Fajl tas-Sigurtà tal-Prodott CRA 2026 b’ISO 27001
Manifattur ta’ apparati konnessi jsejjaħ lis-CISO tiegħu, Maria, għal laqgħa nhar ta’ Ġimgħa wara nofsinhar. It-tim tal-bejgħ għadu kif kiseb ftehim ta’ distribuzzjoni Ewropew. It-tim legali qed jistaqsi jekk il-kumpanija tistax tappoġġja l-konformità mal-Cyber Resilience Act. L-inġinerija tgħid li ż-żvilupp sigur huwa “fil-biċċa l-kbira kopert” għaliex diġà hemm rieżami tal-kodiċi, SAST u patching. L-akkwist jgħid li l-fornituri huma “koperti b’NDA”. It-timijiet tal-prodott għandhom dipendenzi tal-firmwer f’għodda waħda, inventarji ta’ APIs tal-cloud f’oħra, u tickets tal-vulnerabbiltajiet f’Jira. Il-konformità għandha evidenza ta’ ċertifikazzjoni ISO/IEC 27001:2022, iżda din hija organizzata madwar l-ISMS korporattiv, mhux madwar kull prodott imqiegħed fis-suq tal-UE.
Imbagħad tasal il-mistoqsija skomda: “Jekk awtorità tal-UE, klijent, korp notifikat jew distributur ewlieni jitlob il-Fajl tas-Sigurtà tal-Prodott fl-2026, nistgħu nipproduċuh fi żmien ġimgħa?”
Għal ħafna fornituri ta’ software, manifatturi ta’ apparati intelliġenti u fornituri ta’ servizzi konnessi, it-tweġiba onesta hija le. Mhux għax m’għandhomx kontrolli tas-sigurtà, iżda għaliex l-evidenza tas-sigurtà tal-prodott tagħhom hija mxerrda. Ir-reġistri tal-iżvilupp sigur jinsabu għand l-inġinerija. L-SBOMs jiġu ġġenerati għal kull build iżda ma jiġux iggvernati. L-iżvelar koordinat tal-vulnerabbiltajiet jeżisti bħala paġna web, iżda mhux dejjem ikun marbut mat-trijaġġ, it-tiswijiet, l-avviżi u l-monitoraġġ wara t-tqegħid fis-suq. Is-sigurtà tal-fornituri tkun midfuna fil-kuntratti tal-akkwist. Ir-rappurtar tal-inċidenti jaqa’ taħt l-operazzjonijiet tas-sigurtà, filwaqt li d-dokumentazzjoni tal-konformità taqa’ taħt il-konformità tal-prodott.
Il-Cyber Resilience Act tal-UE jibdel il-mudell operattiv. Iċ-ċibersigurtà tal-prodott ma tibqax biss l-aħjar prattika jew wegħda kuntrattwali. Issir obbligu ta’ evidenza tul iċ-ċiklu tal-ħajja. L-organizzazzjonijiet għandhom ikunu jistgħu juru kif ir-rekwiżiti taċ-ċibersigurtà huma integrati fid-disinn, fl-iżvilupp, fir-rilaxx, fil-ġestjoni tal-vulnerabbiltajiet, fl-aġġornamenti u fil-monitoraġġ wara li l-prodott jidħol fis-suq.
Hawnhekk ISO/IEC 27001:2022 isir b’saħħtu, jekk jintuża sew. Mhuwiex skema ta’ ċertifikazzjoni tal-prodott fih innifsu, iżda l-kontrolli tiegħu tal-ISMS, tar-riskju, tal-assi, tal-fornituri, tal-iżvilupp sigur, tal-vulnerabbiltajiet u tal-inċidenti jistgħu jipprovdu s-sinsla ta’ Fajl tas-Sigurtà tal-Prodott CRA. L-għan mhuwiex li jinħoloq silo ieħor tal-konformità. L-għan huwa li l-ISMS eżistenti tiegħek jinbidel f’sistema ta’ evidenza fil-livell tal-prodott.
Kif jgħid Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri ta’ Clarysec f’Fażi 2, Pass 8, Arkitettura tal-evidenza:
“L-evidenza m’għandhiex tinġabar fi tmiem iċ-ċiklu tal-awditjar. Għandha tkun iddisinjata fil-kontroll, assenjata lil sid, ittimbrata bil-ħin mill-proċess, u tista’ terġa’ tintuża għal kull obbligu li jistaqsi l-istess mistoqsija b’lingwa differenti.”
Din is-sentenza taqbad il-qalba tat-tħejjija għall-CRA. Il-mistoqsija mhijiex biss, “Għandna żvilupp sigur?” Il-mistoqsija hija, “Nistgħu nippruvaw żvilupp sigur, għarfien tal-komponenti, ġestjoni tal-vulnerabbiltajiet u monitoraġġ wara t-tqegħid fis-suq għal dan il-prodott, din il-verżjoni, dan ir-rilaxx u dan is-suq?”
Il-Fajl tas-Sigurtà tal-Prodott CRA huwa sistema ħajja ta’ evidenza
Fajl tas-Sigurtà tal-Prodott CRA m’għandux jiġi ttrattat bħala PDF statiku prodott darba qabel ir-rilaxx u mbagħad minsi. Għandu jkun dossier strutturat li jirrakkonta l-istorja tas-sigurtà tal-prodott mill-kunċett sat-tmiem tal-appoġġ.
Fajl utli jispjega:
- X’inhu l-prodott u kif huwa maħsub li jintuża.
- Liema software, firmwer, servizzi cloud u dipendenzi ta’ partijiet terzi jinkludi.
- Liema riskji taċ-ċibersigurtà ġew ivvalutati.
- Liema rekwiżiti tas-sigurtà ġew applikati.
- Kif sar l-iżvilupp sigur.
- Kif il-vulnerabbiltajiet jiġu riċevuti, ittrijati, irranġati u żvelati.
- Kif jitwasslu aġġornamenti siguri.
