CRA-teknisk fil: Vad som ingår i varje avsnitt (Bilaga VII genomgång)

Den tekniska filen är ditt bevispaketet för CRA-efterlevnad. Marknadsövervakningsmyndigheter kommer att begära den. Anmälda organ kommer att granska den. Utan en komplett teknisk fil kan du inte lagligen placera din produkt på EU-marknaden.

Den här guiden bryter ner Bilaga VII avsnitt för avsnitt och förklarar vad varje kräver och hur man förbereder det.

Sammanfattning

• Teknisk fil dokumenterar hur din produkt uppfyller CRA:s väsentliga krav
• Måste förberedas innan marknadsplacering, förvaras i 10 år efteråt
• Innehåller: produktbeskrivning, riskbedömning, designdokument, SBOM, testresultat, konformitetsbevis
• Myndigheter kan begära den när som helst, och ofullständiga filer innebär icke-efterlevnad
• Börja tidigt: att bygga en ordentlig teknisk fil tar månader, inte veckor

Vad är den tekniska filen?

Den tekniska filen (även kallad "teknisk dokumentation") är det fullständiga bevispaketet som visar att din produkt efterlever CRA-krav.

Den är inte:

• Marknadsföringsmaterial
• Enbart användarhandböcker
• En bockningsmall

Den är:

• Heltäckande tekniskt bevis
• Levande dokumentation (uppdateras under hela produktens livslängd)
• Ditt försvar vid marknadsövervakningsutredningar
• Obligatorisk för konformitetsbedömning

Viktigt: Den tekniska filen måste förberedas INNAN marknadsplacering och bevaras i 10 år efter att sista enheten placeras på marknaden. Myndigheter kan begära den när som helst.

Bilaga VII strukturöversikt

CRA:s Bilaga VII specificerar krav på teknisk dokumentation:

TEKNISK FILSTRUKTUR (Bilaga VII)

1. ALLMÄN BESKRIVNING
   └── Produktidentifiering och avsett ändamål

2. DESIGN OCH UTVECKLING
   └── Hur säkerhet byggdes in

3. CYBERSÄKERHETSRISKBEDÖMNING
   └── Identifierade och åtgärdade risker

4. VÄSENTLIGA KRAV
   └── Hur Bilaga I-krav uppfylls

5. TILLÄMPADE STANDARDER
   └── Använda standarder och avvikelser

6. SOFTWARE BILL OF MATERIALS
   └── Komponenter och beroenden

7. TESTRESULTAT
   └── Verifieringsbevis

8. EU-FÖRSÄKRAN OM ÖVERENSSTÄMMELSE
   └── Eller kopia därav

9. SÅRBARHETHANTERING
   └── Eftermarknads-säkerhetsprocesser

Avsnitt 1: Allmän beskrivning

Syfte: Fastställ vad produkten är och vad den är till för.

Obligatoriskt innehåll

CHECKLISTA FÖR ALLMÄN BESKRIVNING

Produktidentifiering:
[ ] Produktnamn och modellnummer
[ ] Hårdvaruversion(er)
[ ] Programvaru-/firmwareversion(er)
[ ] Serienummerformat eller -intervall
[ ] Unikt produktidentifierare

Avsett ändamål:
[ ] Primär funktionsbeskrivning
[ ] Målanvändare/miljö
[ ] Avsedda användningsfall
[ ] Ej avsedda användningar (undantag)

Produktkategori:
[ ] CRA-klassificering (Standard/Viktig/Kritisk)
[ ] Motivering för klassificering
[ ] Relaterade produktregler (om några)

Marknadsinformation:
[ ] Datum för första EU-marknadsplacering
[ ] Målmedlemsstater
[ ] Distributionskanaler

Exempel

ALLMÄN BESKRIVNING

Produktnamn: SmartSense Pro Industriell sensor
Modellnummer: SSP-3000
Hårdvaruversion: Rev C (PCB v3.2)
Firmwareversion: 2.4.1

AVSETT ÄNDAMÅL:
SmartSense Pro är en industriell miljösensor
designad för övervakning av tillverkningsanläggningar.
Den mäter temperatur, luftfuktighet och luftkvalitet
och sänder data via WiFi till moln eller lokala servrar.

