Det tekniska underlaget är ditt bevispaket för CRA-efterlevnad. Marknadskontrollmyndigheter kan begära det, och ett anmält organ granskar det när din bedömningsväg använder ett sådant. Utan ett fullständigt tekniskt underlag kan du inte lagligen släppa ut din produkt på EU-marknaden.
Den här guiden går igenom det tekniska underlaget avsnitt för avsnitt och förklarar vilka bevis varje område behöver och hur du förbereder dem.
Sammanfattning
- Det tekniska underlaget dokumenterar hur din produkt uppfyller CRA:s väsentliga krav
- Måste förberedas innan produkten släpps ut på marknaden, bevaras i minst 10 år efter att produkten släppts ut på marknaden eller under stödperioden, beroende på vilken period som är längst
- Innehåller: produktbeskrivning, riskbedömning, konstruktionsdokumentation, SBOM, testresultat och bevis på överensstämmelse
- Myndigheter kan begära det när som helst, och ofullständiga underlag innebär bristande efterlevnad
- Börja tidigt: att bygga ett ordentligt tekniskt underlag tar månader, inte veckor
Vad är det tekniska underlaget?
Det tekniska underlaget (även kallat "teknisk dokumentation") är det fullständiga bevispaketet som visar att din produkt uppfyller de väsentliga cybersäkerhetskraven.
Det är inte:
- Marknadsföringsdokumentation
- Enbart användarhandböcker
- En bocklista utan substans
Det är:
- Heltäckande tekniska bevis
- Levande dokumentation (uppdateras under hela produktens livscykel)
- Ditt försvar vid marknadskontrollutredningar
- Obligatoriskt för bedömning av överensstämmelse
Viktigt: Det tekniska underlaget måste förberedas INNAN produkten släpps ut på marknaden och bevaras i minst 10 år efter att produkten släppts ut på marknaden eller under stödperioden, beroende på vilken period som är längst. Myndigheter kan begära det när som helst.
Vad det tekniska underlaget ska innehålla
Det tekniska underlaget är lättare att granska när det organiseras kring åtta bevisområden:
Produktidentifikation, avsett ändamål, relevanta programvaruversioner, hårdvaruvyer och användarinformation.
Arkitektur, säker utveckling, sårbarhetsprocesser, uppdateringsdistribution samt validering av produktion och övervakning.
Risker som beaktas i konstruktion, produktion, leverans, underhåll och tillämpligheten av väsentliga krav.
Underlag som används för att fastställa och motivera stödperioden.
Harmoniserade standarder, gemensamma specifikationer, certifieringssystem eller alternativa lösningar.
Bevis på att produkten och processerna för sårbarhetshantering uppfyller de tillämpliga väsentliga cybersäkerhetskraven.
En kopia av försäkran om att produkten uppfyller tillämpliga CRA-krav.
SBOM-bevis där det är tillämpligt, ingår i den tekniska filen och lämnas även till en marknadskontrollmyndighet på motiverad begäran.
Avsnitt 1: Allmän beskrivning
Syfte: Fastställ vad produkten är och vad den är till för.
Obligatoriskt innehåll
- Produktnamn och modellnummer
- Hårdvaruversion eller versioner
- Programvaru- eller firmwareversion eller versioner
- Serienummerformat eller -intervall
- Unik produktidentifierare
- Beskrivning av primär funktion
- Målanvändare och driftmiljö
- Avsedda användningsfall
- Ej avsedd användning och uteslutningar
- CRA-klassificering
- Motivering för klassificeringen
- Relaterade produktregelverk, där det är relevant
- Datum för första utsläppandet på EU-marknaden
- Mål-medlemsstater
- Distributionskanaler
Exempel
GENERAL DESCRIPTION
Product Name: SmartSense Pro Industrial Sensor
Model Number: SSP-3000
Hardware Version: Rev C (PCB v3.2)
Firmware Version: 2.4.1
INTENDED PURPOSE:
The SmartSense Pro is an industrial environmental sensor
designed for manufacturing facility monitoring. It measures
temperature, humidity, and air quality, transmitting data
via WiFi to cloud or local servers.