- Kif jiġu kkontrollati l-fornituri u l-komponenti open-source.
- Kif jiġu eskalati l-inċidenti u l-vulnerabbiltajiet sfruttati b’mod attiv.
- Kif il-prodott jiġi mmonitorjat wara li jitqiegħed fis-suq.
Għal CISO, din hija sfida ta’ evidenza tal-ISMS. Għal maniġer tal-konformità tal-prodott, hija dokumentazzjoni teknika. Għall-inġinerija, hija DevSecOps u governanza tar-rilaxx. Għall-eżekuttivi, hija aċċess għas-suq u kontroll tar-responsabbiltà.
L-iżball huwa li dawn jiġu ttrattati bħala flussi ta’ xogħol separati. Il-mudell aħjar huwa li jinbena fajl ta’ evidenza fil-livell tal-prodott li jimmappja mal-kontrolli ISO/IEC 27001:2022 u ISO/IEC 27002:2022, u mbagħad l-istess evidenza tiġi mmappjata wkoll ma’ NIS2, DORA, GDPR, NIST u COBIT 2019 fejn rilevanti.
Zenith Controls: The Cross-Compliance Guide ta’ Clarysec jiddeskrivi dan bħala katina minn kontroll għal evidenza għal awditur:
“Fajl ta’ evidenza għal konformità trasversali għandu jimmappja kull obbligu mal-kontroll operattiv, l-oġġett ta’ evidenza rikorrenti, is-sid responsabbli, u l-lenti tal-awditjar li se tintuża biex tiġi kkontestata.”
Dik hija d-dixxiplina li teħtieġ it-tħejjija għall-CRA. Il-Fajl tas-Sigurtà tal-Prodott mhuwiex sempliċiment folder. Huwa s-saff ta’ traduzzjoni bejn l-inġinerija tal-prodott, il-governanza tas-sigurtà, il-valutazzjoni tal-konformità u l-assigurazzjoni għall-klijenti.
Ibni l-ewwel is-sinsla tal-evidenza tal-prodott
Il-fajl jeħtieġ struttura konsistenti qabel ma t-timijiet jibdew itellgħu reġistri. Mingħajr sinsla ċara, l-evidenza ssir munzell ta’ screenshots, esportazzjonijiet u PDFs ta’ politiki li ebda awditur ma jista’ jsegwi.
Għal workshops ta’ tħejjija għall-CRA, Clarysec tipikament tirrakkomanda l-istruttura li ġejja tal-Fajl tas-Sigurtà tal-Prodott għal organizzazzjonijiet li diġà joperaw ISMS ISO/IEC 27001:2022.
| Taqsima tal-Fajl tas-Sigurtà tal-Prodott | Evidenza primarja | Temi ta’ kontroll ISO/IEC 27001:2022 u ISO/IEC 27002:2022 | Sid tipiku |
|---|---|---|---|
| Definizzjoni tal-prodott u użu maħsub | Deskrizzjoni tal-prodott, arkitettura, fluss tad-data, mudell ta’ implimentazzjoni | A.5.9 Inventarju tal-informazzjoni u assi assoċjati oħra, A.5.8 Sigurtà tal-informazzjoni fil-ġestjoni tal-proġetti, valutazzjoni tar-riskju | Sid il-prodott |
| Inventarju tal-komponenti u d-dipendenzi | SBOM, lista tal-materjali tal-firmwer, mappa tad-dipendenzi tal-cloud | A.5.9 Inventarju, A.8.9 Ġestjoni tal-konfigurazzjoni, A.8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi | Responsabbli tal-inġinerija |
| Evidenza tal-iżvilupp sigur | Mudelli tat-theddid, rieżamijiet tad-disinn sigur, reġistri tar-rieżami tal-kodiċi, riżultati tat-testijiet tas-sigurtà | A.8.25 Ċiklu tal-ħajja tal-iżvilupp sigur, A.8.27 Arkitettura sigura tas-sistemi u prinċipji tal-inġinerija, A.8.28 Kodifikazzjoni sigura, A.8.29 Ittestjar tas-sigurtà fl-iżvilupp u l-aċċettazzjoni | Inġinerija u AppSec |
| Ġestjoni tal-vulnerabbiltajiet u CVD | Politika ta’ żvelar, reġistri tar-riċeviment, logs tat-trijaġġ, SLAs tat-tiswija, mudelli ta’ avviżi | A.8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi, A.5.24 Ippjanar u tħejjija għall-ġestjoni ta’ inċidenti tas-sigurtà tal-informazzjoni, A.5.26 Rispons għal inċidenti tas-sigurtà tal-informazzjoni | Operazzjonijiet tas-sigurtà |
| Evidenza tal-fornituri u open-source | Valutazzjonijiet tal-fornituri, klawżoli kuntrattwali, rieżami tal-OSS, provenjenza tal-komponenti | A.5.19 Sigurtà tal-informazzjoni fir-relazzjonijiet mal-fornituri, A.5.20 Indirizzar tas-sigurtà tal-informazzjoni fil-ftehimiet mal-fornituri, A.5.21 Ġestjoni tas-sigurtà tal-informazzjoni fil-katina tal-provvista tal-ICT | Akkwist u legali |
| Evidenza ta’ aġġornament sigur u rilaxx | Approvazzjonijiet tar-rilaxx, reġistri tal-iffirmar, pjanijiet ta’ treġġigħ lura, noti tal-patches | A.8.32 Ġestjoni tat-tibdil, A.8.24 Użu ta’ kontrolli kriptografiċi, A.8.9 Ġestjoni tal-konfigurazzjoni | Maniġer tar-rilaxx |
| Monitoraġġ wara t-tqegħid fis-suq | Feeds tal-vulnerabbiltajiet, telemetrija, rapporti tal-klijenti, rieżamijiet tal-inċidenti, rieżami perjodiku tar-riskju | A.8.15 Illoggjar, A.8.16 Attivitajiet ta’ monitoraġġ, A.5.25 Valutazzjoni u deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, titjib kontinwu | CISO u sigurtà tal-prodott |
| Pakkett tal-konformità u tal-awditjar | Immappjar tal-kontrolli, approvazzjoni mill-maniġment, indiċi tal-evidenza miżmuma | Governanza tal-ISMS, A.5.28 Ġbir tal-evidenza, awditjar intern, rieżami mill-maniġment | Maniġer tal-konformità |
Din it-tabella ma tissostitwixxix l-obbligi legali tad-dokumentazzjoni teknika. Tagħti lin-negozju mudell operattiv biex jipprovahom.