MÅLANVÄNDARE:
- Anläggningschefer
- Industriella automationsintegratörer
- Miljöefterlevnadsansvariga

AVSEDD MILJÖ:
- Inomhus industrimiljöer
- Driftstemperatur: -10°C till +60°C
- Nätverk: WiFi 802.11 b/g/n

INTE AVSEDD FÖR:
- Medicinska eller livssäkerhetskritiska tillämpningar
- Utomhusinstallation
- Explosionsfarliga atmosfärer
- Konsument-/bostadsbruk

CRA-KLASSIFICERING:
Standardprodukt. Ej listad i Bilaga III eller IV.
Motivering: Allmänt syfte sensor utan säkerhetsfunktioner
eller kritisk infrastrukturtillämpning.

EU-MARKNADSPLACERING:
Första placering på marknaden: 15 mars 2027
Målmarknader: Alla EU-medlemsstater
Distribution: Direktförsäljning och auktoriserade distributörer

Avsnitt 2: Design och utveckling

Syfte: Dokumentera hur säkerhet inkorporerades i produktdesignen.

Obligatoriskt innehåll

CHECKLISTA FÖR DESIGNDOKUMENTATION

Arkitektur:
[ ] Systemarkitekturdiagram
[ ] Komponentinteraktionsdiagram
[ ] Dataflödesdiagram
[ ] Förtroendegränser identifierade

Säkerhetsdesign:
[ ] Säkerhetsarkitekturbeskrivning
[ ] Kryptografiska implementeringar
[ ] Autentiseringsmekanismer
[ ] Auktoriseringsmodell
[ ] Säkra kommunikationsprotokoll
[ ] Dataskyddsåtgärder

Utvecklingsprocess:
[ ] Säker utvecklingslivscykelbeskrivning
[ ] Spårbarhet för säkerhetskrav
[ ] Kodgranskningsprocedurer
[ ] Säkerhetstestning under utveckling
[ ] Konfigurationshantering

Ändringshantering:
[ ] Versionskontrollprocedurer
[ ] Konsekvensbedömning av ändringar
[ ] Säkerhetsgranskning för ändringar

Hur "Säker by design"-dokumentation ser ut

SÄKERHETSARKITEKTURÖVERSIKT

1. FÖRTROENDEGRÄNSER
   ┌─────────────────────────────────────────┐
   │            Moln-backend                  │
   │  (Autentisering, datalagring)            │
   └───────────────┬─────────────────────────┘
                   │ TLS 1.3
   ┌───────────────┴─────────────────────────┐
   │         Enhetsfirmware                   │
   │  ┌─────────────────────────────────┐    │
   │  │    Applikationslager            │    │
   │  ├─────────────────────────────────┤    │
   │  │    Säkerhetstjänster            │    │
   │  │  (Krypto, Auth, Secure Boot)    │    │
   │  ├─────────────────────────────────┤    │
   │  │    Hårdvarusäkerhet             │    │
   │  │  (Secure Element, RNG)          │    │
   │  └─────────────────────────────────┘    │
   └─────────────────────────────────────────┘

2. AUTENTISERING
   - Enhet-till-moln: Ömsesidig TLS med enhetscertifikat
   - Användare-till-enhet: Lokalt API kräver autentiseringstoken
   - Certifikatprovisionering: Fabriksprovisionerat, unikt per enhet

3. DATASKYDD
   - Data i vila: AES-256-GCM-kryptering
   - Data under transport: TLS 1.3 med certifikatpinning
   - Känslig data: Lagras i secure element

4. UPPDATERINGSMEKANISM
   - Signerade firmware-uppdateringar (ECDSA P-256)
   - Signaturverifiering innan installation
   - Återkallningsskydd via versionräknare
   - Automatiska uppdateringskontroller (användarkonfigurerbart)

Avsnitt 3: Cybersäkerhetsriskbedömning

Syfte: Dokumentera identifierade risker och hur de åtgärdas.

