- Secure by Design
- 實作CRA的essential security requirements
- Due diligence - 製造商、進口商、經銷商..必須主動、持續、系統性地確保產品符合要求,而不是被動等問題發生 => 要能合理的證明,我已經做了所有應該做的防護
- 評估
- Technical document必須保存10年以上
- Transparency
- 產品保固至少5年
- 使用者可以很容易的回報問題,有單一的聯絡窗口
- Vulnerability management
- 制定CVD政策 - 讓外界有一個可以通報資安問題,且內部可處理問題的政策
- 支援secure update - 解決問題
- 回報義務
- 回報對象 - ENISA(EU Agency for Cybersecurity) 和 CSIRT
- Early warning - 告知"出事了",這個要在24hr內回報
- Notification - 回報內容須要有技術細節,需要在72hr會報
- 若該vulnerability,已有可靠證據證實已被攻擊,需要在14天內出報告;若是資安是件(incident,事情在大條一點),需要30天內出報告
- 和規評估
- 製造商需要出DoC(Declaration of Conformity),聲明符合CRA。DoC是法律文件
- 自己貼CE Marking,表達製造商宣告和規 => 有CE Marking才能在歐洲上市