Fil-Zenith Blueprint, Fażi 1, Pass 3 jiffoka fuq id-definizzjoni tal-kamp ta’ applikazzjoni u tal-konfini. Għall-CRA, dak il-pass isir speċifiku għall-prodott. Iddefinixxi l-familja tal-prodott, il-verżjonijiet tas-software, l-assunzjonijiet tal-implimentazzjoni, ir-rwoli tal-utenti, is-servizzi konnessi, il-kanali tal-aġġornament u l-perjodu ta’ appoġġ. Jekk il-kamp ta’ applikazzjoni tal-ISMS huwa “Corporate SaaS and device management platform”, il-fajl CRA xorta għandu jwieġeb mistoqsija aktar dejqa: “Liema prodott b’elementi diġitali qed jitqiegħed fis-suq tal-UE, u x’inhu inkluż f’dak il-prodott?”
Immappja l-iżvilupp sigur ma’ reġistri fil-livell tal-prodott
Il-qalba tal-Fajl tas-Sigurtà tal-Prodott hija evidenza ta’ security-by-design. ISO/IEC 27001:2022 jipprovdi s-sistema ta’ governanza. ISO/IEC 27002:2022 jipprovdi gwida għall-implimentazzjoni permezz ta’ kontrolli bħal A.8.25 Ċiklu tal-ħajja tal-iżvilupp sigur, A.8.27 Arkitettura sigura tas-sistemi u prinċipji tal-inġinerija, A.8.28 Kodifikazzjoni sigura u A.8.29 Ittestjar tas-sigurtà fl-iżvilupp u l-aċċettazzjoni.
Il-bidla importanti hija minn dikjarazzjonijiet ġeneriċi dwar żvilupp sigur għal reġistri speċifiċi għar-rilaxx. “Nagħmlu rieżami tal-kodiċi” mhuwiex biżżejjed. Il-fajl għandu juri liema rilaxx ġie rivedut, liema riskji ġew ikkunsidrati, liema testijiet tas-sigurtà għaddew, liema vulnerabbiltajiet ġew aċċettati jew irrimedjati, u min approva r-rilaxx.
Il-Politika dwar l-Iżvilupp Sigur Enterprise ta’ Clarysec hija mfassla biex timponi dik it-traċċa tal-evidenza. Fi klawżola 6.1, Rekwiżiti taċ-Ċiklu tal-Ħajja tal-Iżvilupp Sigur, tgħid:
“Kull rilaxx ta’ prodott jew servizz għandu jżomm evidenza dokumentata tar-rekwiżiti tas-sigurtà, rieżami tad-disinn, attivitajiet ta’ kodifikazzjoni sigura, ittestjar tas-sigurtà, deċiżjonijiet ta’ rimedjazzjoni tal-vulnerabbiltajiet, u approvazzjoni tar-rilaxx qabel l-implimentazzjoni fl-ambjent ta’ produzzjoni.”
Din il-klawżola hija utli għall-CRA għaliex tbiddel l-iżvilupp sigur f’mudell ta’ evidenza ripetibbli. Awditur m’għandux għalfejn jiddeduċi li sar żvilupp sigur. Jista’ jispezzjona r-reġistru tar-rilaxx.
Għal termostat intelliġenti, apparat mediku IoT, sensur industrijali jew prodott konness ma’ SaaS, l-evidenza tal-iżvilupp sigur għandha tinkludi:
- Rekwiżiti tas-sigurtà tal-prodott immappjati mar-riskji identifikati.
- Mudell tat-theddid jew analiżi ta’ każijiet ta’ abbuż għall-prodott u s-servizzi konnessi.
- Rieżami tal-arkitettura, inklużi konfini ta’ fiduċja u interfaċċi esterni.
- Standard ta’ kodifikazzjoni sigura u prova ta’ rikonoxximent jew taħriġ tal-iżviluppaturi.
- SAST, DAST, Software Composition Analysis, skannjar tas-sigrieti u analiżi tal-firmwer fejn applikabbli.
- Tickets ta’ rimedjazzjoni għal sejbiet ta’ riskju għoli.
- Reġistri ta’ aċċettazzjoni tar-riskju b’approvazzjoni tan-negozju u tas-sigurtà.
- Lista ta’ kontroll tal-gate tar-rilaxx li turi li l-kriterji tas-sigurtà ntlaħqu.
- Evidenza tal-iffirmar kriptografiku u tal-integrità tal-aġġornamenti.
- Assunzjonijiet dwar il-perjodu ta’ appoġġ u t-tmiem tal-ħajja.
Standards oħra jgħinu biex isaħħu l-metodu. ISO/IEC 27005 jappoġġja l-approċċ tar-riskju wara dawn ir-reġistri. ISO/IEC 27017 huwa utli fejn is-servizzi cloud jiffurmaw parti mill-ekosistema tal-prodott. ISO/IEC 27035 jappoġġja l-ġestjoni tal-inċidenti. ISO/IEC 29147 u ISO/IEC 30111 huma partikolarment rilevanti għall-iżvelar tal-vulnerabbiltajiet u l-ġestjoni tal-vulnerabbiltajiet. ISO/IEC 27036 jappoġġja s-sigurtà tal-fornituri, li hija importanti meta l-prodott jinkludi software esternalizzat, moduli embedded, servizzi cloud immaniġġjati jew libreriji ta’ partijiet terzi.