Obligatoriskt innehåll

CHECKLISTA FÖR RISKBEDÖMNING

Metodik:
[ ] Riskbedömningsmetodik beskriven
[ ] Omfångsdefinition
[ ] Tillgångsidentifiering
[ ] Tillvägagångssätt för hotidentifiering

Riskanalys:
[ ] Hot uppräknade
[ ] Sårbarheter beaktade
[ ] Konsekvensbedömning
[ ] Sannolikhetsbedömning
[ ] Riskklassificeringar

Riskbehandling:
[ ] Behandlingsbeslut för varje risk
[ ] Säkerhetskontroller mappade till risker
[ ] Restriskvärdering
[ ] Kriterier för riskacceptans

Format för riskbedömning

CYBERSÄKERHETSRISKBEDÖMNING

Produkt: SmartSense Pro (SSP-3000)
Version: 2.4.1
Bedömningsdatum: Januari 2027
Bedömare: [Namn, Säkerhetsteam]

METODIK:
Baserad på ISO 27005 anpassad för produktsäkerhet.
Risk = Sannolikhet × Konsekvens
Skala: Låg (1-4), Medium (5-9), Hög (10-16), Kritisk (17-25)

─────────────────────────────────────────────────────────────
RISK-ID: R-001
HOT: Obehörig firmware-modifiering
SÅRBARHET: Osignerad firmware kan installeras
KONSEKVENS: Hög (5) - Enhetskompromettering, dataintrång
SANNOLIKHET: Medium (3) - Kräver fysisk åtkomst
INHERENT RISK: 15 (Hög)

KONTROLL: Firmware-signaturverifiering
IMPLEMENTERING: ECDSA P-256-signatur kontrollerad innan installation
RESTRISK: 3 (Låg) - Kryptografisk attack osannolik

STATUS: Mitigerad
─────────────────────────────────────────────────────────────
RISK-ID: R-002
HOT: Man-i-mitten-attack på molnkommunikation
SÅRBARHET: Nätverkstrafikavlyssning
KONSEKVENS: Hög (4) - Dataexponering, kommandoinjektion
SANNOLIKHET: Medium (3) - Offentliga nätverk möjliga
INHERENT RISK: 12 (Hög)

KONTROLL: TLS 1.3 med certifikatpinning
IMPLEMENTERING: Hårdkodad CA-certifikat, ingen fallback
RESTRISK: 2 (Låg) - Certifikatkompromiss osannolik

STATUS: Mitigerad
─────────────────────────────────────────────────────────────
[Fortsätt för alla identifierade risker...]

RISKÖVERSIKT:
Totalt identifierade risker: 23
Kritiska: 0
Höga: 3 (alla mitigerade till Låg/Medium)
Medelstora: 8 (alla mitigerade till Låg)
Låga: 12 (accepterade eller mitigerade)

ACCEPTANS AV RESTRISK:
Alla restriskiver är inom acceptabla toleranser.
Undertecknat: [Säkerhetschef], [Datum]

Avsnitt 4: Mappning av väsentliga krav

Syfte: Visa hur varje krav i Bilaga I uppfylls.

Bilaga I, Del I-krav

Mappa varje krav till din implementering:

EFTERLEVNADSMATRIS FÖR VÄSENTLIGA KRAV

BILAGA I, DEL I - SÄKERHETSKRAV
═══════════════════════════════════════════════════════════

1. DESIGNAD UTAN KÄNDA EXPLOATERBARA SÅRBARHETER
   Status: EFTERLEVANDE
   Bevis:
   - Sårbarhetsskanningsrapport (Trivy): 0 kritiska/höga
   - Beroendeanalys: Alla komponenter på senaste säkra versioner
   - Penetrationstestrapport: Inga exploaterbara sårbarheter hittade
   Referens: Testrapport TR-2027-001, sidor 15-23