TARGET USERS:
- Facility managers
- Industrial automation integrators
- Environmental compliance officers
INTENDED ENVIRONMENT:
- Indoor industrial facilities
- Operating temperature: -10°C to +60°C
- Network: WiFi 802.11 b/g/n
NOT INTENDED FOR:
- Medical or life-safety applications
- Outdoor installation
- Explosive atmospheres
- Consumer/residential use
CRA CLASSIFICATION:
Default product. Not classified as important or critical.
Justification: General-purpose sensor without security
functions or critical infrastructure application.
EU MARKET PLACEMENT:
First placed on market: March 15, 2027
Target markets: All EU member states
Distribution: Direct sales and authorized distributors
Avsnitt 2: Konstruktion, utveckling och sårbarhetshantering
Syfte: Dokumentera hur produkten konstruerades och byggdes, hur sårbarheter hanteras efter lansering och hur produktions- och övervakningsprocesser valideras. Behandla detta som ett bevisblock: konstruktions- och utvecklingsposter, sårbarhetshanteringsprocesser samt produktions- och övervakningskontroller som visar att releaser byggs och övervakas konsekvent.
Konstruktion och utveckling: obligatoriskt innehåll
- Diagram över systemarkitektur
- Diagram över komponentinteraktion
- Dataflödesdiagram
- Identifierade förtroendegränser
- Beskrivning av säkerhetsarkitektur
- Kryptografiska implementeringar
- Autentiseringsmekanismer
- Behörighetsmodell
- Säkra kommunikationsprotokoll
- Åtgärder för dataskydd
- Beskrivning av säker utvecklingslivscykel
- Spårbarhet för säkerhetskrav
- Förfaranden för kodgranskning
- Säkerhetstestning under utveckling
- Konfigurationshantering
- Förfaranden för versionshantering
- Bedömning av ändringens påverkan
- Säkerhetsgranskning av ändringar
Hur "säker konstruktion" ser ut i dokumentation
SECURITY ARCHITECTURE OVERVIEW
1. TRUST BOUNDARIES
+-----------------------------------------+
| Cloud Backend |
| (Authentication, Data Storage) |
\---------------+-------------------------+
| TLS 1.3
+---------------+-------------------------+
| Device Firmware |
| +---------------------------------+ |
| | Application Layer | |
| +---------------------------------+ |
| | Security Services | |
| | (Crypto, Auth, Secure Boot) | |
| +---------------------------------+ |
| | Hardware Security | |
| | (Secure Element, RNG) | |
| \---------------------------------+ |
\-----------------------------------------+
2. AUTHENTICATION
- Device-to-cloud: Mutual TLS with device certificates
- User-to-device: Local API requires authentication token
- Certificate provisioning: Factory-provisioned, unique per device
3. DATA PROTECTION
- Data at rest: AES-256-GCM encryption
- Data in transit: TLS 1.3 with certificate pinning
- Sensitive data: Stored in secure element
4. UPDATE MECHANISM
- Signed firmware updates (ECDSA P-256)
- Signature verification before installation
- Rollback protection via version counter
- Automatic update checks (user-configurable)
Sårbarhetshantering: obligatoriskt innehåll
- Dokumenterade kontaktvägar
- Publicerad CVD-policy
- Förfaranden för kommunikation med forskare
- Triageringsförfaranden
- Metodik för allvarlighetsbedömning
- Eskaleringsvägar
- Arbetsflöde för patchutveckling
- Testförfaranden för patchar
- Förfaranden för kundavisering
- Process för publicering av säkerhetsmeddelanden
- Rapportering till den samordnande CSIRT och ENISA vid aktivt utnyttjande
- Övervakning av sårbarheter i beroenden
- Övervakning av CVE-databaser
- Källor för hotinformation
Dokumentation av sårbarhetshantering
VULNERABILITY HANDLING PROCEDURES
1. CONTACT METHODS
Primary: security@company.com
Web Form: https://company.com/security/report
security.txt: https://company.com/.well-known/security.txt
CVD Policy: https://company.com/security/disclosure-policy
2. RESPONSE COMMITMENTS
Acknowledgment: Within 3 business days
Initial Assessment: Within 10 business days
Status Updates: Every 14 days
Resolution Target: 90 days (critical: 7 days)
3. INTERNAL PROCESS
[Flowchart or process description]
See: Process Document PD-VULN-003
4. PATCH DISTRIBUTION
Mechanism: OTA updates via cloud infrastructure
Notification: In-app notification + email to registered users
Verification: Signed updates with rollback capability
5. RAPPORTERING TILL SAMORDNANDE CSIRT OCH ENISA
Trigger: Active exploitation detected
Timeline: 24h early warning, 72h detailed report
Responsible: Security Team Lead
Process: See PD-ENISA-001
6. HISTORICAL RECORD
Vulnerabilities handled (past 24 months): 3
Average resolution time: 45 days
ENISA reports filed: 0
Produktion och övervakning: obligatoriskt innehåll
För programvaruprodukter finns ingen fabrikslinje. Produktion och övervakning betyder den bygg- och release-pipeline som producerar levererbara artefakter, valideringen av att dessa processer fungerar som avsett, och övervakningen efter driftsättning som fångar regressioner och nya sårbarheter. Dokumentera vart och ett så att en revisor kan spåra en release tillbaka till ett verifierat och reproducerbart bygge.