F’Zenith Controls, l-evidenza tal-iżvilupp sigur CRA normalment tiġi mmappjata madwar temi ta’ kontroll ISO/IEC 27002:2022 bħas-sigurtà tal-informazzjoni fil-ġestjoni tal-proġetti, iċ-ċiklu tal-ħajja tal-iżvilupp sigur, il-kodifikazzjoni sigura, l-ittestjar tas-sigurtà, il-ġestjoni tat-tibdil u l-ġestjoni tal-vulnerabbiltajiet tekniċi. Il-gwida torbot dawn ukoll mal-inventarju tal-assi u mal-kontrolli tal-fornituri, għaliex ebda proċess ta’ żvilupp sigur ma jkun komplut jekk l-organizzazzjoni ma tistax tidentifika l-komponenti li tqiegħed fis-suq.
Ittratta l-SBOM bħala evidenza regolata tal-prodott
Is-Software Bill of Materials spiss jiġi ttrattat bħala artifact tekniku. Għat-tħejjija għall-CRA, għandu jiġi ttrattat bħala evidenza tal-prodott.
SBOM utli jgħidlek liema komponenti hemm fil-prodott, liema verżjonijiet jintużaw, minn fejn ġew, liema liċenzji japplikaw, liema vulnerabbiltajiet jaffettwawhom, u liema rilaxxi fihom. Għal firmwer u prodotti embedded, dan jista’ jinkludi pakketti tas-sistema operattiva, bootloaders, libreriji, drivers, containers, moduli ta’ partijiet terzi u dipendenzi fuq in-naħa tal-cloud meħtieġa għall-operat tal-prodott.
Il-problema hija li ħafna organizzazzjonijiet jiġġeneraw SBOMs iżda ma jiggvernawhomx. Pipeline tal-build jista’ jipproduċi fajl SPDX jew CycloneDX, iżda ħadd ma jivvalida l-kompletezza. Għodod tas-sigurtà jistgħu jindikaw vulnerabbiltajiet, iżda r-riżultati ma jkunux marbuta mal-verżjonijiet tal-prodott. L-akkwist jista’ japprova fornitur, iżda l-lista tal-komponenti ta’ dak il-fornitur ma tkunx rikonċiljata mal-prodott rilaxxat.
Il-Politika tal-Ġestjoni tal-Assi Enterprise ta’ Clarysec tindirizza din il-lakuna fil-governanza fi klawżola 5.2, Inventarju tal-Informazzjoni u l-Assi Assoċjati:
“L-assi tal-informazzjoni u l-komponenti teknoloġiċi assoċjati għandhom jiġu identifikati, assenjati lil sid, ikklassifikati fejn applikabbli, u miżmuma f’inventarju li jappoġġja l-valutazzjoni tar-riskju, il-ġestjoni tal-vulnerabbiltajiet, il-kontroll tat-tibdil u l-evidenza tal-awditjar.”
Għall-CRA, dik il-klawżola ssir speċifika għall-prodott. L-SBOM huwa parti mill-inventarju tal-komponenti teknoloġiċi assoċjati. Jeħtieġ sid, regola ta’ żamma, proċess ta’ verifika u rabta mal-ġestjoni tal-vulnerabbiltajiet.
Regola prattika għall-evidenza SBOM hija sempliċi: kull verżjoni rilaxxata tal-prodott għandu jkollha inventarju approvat tal-komponenti li jista’ jitqabbel mal-artifact tar-rilaxx. Jekk l-organizzazzjoni ma tistax torbot l-SBOM mal-immaġni eżatta tal-firmwer, pakkett tal-applikazzjoni, digest tal-container jew rilaxx SaaS, l-SBOM huwa evidenza dgħajfa.
| Verifika | Evidenza li għandha tinġabar | Kriterji ta’ suċċess |
|---|---|---|
| Rabta mar-rilaxx | ID tar-rilaxx, hash tal-build, verżjoni tal-firmwer, digest tal-container jew ID tal-pakkett | L-SBOM jimmappja b’mod ċar mal-artifact rilaxxat |
| Kompletezza tal-komponenti | Fajl SBOM, rapport tal-iskannjar tad-dipendenzi, eċċezzjonijiet manwali | Id-dipendenzi diretti u transittivi jinqabdu jew l-eċċezzjonijiet jiġu ġġustifikati |
| Status tal-vulnerabbiltajiet | Rapport SCA, tickets tal-vulnerabbiltajiet, aċċettazzjonijiet tar-riskju | Sejbiet magħrufa bħala sfruttabbli jew ta’ riskju għoli għandhom rimedjazzjoni jew eċċezzjoni approvata |
| Rabta mal-fornitur | Dikjarazzjonijiet tal-komponenti tal-fornituri, attestazzjonijiet ta’ partijiet terzi, termini ta’ appoġġ | Komponenti kritiċi fornuti għandhom evidenza tal-fornitur |
| Liċenzja u provenjenza | Skannjar tal-liċenzji, reġistru tar-repożitorju tas-sors, sors approvat tal-pakkett | L-oriġini u l-użu tal-komponent huma dokumentati |
| Żamma u aċċess | Mogħdija tar-repożitorju tal-evidenza, sid, regola ta’ żamma | Il-konformità tista’ tirkupra l-SBOM u r-reġistri relatati fi żmien definit |
Jekk ifallu aktar minn żewġ ringieli, il-kwistjoni normalment mhijiex l-għodda SBOM. Hija l-governanza. Il-Fajl tas-Sigurtà tal-Prodott għandu jirreġistra azzjoni korrettiva fl-ISMS, għaliex dgħufija fl-evidenza CRA hija wkoll kwistjoni ta’ effettività tal-kontroll ISO/IEC 27001:2022.