2. SÄKER SOM STANDARD-KONFIGURATION
   Status: EFTERLEVANDE
   Bevis:
   - Dokument för standardkonfigurationsgranskning
   - Inga standardlösenord (unika inloggningsuppgifter krävs vid installation)
   - Onödiga tjänster inaktiverade som standard
   - Säkra protokoll aktiverade som standard (TLS, inte HTTP)
   Referens: Designdokument DD-004, Avsnitt 3.2

3. SKYDD MOT OBEHÖRIG ÅTKOMST
   Status: EFTERLEVANDE
   Bevis:
   - Autentiseringsarkitekturdokument
   - Åtkomstkontrollimplementering
   - Sessionshanteringsdesign
   - Kontolåsning vid misslyckade inloggningsförsök
   Referens: Säkerhetsarkitektur SA-001, Kapitel 4

[Fortsätt för alla Bilaga I-krav...]

Bilaga I, Del II-krav

BILAGA I, DEL II - SÅRBARHETHANTERING
═══════════════════════════════════════════════════════════

1. IDENTIFIERA OCH DOKUMENTERA SÅRBARHETER
   Status: EFTERLEVANDE
   Bevis:
   - Sårbarhetspårningssystem (JIRA-projekt VULN)
   - CVE-övervakningsprocessdokument
   - SBOM-baserad beroendespårning
   Referens: Processdokument PD-VULN-001

2. ÅTGÄRDA SÅRBARHETER UTAN DRÖJSMÅL
   Status: EFTERLEVANDE
   Bevis:
   - SLA-dokument för sårbarhetrespons
   - Historiska responstidsmätvärden
   - Patchutvecklingsprocess
   Referens: Processdokument PD-VULN-002

[Fortsätt för alla Del II-krav...]

Avsnitt 5: Tillämpade standarder

Syfte: Dokumentera vilka standarder som användes och hur.

Obligatoriskt innehåll

CHECKLISTA FÖR STANDARDTILLÄMPNING

Standardlista:
[ ] Alla tillämpade standarder listade med versionsnummer
[ ] Harmoniserade standarder identifierade separat
[ ] Referens till officiell tidskriftspublicering (om harmoniserad)

Tillämpningsbevis:
[ ] Hur varje standard tillämpades
[ ] Vilka klausuler/avsnitt som gäller
[ ] Eventuella avvikelser eller delvis tillämpning

Avvikelsehantering:
[ ] Avvikelser dokumenterade med motivering
[ ] Alternativa åtgärder för avvikna krav
[ ] Riskbedömning för avvikelser

Format för standarddokumentation

TILLÄMPADE STANDARDER

HARMONISERADE STANDARDER (presumtion om konformitet):
─────────────────────────────────────────────────────────────
Standard: EN 303 645 (när harmoniserad för CRA)
Titel: Cybersäkerhet för konsument-IoT
Status: Tillämpat i sin helhet
Publikation: EUT [referens när publicerad]
Bevis: Standardefterlevnadsrapport SCR-001
─────────────────────────────────────────────────────────────

ANDRA TILLÄMPADE STANDARDER:
─────────────────────────────────────────────────────────────
Standard: IEC 62443-4-1:2018
Titel: Säkerhet för industriell automation - Säker utveckling
Status: Tillämpat (valda krav)
Tillämpade klausuler: 5, 6, 7, 8, 10
Bevis: SDL-dokumentation SLD-001
─────────────────────────────────────────────────────────────

AVVIKELSER:
─────────────────────────────────────────────────────────────
Standard: EN 303 645
Klausul: 5.3-2 (Unika inloggningsuppgifter per enhet)
Avvikelse: Inloggningsuppgifter unika per enhet men ej föruprovisionerade
Motivering: Enheten kräver användarinstallation; inloggningsuppgifter skapas
              under konfiguration vid första användning
Alternativ åtgärd: Starka lösenordskrav, kontolåsning vid misslyckade försök
Riskbedömning: Restrisk acceptabel (se R-015)
─────────────────────────────────────────────────────────────

Tips: Automatisera din SBOM-generering i CI/CD. Manuell SBOM-skapning är felbenägen och skalas inte över produktversioner.