- Identifierad källa till sanning
- Dokumenterat reproducerbart bygge
- Insamlad byggets proveniens
- Dokumenterade signeringsnycklar och nyckelhantering
- Integritet hos release-artefakter
- Dokumenterade säkerhetsgrindar i CI
- Regressionssvit som täcker tester märkta med väsentliga krav
- Dokumenterat godkännandeflöde för releaser
- Återställningsplan för misslyckade releaser
- Granskningstakt för reproducerbarhet
- Takt för övervakning av sårbarheter i beroenden
- SBOM-diffprocess vid varje release
- Integrering med CVE-flöden
- KEV-korskontroll för aktivt utnyttjande
- Säkerhetsrelevant telemetri
- Triggers för kundavisering
Dokumentation av produktion och övervakning
PRODUCTION AND MONITORING PROCESSES
Product: Industrial Gateway IG-200
Build platform: GitHub Actions on ubuntu-22.04 runners
Provenance: SLSA Level 3 (signed in-toto attestations)
Signing: Cosign + Sigstore, offline KMS-backed root key
BUILD PIPELINE:
1. Source: github.com/example/ig200-firmware (main branch protected,
2-of-N review gate, signed commits required)
2. Build: reproducible cross-compile (rustc 1.78, locked Cargo.lock)
3. SAST: cargo-audit + clippy security lints (gate: 0 high+ findings)
4. SCA: trivy scan against built binary (gate: 0 known-exploitable CVEs)
5. Test: regression suite (1247 tests) + essential requirements conformance suite (89 tests)
6. Sign: cosign sign-blob + attest --predicate slsa-provenance.json
7. Release: artifact + SBOM (CycloneDX 1.5) + DoC excerpt published
VALIDATION OF PROCESSES:
- Pipeline definition reviewed quarterly (Security Lead + Release Manager)
- Essential requirements conformance test suite reviewed when standards or risks change
- Annual reproducibility audit (independent rebuild from tagged source)
- Failure mode: any gate fails -> release blocked, incident logged
POST-DEPLOYMENT MONITORING:
- Dependency CVE feed: Trivy + Renovate, daily scan against current SBOM
- Threshold: Critical or High with KEV match -> patch within 7 days
- Threshold: Medium without KEV -> patch in next monthly release
- Customer notification: signed RSS feed + email for advisories
- Internal telemetry: failed update events, signature verification failures
- Review cadence: weekly triage, monthly trend review
Avsnitt 3: Cybersäkerhetsriskbedömning
Syfte: Dokumentera identifierade risker och hur de hanteras.
Obligatoriskt innehåll
- Beskriven metodik för riskbedömning
- Definition av omfattning
- Identifiering av tillgångar
- Tillvägagångssätt för hotidentifiering
- Uppräknade hot
- Beaktade sårbarheter
- Konsekvensbedömning
- Sannolikhetsbedömning
- Riskklassificeringar
- Behandlingsbeslut för varje risk
- Säkerhetskontroller kopplade till risker
- Bedömning av kvarstående risk
- Kriterier för riskacceptans
Format för riskbedömning
CYBERSECURITY RISK ASSESSMENT
Product: SmartSense Pro (SSP-3000)
Version: 2.4.1
Assessment Date: January 2027
Assessor: [Name, Security Team]
METHODOLOGY:
Based on ISO 27005 adapted for product security.