Qabbad CVD mal-ġestjoni tal-vulnerabbiltajiet u l-governanza tar-rilaxx
L-iżvelar koordinat tal-vulnerabbiltajiet huwa wieħed mill-oqsma l-aktar viżibbli tat-tħejjija għall-CRA għaliex riċerkaturi esterni, klijenti u awtoritajiet jistgħu jittestjawh direttament. Il-pubblikazzjoni ta’ paġna ta’ żvelar tal-vulnerabbiltajiet jew fajl security.txt hija utli, iżda hija biss il-bieb ta’ quddiem. Il-Fajl tas-Sigurtà tal-Prodott għandu jipprova li l-back office jaħdem.
Sett difensibbli ta’ evidenza CVD u ġestjoni tal-vulnerabbiltajiet għandu jinkludi:
- Kanal pubbliku ta’ żvelar u istruzzjonijiet għas-sottomissjoni.
- Proċess ta’ rikonoxximent għar-riċerkaturi.
- Kriterji ta’ trijaġġ, inklużi valutazzjoni tas-severità u tal-isfruttabbiltà.
- Analiżi tal-impatt fuq il-prodott.
- Sjieda tar-rimedjazzjoni u skadenzi fil-mira.
- Mudelli ta’ avviżi għall-klijenti u komunikazzjoni dwar l-aġġornamenti.
- Evidenza ta’ żvilupp u ttestjar sigur tal-patches.
- Reġistri ta’ pubblikazzjoni koordinata fejn applikabbli.
- Lessons learned u analiżi rikorrenti tax-xejriet tal-vulnerabbiltajiet.
Il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches Enterprise ta’ Clarysec, klawżola 6.3, Riċeviment, Trijaġġ u Rimedjazzjoni tal-Vulnerabbiltajiet, tgħid:
“Il-vulnerabbiltajiet irrappurtati għandhom jiġu logged, evalwati għall-assi u l-prodotti affettwati, ipprijoritizzati skont ir-riskju u l-isfruttabbiltà, assenjati lil sid responsabbli, u traċċati permezz tar-rimedjazzjoni, il-verifika, il-komunikazzjoni u l-għeluq.”
Dik il-klawżola torbot CVD ma’ SBOM, inventarju tal-assi, tickets tal-inġinerija, ġestjoni tar-rilaxx u monitoraġġ wara t-tqegħid fis-suq. Hija wkoll il-klawżola li l-awdituri naturalment se jittestjaw: uri r-reġistru tar-riċeviment, uri l-prodotti affettwati, uri t-trijaġġ, uri t-tiswija, uri l-komunikazzjoni mal-klijenti, uri l-għeluq.
Il-Politika tas-Sigurtà tal-Informazzjoni dwar il-Ġestjoni tal-Inċidenti eżistenti tiegħek għandha tiġi estiża wkoll biex tkopri vulnerabbiltajiet tal-prodott li jsiru inċidenti jew jeħtieġu notifika esterna. ISO/IEC 27002:2022 A.5.24 ikopri l-ippjanar u t-tħejjija għall-ġestjoni tal-inċidenti, A.5.25 ikopri l-valutazzjoni u d-deċiżjoni dwar avvenimenti tas-sigurtà tal-informazzjoni, A.5.26 ikopri r-rispons għal inċidenti tas-sigurtà tal-informazzjoni, u A.5.27 ikopri t-tagħlim minn inċidenti.
F’Zenith Controls, il-ġestjoni tal-vulnerabbiltajiet tiġi ttrattata kemm bħala preventiva kif ukoll bħala korrettiva. In-naħa preventiva tinkludi inventarju, żvilupp sigur, monitoraġġ tal-fornituri u konfigurazzjoni sigura. In-naħa korrettiva tinkludi sejbien, trijaġġ, patching, komunikazzjoni u eskalazzjoni tal-inċidenti. Din id-distinzjoni hija importanti għaliex il-ġestjoni tal-vulnerabbiltajiet wara t-tqegħid fis-suq hija parti mill-obbligu taċ-ċiklu tal-ħajja tal-prodott, mhux ħsieb ta’ wara.
L-evidenza tal-fornituri hija d-dgħufija moħbija
Il-Fajl tas-Sigurtà tal-Prodott ħafna drabi jiġi kkontestat l-aktar fejn il-manifattur jiddependi fuq oħrajn. Dan jinkludi moduli embedded, żvilupp esternalizzat tal-firmwer, komponenti white-label, hosting cloud, SDKs mobbli, servizzi ta’ pagament, libreriji kriptografiċi u fornituri ta’ appoġġ immaniġġjat.
Ix-xejra komuni ta’ falliment hija astrazzjoni kuntrattwali. Il-manifattur jgħid, “Il-fornitur tagħna huwa responsabbli għal dan.” Taħt skrutinju tas-sigurtà tal-prodott, dan mhuwiex biżżejjed. L-organizzazzjoni għandha turi li r-riskju tal-fornitur huwa identifikat, ir-rekwiżiti tas-sigurtà huma kkomunikati, l-evidenza tinġabar, il-vulnerabbiltajiet jiġu kkoordinati u l-bidliet jiġu kkontrollati.
Il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri Enterprise ta’ Clarysec, klawżola 7.1, Rekwiżiti tas-Sigurtà tal-Fornituri, tgħid:
“Fornituri li jiżviluppaw, joperaw, jipproċessaw, jappoġġjaw, jew jaffettwaw b’mod materjali sistemi tal-informazzjoni, prodotti jew servizzi għandhom jiġu evalwati skont ir-riskju u għandhom ikunu soġġetti għal rekwiżiti tas-sigurtà li jkopru l-aċċess, il-ġestjoni tal-vulnerabbiltajiet, in-notifika ta’ inċidenti, is-sottokuntrattar, il-kontinwità u l-forniment ta’ evidenza.”
Għall-CRA, il-frażi “jaffettwaw b’mod materjali prodotti” hija kritika. Jekk komponent ta’ fornitur jista’ jintroduċi vulnerabbiltà, ifixkel l-aġġornamenti, jesponi data tal-klijenti jew jikkomprometti l-integrità tal-apparat, għandu jkun fil-Fajl tas-Sigurtà tal-Prodott.