Avsnitt 6: Software Bill of Materials

Syfte: Tillhandahåll komponenttransparens för sårbarhetspårning.

Obligatoriskt innehåll

CHECKLISTA FÖR SBOM-KRAV

Format:
[ ] Maskinläsbart format (CycloneDX eller SPDX)
[ ] Mänskligt läsbar sammanfattning

Innehåll:
[ ] Alla programvarukomponenter listade
[ ] Komponentversioner specificerade
[ ] Leverantörsinformation inkluderad
[ ] Licensinformation inkluderad
[ ] Kända sårbarheter vid bedömningstillfället

Omfång:
[ ] Direkta beroenden
[ ] Transitiva beroenden
[ ] Operativsystemskomponenter (om tillämpligt)
[ ] Tredjepartsbibliotek

SBOM-dokumentation

SOFTWARE BILL OF MATERIALS

Produkt: SmartSense Pro (SSP-3000)
Firmwareversion: 2.4.1
SBOM-format: CycloneDX 1.5
Genererad: 2027-01-15
Verktyg: Trivy + syft

SBOM-FIL:
sbom-ssp3000-v2.4.1.json (bilagd)

KOMPONENTÖVERSIKT:
─────────────────────────────────────────────────────────────
Totalt antal komponenter: 127
  Direkta beroenden: 23
  Transitiva beroenden: 104

Efter typ:
  Bibliotek: 98
  Ramverk: 12
  Operativsystem: 1 (FreeRTOS)
  Firmware-moduler: 16

Efter licens:
  MIT: 45
  Apache 2.0: 38
  BSD: 15
  LGPL: 8
  Proprietär: 21 (interna komponenter)
─────────────────────────────────────────────────────────────

SÅRBARHETSSTATUS VID BEDÖMNING:
─────────────────────────────────────────────────────────────
Skanningsdatum: 2027-01-15
Skanner: Trivy v0.48.0

Kritiska: 0
Höga: 0
Medelstora: 2 (accepterade - se nedan)
Låga: 5 (accepterade)

ACCEPTERADE SÅRBARHETER:
CVE-2026-XXXXX (Medium): Komponent xyz v1.2.3
  Status: Ej exploaterbar i vår konfiguration
  Motivering: Funktion inte aktiverad, kodväg inte nåbar
  Granskningsdatum: 2027-04-15
─────────────────────────────────────────────────────────────

SBOM-UPPDATERINGSÅTAGANDE:
SBOM kommer att uppdateras med varje firmware-release och
göras tillgänglig för kunder på begäran.

Avsnitt 7: Testresultat

Syfte: Tillhandahåll bevis att krav faktiskt uppfylls.

Obligatoriskt innehåll

CHECKLISTA FÖR TESTDOKUMENTATION

Testplanering:
[ ] Testplan med omfång och mål
[ ] Testfall mappade till krav
[ ] Testmiljöbeskrivning
[ ] Godkänd/underkänd-kriterier

Testkörning:
[ ] Testkörningsposter
[ ] Testresultatsammanfattning
[ ] Misslyckade tester och lösning
[ ] Omtestbevis

Testtyper:
[ ] Funktionell säkerhetstestning
[ ] Sårbarhetsskanning
[ ] Penetrationstestning (om tillämpligt)
[ ] Fuzz-testning (om tillämpligt)
[ ] Konfigurationsgranskning

Format för testresultat

TESTRESULTATSAMMANFATTNING

Produkt: SmartSense Pro (SSP-3000) v2.4.1
Testperiod: December 2026 - Januari 2027
Testansvarig: [Namn]

═══════════════════════════════════════════════════════════
TESTKAMPANJ: TC-2027-001
═══════════════════════════════════════════════════════════

1. FUNKTIONELL SÄKERHETSTESTNING
   Omfång: Autentisering, auktorisering, kryptering, secure boot
   Testfall: 85
   Godkänt: 85
   Misslyckat: 0
   Referens: Testrapport TR-FUNC-001