Risk = Likelihood × Impact
Scale: Low (1-4), Medium (5-9), High (10-16), Critical (17-25)
-------------------------------------------------------------
RISK ID: R-001
THREAT: Unauthorized firmware modification
VULNERABILITY: Unsigned firmware could be installed
IMPACT: High (5) - Device compromise, data breach
LIKELIHOOD: Medium (3) - Requires physical access
INHERENT RISK: 15 (High)
CONTROL: Firmware signature verification
IMPLEMENTATION: ECDSA P-256 signature checked before install
RESIDUAL RISK: 3 (Low) - Cryptographic attack unlikely
STATUS: Mitigated
-------------------------------------------------------------
RISK ID: R-002
THREAT: Man-in-the-middle attack on cloud communication
VULNERABILITY: Network traffic interception
IMPACT: High (4) - Data exposure, command injection
LIKELIHOOD: Medium (3) - Public networks possible
INHERENT RISK: 12 (High)
CONTROL: TLS 1.3 with certificate pinning
IMPLEMENTATION: Hardcoded CA certificate, no fallback
RESIDUAL RISK: 2 (Low) - Certificate compromise unlikely
STATUS: Mitigated
-------------------------------------------------------------
[Continue for all identified risks...]
RISK SUMMARY:
Total risks identified: 23
Critical: 0
High: 3 (all mitigated to Low/Medium)
Medium: 8 (all mitigated to Low)
Low: 12 (accepted or mitigated)
RESIDUAL RISK ACCEPTANCE:
All residual risks are within acceptable tolerance.
Signed: [Security Lead], [Date]
Avsnitt 4: Information om stödperioden
Syfte: Dokumentera resonemanget bakom den valda stödperioden. Stödperioden är den tid under vilken tillverkaren åtar sig att tillhandahålla säkerhetsuppdateringar. Det tekniska underlaget måste fånga den information som låg till grund för beslutet.
Obligatoriskt innehåll
- Deklarerat startdatum för stödperioden
- Deklarerat slutdatum för stödperioden
- Minimum kontrollerat mot femårsgolvet eller kortare produktlivslängd
- Förväntad användningstid för produkten
- Förväntningar från användare och kunder
- Produktens art och avsedda ändamål
- Relevant unionsrätt
- Vägledning från kommissionen eller ADCO där sådan finns
- Jämförbara produktlivslängder på marknaden
- Komponentleverantörers supporttider
- Kundavtal eller SLA som antyder uppdateringsfönster
- Tidsplaner för hårdvarans EOL där tillämpligt
Hur god dokumentation ser ut
SUPPORT PERIOD DETERMINATION
Product: Industrial Gateway IG-200
Market placement: 2026-09-01
Declared support period: 2026-09-01 to 2034-09-01 (8 years)
Rationale:
1. Expected operational lifetime: 8-10 years (field deployment data,
comparable to predecessor IG-150 still active in 2024 at 9 years).
2. Component support: Linux LTS kernel covers 6 years; we backport
security patches for 2 additional years using vendor commitments.
3. Customer contracts: top 3 customers have 7-year service agreements;
remainder typically renew on 5-year cycles.
4. Sector guidance: NIS2 covers operators of essential services using
this gateway; assume update requirements through asset lifetime.
5. End-of-support communication: documented in user manual and EOL
policy at https://example.com/security/eol.
Decision approved by: [Product Owner], [Security Lead], [Legal]
Date: 2026-08-15
Review trigger: any material change to component support timelines
Vanliga fallgropar
- Att förankra sig vid 5-årsminimum utan motivering. De 5 åren i regeln om stödperioden är ett golv, inte ett standardvärde. Produkter med längre förväntad livslängd kräver en längre period.
- Att glömma att golvet är "eller produktens livslängd, om kortare". En konsumentprodukt som säljs i 18 månader är fortfarande skyldig att tillhandahålla uppdateringssupport under den period produkten rimligen förväntas vara i bruk.
- Att inte registrera indata. Marknadskontrollmyndigheter kan fråga hur perioden fastställdes. "Vi valde 5 år" är inte ett svar.