L-istess politika tista’ tappoġġja wkoll kuntrattar tal-SBOM. Klawżola 7.3 tgħid:
“Għall-komponenti kollha ta’ software, libreriji jew sistemi operattivi ta’ partijiet terzi li għandhom jiġu integrati fil-‘Prodotti b’Elementi Diġitali’ tal-kumpanija, il-fornitur għandu jipprovdi, fuq talba, Software Bill of Materials (SBOM) li jinqara mill-magni f’format standard bħal SPDX jew CycloneDX. Dan ir-rekwiżit għandu jiġi inkorporat fil-kuntratti kollha tal-akkwist u tal-fornituri.”
Pakkett b’saħħtu ta’ evidenza tal-fornituri għandu jinkludi klassifikazzjoni tal-fornituri skont l-impatt fuq il-prodott, rekwiżiti tas-sigurtà fil-kuntratti, evidenza tal-iżvilupp sigur tal-fornituri għal komponenti kritiċi, impenji tal-fornituri dwar l-iżvelar tal-vulnerabbiltajiet, SBOM jew dikjarazzjonijiet tal-komponenti fejn fattibbli, appoġġ għall-patches u skadenzi tat-tmiem tal-ħajja, reġistri ta’ rieżami perjodiku u mogħdijiet ta’ eskalazzjoni għal vulnerabbiltajiet li joriġinaw mill-fornituri.
ISO/IEC 27002:2022 A.5.19, A.5.20 u A.5.21 jipprovdu t-temi ewlenin tal-kontrolli tal-fornituri. ISO/IEC 27036 iżid fond għas-sigurtà tar-relazzjoni mal-fornituri. F’termini ta’ konformità trasversali, NIS2 jenfasizza l-katina tal-provvista u l-ġestjoni tal-vulnerabbiltajiet. DORA jenfasizza r-riskju ta’ partijiet terzi tal-ICT għal entitajiet finanzjarji. GDPR isir rilevanti meta l-prodott jew is-servizzi cloud tiegħu jipproċessaw data personali. COBIT 2019 jifforma l-governanza tal-fornituri bħala kwistjoni ta’ governanza tat-teknoloġija tal-intrapriża, mhux biss kwistjoni ta’ operazzjonijiet tas-sigurtà.
Il-monitoraġġ wara t-tqegħid fis-suq ibiddel l-evidenza f’operazzjonijiet
L-organizzazzjonijiet l-aktar maturi fis-sigurtà tal-prodott jaħsbu lil hinn mir-rilaxx. Jistaqsu, “Kif se nkunu nafu li dan il-prodott sar riskjuż wara li jkun fil-qasam?”
Il-monitoraġġ wara t-tqegħid fis-suq għandu jaqbad sinjali minn feeds tal-vulnerabbiltajiet, intelligence dwar exploits, appoġġ għall-klijenti, telemetrija, bug bounty jew rapporti tar-riċerkaturi, notifiki tal-fornituri, logs tal-cloud, reġistri tal-inċidenti u data tal-prestazzjoni fil-qasam. Għandu jinkludi wkoll rieżami perjodiku tar-riskju tal-prodott meta jinbidlu l-kundizzjonijiet tat-theddid.
Il-Politika tal-Illoggjar u l-Monitoraġġ Enterprise ta’ Clarysec, klawżola 5.4, Monitoraġġ u Rieżami tas-Sigurtà, tgħid:
“Avvenimenti rilevanti għas-sigurtà għandhom jinġabru, jiġu riveduti, eskalati u miżmuma b’mod li jappoġġja sejbien f’waqtu, investigazzjoni, rispons għall-inċidenti, rappurtar tal-konformità u titjib kontinwu.”
Għal prodotti konnessi, dan għandu jiġi interpretat b’attenzjoni. Il-monitoraġġ għandu jirrispetta l-privatezza, il-minimizzazzjoni tad-data u r-restrizzjonijiet legali, speċjalment fejn it-telemetrija tinkludi data personali jew data operattiva tal-klijenti. L-immappjar mal-GDPR huwa importanti. It-timijiet tas-sigurtà tal-prodott għandhom jaħdmu mat-timijiet tal-privatezza biex jiddefinixxu liema telemetrija hija meħtieġa għas-sigurtà, kif tiġi minimizzata, għal kemm żmien tinżamm u kif il-klijenti jiġu infurmati.
L-evidenza tal-monitoraġġ wara t-tqegħid fis-suq għandha tinkludi pjan ta’ monitoraġġ tas-sigurtà tal-prodott, sorsi ta’ intelligence dwar il-vulnerabbiltajiet, kanali ta’ riċeviment tar-rapporti tal-klijenti, kanali ta’ notifika tal-fornituri, kamp ta’ applikazzjoni tar-rieżami tat-telemetrija jew tal-logs, minuti ta’ rieżami perjodiku tar-riskju tal-prodott, traċċar tal-adozzjoni tal-patches, analiżi tax-xejriet tal-inċidenti u inputs għar-rieżami mill-maniġment.
Fil-Zenith Blueprint, Fażi 5, Pass 30 jiffoka fuq titjib kontinwu u tħejjija għas-sorveljanza. Għall-CRA, hawnhekk il-Fajl tas-Sigurtà tal-Prodott isir fajl ħaj. Kull rilaxx tal-prodott, vulnerabbiltà, bidla fil-fornitur u sinjal mill-qasam għandu jaġġorna r-reġistru tal-evidenza.