2. SÅRBARHETSSKANNING
   Verktyg: Trivy v0.48.0 + Nessus Professional
   Omfång: Firmware, nätverkstjänster, webbgränssnitt
   Fynd:
     Kritiska: 0
     Höga: 0
     Medelstora: 2 (accepterade med motivering)
     Låga: 5 (accepterade)
   Referens: Skanningsrapport SR-VULN-001

3. PENETRATIONSTESTNING
   Leverantör: [Tredjeparts företagsnamn]
   Omfång: Black-box-testning av driftsatt enhet
   Varaktighet: 5 dagar
   Fynd:
     Kritiska: 0
     Höga: 0
     Medelstora: 1 (åtgärdat innan release)
     Låga: 3 (accepterade)
   Referens: Penetrationsrapport PT-2027-001

═══════════════════════════════════════════════════════════
SAMMANLAGD BEDÖMNING: GODKÄNT
Alla kritiska och höga fynd åtgärdade.
Medelstora/låga fynd accepterade med dokumenterad motivering.
═══════════════════════════════════════════════════════════

Avsnitt 8: EU-försäkran om överensstämmelse

Syfte: Inkludera den formella försäkran eller referens till den.

Den tekniska filen måste inkludera en kopia av EU-försäkran om överensstämmelse eller referens till var den kan erhållas.

EU-FÖRSÄKRAN OM ÖVERENSSTÄMMELSE

(Se separat DoC-dokument eller inkludera kopia i teknisk fil)

Referens: DoC-SSP3000-2027-001
Datum: 1 mars 2027
Plats: Teknisk fil, Bilaga A

EU-försäkran om överensstämmelse medföljer varje produkt
och finns tillgänglig för nedladdning på:
https://company.com/support/ssp3000/doc

Avsnitt 9: Sårbarhethanteringsprocedurer

Syfte: Dokumentera eftermarknadssäkerhetsprocesser.

Obligatoriskt innehåll

CHECKLISTA FÖR SÅRBARHETHANTERING

Intag:
[ ] Kontaktmetoder dokumenterade (e-post, webbformulär, security.txt)
[ ] CVD-policy publicerad
[ ] Kommunikationsprocedurer med forskare

Process:
[ ] Triagemrutiner
[ ] Metodik för allvarlighetsgradbedömning
[ ] Eskaleringsvägar
[ ] Patchutvecklingsarbetsflöde
[ ] Testprocedurer för patcher

Kommunikation:
[ ] Kundnotifieringsprocedurer
[ ] Rådgivningspubliceringsprocess
[ ] ENISA-rapporteringsintegration (vid aktiv exploatering)

Övervakning:
[ ] Sårbarhetövervakning av beroenden
[ ] CVE-databas-övervakning
[ ] Hotintelligens-källor

Underhåll av teknisk fil

Levande dokumentation

Den tekniska filen är inte statisk:

UPPDATERINGSUTLÖSARE FÖR TEKNISK FIL

OBLIGATORISKA UPPDATERINGAR:
- Ny firmware-/programvaruversion
- Säkerhetsuppdatering
- Sårbarhet upptäckt och åtgärdad
- Designändring som påverkar säkerhet
- Standarduppdatering (om tillämpade standarder ändras)
- SBOM-ändringar (nya/uppdaterade komponenter)

PERIODISKA GRANSKNINGAR:
- Kvartalsvis: SBOM och sårbarhetsstatus
- Årsvis: Fullständig teknisk filgranskning
- Innan supportperioden slutar: Slutlig dokumentationsstopp

VERSIONSKONTROLL:
- Alla dokument versionskontrollerade
- Ändringshistorik underhålls
- Tidigare versioner arkiverade

Bevarandekrav

Obs: "10 år från sista enhet placerad på marknaden" innebär att om du säljer produkter till 2030 löper bevarandeskyldigheten till 2040. Planera din dokumentlagring därefter.