- Att behandla det som hugget i sten. Om komponentleverantörers supporttider ändras (till exempel om uppströms OS når EOL tidigare än förväntat) måste beslutsunderlaget uppdateras och stödåtagandet kommuniceras.
Mapping Essential Requirements
Syfte: Visa hur varje väsentligt cybersäkerhetskrav uppfylls.
Part I Requirements
Mappa varje säkerhet-från-början-krav till din implementering:
ESSENTIAL REQUIREMENTS COMPLIANCE MATRIX
ANNEX I, PART I - SECURITY REQUIREMENTS
═══════════════════════════════════════════════════════════
1. DESIGNED WITHOUT KNOWN EXPLOITABLE VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability scan report (Trivy): 0 critical/high
- Dependency analysis: All components at latest secure versions
- Penetration test report: No exploitable vulnerabilities found
Reference: Test Report TR-2027-001, pages 15-23
2. SECURE BY DEFAULT CONFIGURATION
Status: COMPLIANT
Evidence:
- Default configuration review document
- No default passwords (unique credentials required at setup)
- Unnecessary services disabled by default
- Secure protocols enabled by default (TLS, not HTTP)
Reference: Design Document DD-004, Section 3.2
3. PROTECTION AGAINST UNAUTHORIZED ACCESS
Status: COMPLIANT
Evidence:
- Authentication architecture document
- Access control implementation
- Session management design
- Failed login lockout mechanism
Reference: Security Architecture SA-001, Chapter 4
4. CONFIDENTIALITY OF DATA
Status: COMPLIANT
Evidence:
- Encryption specifications (AES-256-GCM)
- Key management procedures
- Data classification and handling
Reference: Design Document DD-005
5. INTEGRITY OF DATA AND COMMANDS
Status: COMPLIANT
Evidence:
- Message authentication (HMAC)
- Command validation logic
- Input validation procedures
Reference: Security Architecture SA-001, Chapter 5
6. DATA MINIMIZATION
Status: COMPLIANT
Evidence:
- Data inventory document
- Justification for each data type collected
- Retention policy (automatic purge after 90 days)
Reference: Privacy Impact Assessment PIA-001
[Continue for all essential requirements...]
Part II Requirements
Mappa varje krav på sårbarhetshantering till din implementering:
ANNEX I, PART II - VULNERABILITY HANDLING
═══════════════════════════════════════════════════════════
1. IDENTIFY AND DOCUMENT VULNERABILITIES
Status: COMPLIANT
Evidence:
- Vulnerability tracking system (JIRA project VULN)
- CVE monitoring process document
- SBOM-based dependency tracking
Reference: Process Document PD-VULN-001
2. ADDRESS VULNERABILITIES WITHOUT DELAY
Status: COMPLIANT
Evidence:
- Vulnerability response SLA document
- Historical response time metrics
- Patch development process
Reference: Process Document PD-VULN-002
3. APPLY EFFECTIVE REGULAR TESTING
Status: COMPLIANT
Evidence:
- Security testing schedule
- Automated scan reports (weekly)
- Annual penetration test reports
Reference: Test Plan TP-SEC-001
[Continue for all Part II requirements...]
Avsnitt 5: Tillämpade standarder
Syfte: Dokumentera vilka standarder som använts och hur.