Fajl ta’ evidenza wieħed, ħafna mistoqsijiet ta’ konformità
Fajl tas-Sigurtà tal-Prodott CRA mfassal tajjeb inaqqas id-duplikazzjoni għaliex l-istess evidenza twieġeb għal diversi mistoqsijiet ta’ konformità. Il-lingwa tinbidel, iżda r-realtà tal-kontroll spiss tkun simili.
| Oġġett ta’ evidenza | Rilevanza għall-CRA | Tema ISO/IEC 27001:2022 u ISO/IEC 27002:2022 | Rilevanza għal NIS2, DORA, GDPR, NIST u COBIT 2019 |
|---|---|---|---|
| Valutazzjoni tar-riskju tal-prodott | Turi li r-riskji tas-sigurtà ġew ikkunsidrati waqt id-disinn u ċ-ċiklu tal-ħajja tal-prodott | Valutazzjoni tar-riskju, A.5.8 Sigurtà tal-informazzjoni fil-ġestjoni tal-proġetti, A.8.25 Ċiklu tal-ħajja tal-iżvilupp sigur | Ġestjoni tar-riskju NIS2, ġestjoni tar-riskju tal-ICT DORA, Govern u Identify ta’ NIST, governanza tar-riskju COBIT |
| SBOM u inventarju tal-komponenti | Juri għarfien tal-komponenti tas-software u tal-espożizzjoni għall-vulnerabbiltajiet | A.5.9 Inventarju, A.8.9 Ġestjoni tal-konfigurazzjoni, A.8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi | Katina tal-provvista NIS2, għarfien tal-assi tal-ICT DORA, Ġestjoni tal-Assi NIST, assi mmaniġġjati COBIT |
| Reġistri tal-iżvilupp sigur | Juru li s-sigurtà ġiet inkorporata fid-disinn u fir-rilaxx | A.8.25 Ċiklu tal-ħajja tal-iżvilupp sigur, A.8.27 Arkitettura sigura, A.8.28 Kodifikazzjoni sigura, A.8.29 Ittestjar tas-sigurtà | Protect ta’ NIST, governanza tal-build u tat-tibdil COBIT, sigurtà mid-disinn tal-GDPR fejn tkun involuta data personali |
| CVD u tickets tal-vulnerabbiltajiet | Juru l-kapaċità li jiġu riċevuti, evalwati, irrimedjati u kkomunikati vulnerabbiltajiet | A.8.8 Ġestjoni tal-vulnerabbiltajiet tekniċi, A.5.24 Ippjanar tal-inċidenti, A.5.26 Rispons għall-inċidenti | Ġestjoni tal-vulnerabbiltajiet NIS2, proċessi ta’ inċidenti u vulnerabbiltajiet DORA, Respond ta’ NIST |
| Evidenza tal-fornituri | Turi li d-dipendenzi tal-prodott huma ggovernati | A.5.19 Relazzjonijiet mal-fornituri, A.5.20 Ftehimiet mal-fornituri, A.5.21 Katina tal-provvista tal-ICT | Sigurtà tal-katina tal-provvista NIS2, riskju ta’ partijiet terzi tal-ICT DORA, governanza tal-fornituri COBIT |
| Monitoraġġ wara t-tqegħid fis-suq | Juri sorveljanza kontinwa tas-sigurtà tal-prodott | A.8.15 Illoggjar, A.8.16 Attivitajiet ta’ monitoraġġ, A.5.25 Valutazzjoni tal-avvenimenti, titjib kontinwu | Sejbien tal-inċidenti NIS2, monitoraġġ DORA, Detect ta’ NIST, appoġġ għas-sejbien ta’ ksur tal-GDPR |
| Reġistri tar-rappurtar tal-inċidenti | Juru tħejjija għall-eskalazzjoni u n-notifika | A.5.24 Ippjanar tal-inċidenti, A.5.25 Valutazzjoni tal-avvenimenti, A.5.26 Rispons għall-inċidenti, A.5.27 Tagħlim minn inċidenti | Rappurtar NIS2 u DORA, valutazzjoni tal-ksur GDPR, Respond u Recover ta’ NIST |
Zenith Controls huwa mfassal għal dan l-użu mill-ġdid. Jimmappja t-temi tal-kontroll ISO/IEC 27002:2022 ma’ attributi bħall-iskop preventiv, detettiv u korrettiv tal-kontrolli, kunċetti taċ-ċibersigurtà, kapaċitajiet operattivi u proprjetajiet tas-sigurtà. Għall-CRA, dan jgħin lil CISO jispjega għaliex oġġett wieħed ta’ evidenza, bħal rieżami tas-sigurtà tar-rilaxx, jappoġġja żvilupp sigur, trattament tar-riskju, kontroll tat-tibdil, ġestjoni tal-vulnerabbiltajiet u l-kapaċità li tintwera l-konformità.
Ipprepara għal lentijiet differenti tal-awdituri
Fajl tas-Sigurtà tal-Prodott CRA jista’ jiġi kkontestat minn awditur ISO, tim tal-awditjar intern, tim ta’ assigurazzjoni għall-klijenti, reviżur tal-konformità tal-prodott, regolatur, valutatur ibbażat fuq NIST jew awditur COBIT imħarreġ minn ISACA. Kull wieħed jistaqsi mistoqsijiet simili permezz ta’ lenti differenti.