Vanliga misstag

Varning: En teknisk fil som bara beskriver version 1.0 när din produkt är på version 2.3 anses vara icke-efterlevande. Uppdatera dokumentation med varje release.

Ofullständig riskbedömning

Problem: Riskbedömning som inte täcker alla hot eller saknar behandlingsdetaljer.

Fix: Använd strukturerad metodik. Mappa varje identifierad risk till en kontroll eller acceptansbeslut.

Saknad SBOM

Problem: Ingen SBOM eller SBOM som inte inkluderar transitiva beroenden.

Fix: Generera SBOM med lämpliga verktyg. Inkludera fullständigt beroendeträd.

Föråldrad dokumentation

Problem: Teknisk fil beskriver version 1.0 men produkten är på version 2.3.

Fix: Uppdatera dokumentation med varje release. Spåra versioner explicit.

Ingen kravspårbarhet

Problem: Påstår efterlevnad men visar inte hur varje krav uppfylls.

Fix: Skapa explicit mappning från varje Bilaga I-krav till bevis.

Checklista för teknisk fil

FULLSTÄNDIGHETSCHECKLISTA FÖR TEKNISK FIL

AVSNITT 1 - ALLMÄN BESKRIVNING:
[ ] Produktidentifiering fullständig
[ ] Avsett ändamål dokumenterat
[ ] CRA-klassificering angiven med motivering
[ ] Marknadsplaceringsinformation

AVSNITT 2 - DESIGN:
[ ] Arkitekturdiagram
[ ] Säkerhetsdesigndokumentation
[ ] Utvecklingsprocessbeskrivning
[ ] Ändringshanteringsprocedurer

AVSNITT 3 - RISKBEDÖMNING:
[ ] Metodik dokumenterad
[ ] Alla risker identifierade
[ ] Behandlingsbeslut för varje risk
[ ] Restriskvärdering

AVSNITT 4 - VÄSENTLIGA KRAV:
[ ] Bilaga I Del I-mappning fullständig
[ ] Bilaga I Del II-mappning fullständig
[ ] Bevis refererat för varje krav

AVSNITT 5 - STANDARDER:
[ ] Alla tillämpade standarder listade
[ ] Tillämpningsbevis tillhandahållet
[ ] Avvikelser dokumenterade och motiverade

AVSNITT 6 - SBOM:
[ ] Maskinläsbar SBOM bilagd
[ ] Alla komponenter inkluderade
[ ] Sårbarhetsstatus dokumenterad

AVSNITT 7 - TESTRESULTAT:
[ ] Testplan dokumenterad
[ ] Testrapporter bilagda
[ ] Alla fynd adresserade

AVSNITT 8 - DoC:
[ ] Försäkran om överensstämmelse inkluderad/refererad

AVSNITT 9 - SÅRBARHETHANTERING:
[ ] Kontaktmetoder dokumenterade
[ ] Process dokumenterad
[ ] ENISA-procedurer på plats

UNDERHÅLL:
[ ] Versionskontroll etablerad
[ ] Uppdateringsprocedurer dokumenterade
[ ] Bevarandeplan på plats

Hur CRA Evidence hjälper

CRA Evidence effektiviserar skapandet av tekniska filer:

• Strukturerade mallar: Avsnitt-för-avsnitt teknisk filbyggare
• Kravmappning: Spåra Bilaga I-efterlevnadsbevis
• SBOM-hantering: Lagra, analysera och uppdatera SBOM:er
• Dokumentlager: Centraliserad lagring av alla bevis
• Versionsspårning: Underhåll dokumentation över produktversioner
• Exportförmåga: Generera kompletta tekniska filpaket

Bygg din tekniska fil på app.craevidence.com.

Relaterade guider

SBOM: Fördjupa dig i SBOM-krav i vår SBOM-guide.

Bedömning: Välj din konformitetsbedömningsväg med vår modulbesluts­guide.

Försäkran: Lär dig hur du förbereder din EU-försäkran om överensstämmelse.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.