Obligatoriskt innehåll
- Alla tillämpade standarder listade med versionsnummer
- Harmoniserade standarder identifierade separat
- Referens till Europeiska unionens officiella tidning registrerad där harmoniserade
- Hur varje standard tillämpades
- Vilka klausuler eller avsnitt som gäller
- Eventuella avvikelser eller delvis tillämpning
- Dokumenterade avvikelser med motivering
- Alternativa åtgärder för avvikande krav
- Riskbedömning för avvikelser
Format för dokumentation av standarder
APPLIED STANDARDS
HARMONIZED STANDARDS (presumption of conformity):
-------------------------------------------------------------
Standard: EN 303 645 (when harmonized for CRA)
Title: Cybersecurity for Consumer IoT
Status: Applied in full
Publication: OJEU [reference when published]
Evidence: Standards Compliance Report SCR-001
-------------------------------------------------------------
OTHER STANDARDS APPLIED:
-------------------------------------------------------------
Standard: IEC 62443-4-1:2018
Title: Security for Industrial Automation - Secure Development
Status: Applied (selected requirements)
Clauses Applied: 5, 6, 7, 8, 10
Evidence: SDL Documentation SLD-001
-------------------------------------------------------------
Standard: ISO/IEC 27001:2022
Title: Information Security Management
Status: Organization certified (Certificate #12345)
Relevance: ISMS covers product development processes
-------------------------------------------------------------
Standard: NIST Cybersecurity Framework 2.0
Title: Framework for Improving Critical Infrastructure Cybersecurity
Status: Reference framework for risk assessment
Evidence: Risk Assessment methodology document
-------------------------------------------------------------
DEVIATIONS:
-------------------------------------------------------------
Standard: EN 303 645
Clause: 5.3-2 (Unique per device credentials)
Deviation: Credentials unique per device but not pre-provisioned
Justification: Device requires user setup; credentials created
during first-time configuration
Alternative Measure: Strong password requirements enforced,
account lockout after failed attempts
Risk Assessment: Residual risk acceptable (see R-015)
-------------------------------------------------------------
Tips: Automatisera din SBOM-generering i CI/CD. Manuell SBOM-skapande är felbenäget och skalerar inte över produktversioner.
Avsnitt 6: Testresultat
Syfte: Tillhandahåll bevis på att kraven faktiskt uppfylls.
Obligatoriskt innehåll
- Testplan med omfattning och mål
- Testfall kopplade till krav
- Beskrivning av testmiljö
- Kriterier för godkänt och underkänt
- Register över testutförande
- Sammanfattning av testresultat
- Misslyckade tester och åtgärder
- Bevis på omtest
- Funktionell säkerhetstestning
- Sårbarhetsskanning
- Penetrationstestning där tillämpligt
- Fuzz-testning där tillämpligt
- Konfigurationsgranskning
Format för testresultat
TEST RESULTS SUMMARY
Product: SmartSense Pro (SSP-3000) v2.4.1
Test Period: December 2026 - January 2027
Test Lead: [Name]
═══════════════════════════════════════════════════════════
TEST CAMPAIGN: TC-2027-001
═══════════════════════════════════════════════════════════
1. SECURITY FUNCTIONAL TESTING
Scope: Authentication, authorization, encryption, secure boot
Test Cases: 85
Passed: 85
Failed: 0
Reference: Test Report TR-FUNC-001
2. VULNERABILITY SCANNING
Tool: Trivy v0.48.0 + Nessus Professional
Scope: Firmware, network services, web interface
Findings:
Critical: 0
High: 0
Medium: 2 (accepted with justification)
Low: 5 (accepted)
Reference: Scan Report SR-VULN-001
3. PENETRATION TESTING
Provider: [Third-party firm name]
Scope: Black-box testing of deployed device
Duration: 5 days
Findings:
Critical: 0
High: 0
Medium: 1 (remediated before release)
Low: 3 (accepted)
Reference: Pentest Report PT-2027-001
4. FIRMWARE ANALYSIS
Tool: EMBA v1.3
Scope: Binary analysis, hardcoded credentials, crypto issues
Findings:
Critical: 0
High: 0
Informational: 4
Reference: Firmware Analysis Report FA-001
5. CONFIGURATION REVIEW
Scope: Default configuration security
Findings: All defaults meet security requirements
Reference: Configuration Review CR-001
═══════════════════════════════════════════════════════════
OVERALL ASSESSMENT: PASS
All critical and high findings remediated.
Medium/Low findings accepted with documented justification.
═══════════════════════════════════════════════════════════
Avsnitt 7: EU-försäkran om överensstämmelse
Syfte: Inkludera den formella försäkran eller hänvisning till den.
Obligatoriskt innehåll
Det tekniska underlaget måste innehålla en kopia av EU-försäkran om överensstämmelse eller en hänvisning till var den kan erhållas.
Avsnitt 8: Programvaruförteckning
Syfte: Tillhandahåll komponenttransparens för sårbarhetsspårning. SBOM hör till det tekniska underlaget som en del av sårbarhetshanterings-bevisen, och lämnas även till en marknadskontrollmyndighet på motiverad begäran. I praktiken förbereder och underhåller tillverkare den tillsammans med resten av underlaget.
