTÖRS DUE DILIGENCE

FÖRE ENGAGEMANG:
[ ] Leverantörsnivå fastställd
[ ] Lämplig frågeblankett vald
[ ] Intern granskare utsedd

INITIAL BEDÖMNING:
[ ] Frågeblankett skickad
[ ] Frågeblankett mottagen och granskad
[ ] Röda flaggor identifierade och adresserade
[ ] Dokumentation insamlad:
    [ ] EU-försäkran om överensstämmelse
    [ ] SBOM (eller tillgänglighet bekräftad)
    [ ] CVD-policy
    [ ] Supportperiodåtagande
[ ] Stickprov genomförda:
    [ ] security.txt verifierad
    [ ] Säkerhetskontakt testad
    [ ] CE-märkning verifierad

KONTRAKTSFÖRHANDLING:
[ ] Efterlevnadsklausuler inkluderade
[ ] Dokumentationsbestämmelser överenskomna
[ ] Villkor för sårbarhetnotifiering fastställda
[ ] Supportperiodåtagande säkrat
[ ] Granskningsrättigheter inkluderade
[ ] SBOM-uppdateringsschema överenskommet

EFTER KONTRAKTET:
[ ] Övervakningsschema etablerat
[ ] Första dokumentationsleverans bekräftad
[ ] Kontakter registrerade i leverantörshanteringssystem
[ ] Granskningsdatum bokade

LÖPANDE:
[ ] Månatliga kontroller genomförda
[ ] Kvartalsvisa granskningar genomförda
[ ] Årlig omutvärdering genomförd
[ ] Händelsebaserade ärenden hanterade

Hur CRA Evidence hjälper

CRA Evidence inkluderar leverantörshanteringsförmågor:

• Leverantörsregister: Spåra alla leverantörer med CRA-roller
• Frageblankettspårning: Skicka, ta emot, granska bedömningar
• Dokumentationslagring: DoC:ar, SBOM:er, certifieringar
• Övervakningsvarningar: Spåra supportperioder, granskningsdatum
• SBOM-aggregering: Kombinera leverantörs-SBOM:er till din produkt-SBOM

Hantera din leveranskedjeefterlevnad på app.craevidence.com.

Relaterade guider

• Hur man genererar en CRA-efterlevnadsenlig SBOM: Verktyg, format och CI/CD-integration
• CRA-teknisk fil (Bilaga VII)-guide
• CRA-efterlevnadskostnad: Hur du budgeterar för konformitetsbedömning och dokumentation

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.