Relaterade guider: För hårdvaruprodukter, behåll bevis om hårdvarukomponenter där de stöder riskbedömning, användarinformation eller sårbarhetsanalys. BSI TR-03183 kan hjälpa med SBOM-kvalitet, och VEX kan kommunicera komponenters sårbarhetsstatus. Se SBOM-kravguiden för formatval, BSI TR-03183 kvalitetsnivåer, HBOM-omfattning och VEX-användning, och guiden om sårbarhetsrapportering för hur VEX stöder skyldigheten om "inga kända exploaterbara sårbarheter".
Obligatoriskt innehåll
- Maskinläsbart format
- CycloneDX eller SPDX valt och dokumenterat
- Människoläsbar sammanfattning där den är användbar
- Alla programvarukomponenter listade
- Komponentversioner specificerade
- Leverantörsinformation inkluderad
- Licensinformation inkluderad
- Kända sårbarheter vid bedömningstillfället
- Direkta beroenden
- Transitiva beroenden (god praxis utöver minimikravet på toppnivå)
- Operativsystemskomponenter där tillämpligt
- Tredjepartsbibliotek
SBOM-dokumentation
När måste det tekniska underlaget uppdateras?
Levande dokumentation
Det tekniska underlaget är inte statiskt:
- Ny firmware- eller programvaruversion
- Säkerhetspatchrelease
- Sårbarhet upptäckt och åtgärdad
- Konstruktionsändring som påverkar säkerheten
- Ändring i tillämpade standarder
- Ändringar i SBOM-komponenter
- Kvartalsvis genomgång av SBOM och sårbarhetsstatus
- Årlig fullständig granskning av tekniskt underlag
- Slutlig dokumentationsfrysning innan stödperioden tar slut
- Alla dokument versionshanterade
- Ändringshistorik underhållen
- Tidigare versioner arkiverade
Bevarandekrav
Obs: Bevara det tekniska underlaget under den längsta perioden av 10 år från utsläppandet på marknaden eller stödperioden. Om du säljer produkter fram till 2030 med en stödperiod på 5 år dominerar 10-årsklockan och bevarandet löper till 2040. Om din stödperiod sträcker sig bortom den 10-åriga svansen följer bevarandet stödperioden i stället. Planera lagring för den längsta av de två.
DOCUMENTATION RETENTION
Retention Period: at least 10 years from market placement, or the support period, whichever is longer
Example Timeline:
- Product first placed on market: March 2027
- Last unit placed on market: December 2030
- Documentation retention until: December 2040
Storage Requirements:
- Secure, accessible storage
- Backup procedures
- Integrity protection
- Available within [48 hours] of authority request
Vanliga misstag
Varning: Ett tekniskt underlag som bara beskriver version 1.0 när din produkt är på version 2.3 anses inte uppfylla kraven. Uppdatera dokumentationen vid varje release.
Ofullständig riskbedömning
Problem: Riskbedömning som inte täcker alla hot eller saknar behandlingsdetaljer.
Lösning: Använd en strukturerad metodik. Koppla varje identifierad risk till en kontroll eller ett acceptansbeslut.
Saknad SBOM
Problem: Ingen SBOM, eller en SBOM som utelämnar de nödvändiga beroendena på toppnivå.
Lösning: Generera en SBOM med rätt verktyg, som täcker minst de beroenden på toppnivå som CRA kräver (Bilaga I del II(1)). Att utöka täckningen till hela beroendeträdet är bättre praxis för sårbarhetsmatchning, men inte det rättsliga minimikravet.
Föråldrad dokumentation
Problem: Det tekniska underlaget beskriver version 1.0 men produkten är på version 2.3.
Lösning: Uppdatera dokumentationen vid varje release. Spåra versioner explicit.
Ingen kravspårbarhet
Problem: Hävdar efterlevnad men visar inte hur varje krav uppfylls.
Lösning: Skapa en explicit mappning från varje väsentligt krav till bevis.
Tester utan bevis
Problem: Hävdar att testning genomförts men inga rapporter finns tillgängliga.
Lösning: Behåll alla testrapporter. Inkludera dem i det tekniska underlaget eller hänvisa tydligt till dem.
Checklista för tekniskt underlag
- Fullständig produktidentifikation
- Avsett ändamål dokumenterat
- CRA-klassificering angiven med motivering
- Marknadsintroduktionsinformation
- Arkitekturdiagram
- Dokumentation av säkerhetskonstruktion
- Beskrivning av utvecklingsprocess
- Förfaranden för ändringshantering
- Dokumenterade kontaktvägar för sårbarheter
- Publicerad CVD-policy
- Dokumenterad process för sårbarhetshantering
- Rapporteringsförfaranden för den samordnande CSIRT och ENISA på plats
- Dokumenterad metodik
- Alla risker identifierade
- Behandlingsbeslut för varje risk
- Bedömning av kvarstående risk
- Deklarerad stödperiod angiven
- Underlag för stödperioden dokumenterat
- Motivering registrerad
- Beslutsundertecknande fångat
- Mappning av säkerhet-från-början-krav komplett
- Mappning av krav för sårbarhetshantering komplett
- Bevis refererat för varje krav
- Alla tillämpade standarder listade
- Tillämpningsbevis tillhandahållna
- Avvikelser dokumenterade och motiverade
- Testplan dokumenterad
- Testrapporter bifogade
- Alla fynd åtgärdade
- Försäkran om överensstämmelse inkluderad eller refererad
- Maskinläsbar SBOM förberedd
- Alla komponenter inkluderade
- Sårbarhetsstatus dokumenterad
- Tillgänglig för marknadskontrollmyndighet på begäran
- Versionshantering etablerad
- Uppdateringsförfaranden dokumenterade
- Bevarandeplan på plats
Vanliga frågor
Vilka dokument är obligatoriska i ett CRA tekniskt underlag?
Underlaget behöver åtta bevisområden. Det måste täcka produktbeskrivning, konstruktion och produktion, sårbarhetshantering, riskbedömning, motivering av stödperioden, tillämpade standarder eller alternativa lösningar, provningsrapporter, EU-försäkran om överensstämmelse och, i tillämpliga fall, SBOM för marknadskontrollgranskning. Se det som bevisområden, inte som en fast mappstruktur.
Behöver varje firmwareversion sitt eget tekniska underlag?
Nej, men underlaget måste hållas versionsaktuellt. En firmware- eller mjukvarurelease som ändrar säkerhetsrelevant beteende bör uppdatera berörda avsnitt, normalt SBOM, riskbedömning, konstruktionsanteckningar och testbevis. Du bygger inte om hela underlaget från noll, men bevisen måste motsvara den produktversion som släpps ut på marknaden eller stöds.
Hur länge måste det tekniska underlaget bevaras efter att produkten dragits tillbaka?
Bevara det under den längsta perioden av 10 år eller stödperioden. 10-årsperioden räknas från utsläppandet på marknaden av produkten med digitala element; om stödperioden är längre följer bevarandet den längre stödperioden. I praktiken bör tillverkare planera lagring kring den sista marknadsplaceringsdagen för relevant produkt eller version och bevara bevis för eventuellt längre stödåtagande.
Måste det tekniska underlaget lämnas in proaktivt till myndigheter?
Nej. Tillverkaren bevarar den tekniska dokumentationen och tillhandahåller den när en marknadskontrollmyndighet gör en motiverad begäran. Ett anmält organ granskar också dokumentationen när den valda bedömningsvägen involverar ett sådant, men förordningen kräver inte rutinmässig inlämning till myndigheter vid utsläppande på marknaden.
Kan det tekniska underlaget hänvisa till externa dokument eller måste allt finnas på ett ställe?
Externa hänvisningar är godtagbara om de är precisa och åtkomliga. Underlaget kan peka på konstruktionsdokument, testrapporter, certifikat, SBOM-artefakter eller releaseposter som lagras på annat håll, förutsatt att hänvisningen identifierar exakt dokument, version, ägare och plats. Myndigheter behöver användbara bevis, inte ett trasigt index.
Vad är skillnaden mellan det tekniska underlaget och försäkran om överensstämmelse?
Försäkran är det offentliga påståendet; det tekniska underlaget är beviset. EU-försäkran om överensstämmelse säger att produkten uppfyller CRA. Det tekniska underlaget innehåller riskbedömningen, konstruktionsbevisen, testrapporterna, standardmappningen, SBOM-bevisen och andra register som motiverar den försäkran.