| Lenti tal-awditur | X’se jistaqsu | Evidenza b’saħħitha |
|---|---|---|
| Awditur ISO/IEC 27001:2022 | Is-sigurtà tal-prodott hija ggovernata fl-ISMS, fil-proċess tar-riskju, fil-mudell tal-kompetenza, fil-kontrolli operattivi u fiċ-ċiklu tat-titjib kontinwu? | Kamp ta’ applikazzjoni tal-ISMS, valutazzjoni tar-riskju, Dikjarazzjoni tal-Applikabbiltà, reġistri tal-iżvilupp sigur, sejbiet tal-awditjar intern, rieżami mill-maniġment |
| Perspettiva ta’ ċertifikazzjoni ISO/IEC 27006-1:2024 | L-evidenza tal-awditjar hija affidabbli, ikkampjunata kif xieraq u marbuta mas-sistema ta’ ġestjoni ċċertifikata? | Indiċi tal-evidenza, loġika tal-kampjunar, intervisti mas-sidien, reġistri miżmuma, traċċar tal-azzjonijiet korrettivi |
| Valutatur orjentat lejn NIST | Tista’ turi governanza, identifikazzjoni tal-assi, miżuri ta’ protezzjoni, sejbien, rispons u rkupru għaċ-ċiklu tal-ħajja tal-prodott? | Reġistru tar-riskju tal-prodott, SBOM, pjan ta’ monitoraġġ, fluss tax-xogħol tal-vulnerabbiltajiet, playbooks tal-inċidenti |
| Awditur COBIT 2019 jew ISACA | L-objettivi tas-sigurtà tal-prodott huma ggovernati, imkejla, assenjati lil sidien u allinjati mar-riskju tal-intrapriża u t-twassil tal-valur? | RACI, metriċi, approvazzjonijiet tal-politiki, governanza tal-fornituri, rappurtar lill-maniġment, aċċettazzjoni tar-riskju |
| Reviżur tal-konformità tal-prodott | Il-fajl tekniku juri rekwiżiti taċ-ċibersigurtà, kontrolli tad-disinn, ġestjoni tal-vulnerabbiltajiet u monitoraġġ wara t-tqegħid fis-suq għall-prodott? | Indiċi tal-Fajl tas-Sigurtà tal-Prodott, arkitettura, SBOM, evidenza tat-testijiet, reġistri CVD, evidenza tal-aġġornamenti |
| Valutatur tas-sigurtà tal-klijent | Tista’ tipprova li l-prodott huwa żviluppat u appoġġjat b’mod sigur tul iċ-ċiklu tal-ħajja tiegħu? | Sommarju tal-SDLC sigur, sommarju ta’ test ta’ penetrazzjoni, proċess ta’ żvelar tal-vulnerabbiltajiet, politika ta’ appoġġ għall-patches, assigurazzjoni tal-fornituri |
L-istess punt dgħajjef jiġi espost b’modi differenti. Jekk l-SBOMs jiġu ġġenerati iżda ma jinżammux, l-awditur ISO jara kwistjoni ta’ kontroll tar-reġistri u kontroll operattiv. Il-valutatur NIST jara dgħufija fil-ġestjoni tal-assi u tal-vulnerabbiltajiet. L-awditur COBIT jara governanza dgħajfa fuq l-assi tal-informazzjoni. Ir-reviżur tal-prodott jara dokumentazzjoni teknika insuffiċjenti.
Pjan direzzjonali ta’ 30 pass, adattat għat-tħejjija għall-CRA
Il-Zenith Blueprint jipprevjeni lit-timijiet tal-konformità milli jaqbżu direttament għall-ġbir tad-dokumenti. Għall-CRA, il-pjan direzzjonali ta’ 30 pass isir programm ta’ evidenza tas-sigurtà tal-prodott.
Fażi 1 tibda bl-immappjar tal-obbligi u tal-kamp ta’ applikazzjoni. Identifika liema prodotti, verżjonijiet, komponenti, servizzi cloud u proċessi ta’ appoġġ huma fil-kamp ta’ applikazzjoni. Ikkonferma l-użu maħsub, il-kategoriji tal-utenti, is-swieq u l-perjodu ta’ appoġġ tas-sigurtà.
Fażi 2 tibni l-arkitettura tal-evidenza. Iddefinixxi l-indiċi tal-Fajl tas-Sigurtà tal-Prodott, is-sidien tal-evidenza, ir-rekwiżiti ta’ żamma, l-istruttura tar-repożitorju u l-fluss tax-xogħol ta’ approvazzjoni. Allinja mas-sistemi tal-inġinerija minflok ma timponi uploads manwali.
Fażi 3 timplimenta kontrolli operattivi. Żvilupp sigur, ġenerazzjoni tal-SBOM, ġestjoni tal-vulnerabbiltajiet, evidenza tal-fornituri, gates tar-rilaxx, aġġornamenti siguri u eskalazzjoni tal-inċidenti għandhom joperaw bħala proċessi reali.
Fażi 4 tittestja l-kapaċità li tintwera l-konformità. Agħżel rilaxx tal-prodott u wettaq awditu ta’ prova. It-tim jista’ jirkupra l-SBOM? Jista’ jipprova l-ittestjar tas-sigurtà? Jista’ juri kif vulnerabbiltà ġiet ittrijata? Jista’ jgħaqqad l-evidenza tal-fornituri mal-komponenti tal-prodott?
Fażi 5 tinkorpora s-sorveljanza u t-titjib. Il-monitoraġġ wara t-tqegħid fis-suq, l-analiżi tax-xejriet tal-vulnerabbiltajiet, ir-rieżamijiet tal-fornituri u l-inputs għar-rieżami mill-maniġment iżommu l-fajl attwali.
| Sprint ta’ erba’ ġimgħat għat-tħejjija għall-CRA | Riżultat |
|---|---|
| Agħżel prodott ewlieni għall-UE | Il-kamp ta’ applikazzjoni tal-prodott, il-verżjonijiet, is-servizzi u l-perjodu ta’ appoġġ huma definiti |
| Oħloq l-indiċi tal-Fajl tas-Sigurtà tal-Prodott | It-taqsimiet tal-evidenza, is-sidien u r-regoli ta’ żamma huma dokumentati |
| Immappja l-kontrolli ISO/IEC 27001:2022 mat-taqsimiet tal-fajl | Immappjar minn kontroll għal evidenza huwa disponibbli għall-awditjar |
| Ehmeż rilaxx reċenti wieħed bħala kampjun ta’ evidenza | Ir-reġistri tal-iżvilupp sigur, tal-ittestjar u tal-approvazzjoni tar-rilaxx huma marbuta |
| Iġġenera jew ivvalida l-SBOM | L-inventarju tal-komponenti huwa marbut mal-artifact tar-rilaxx |
| Segwi vulnerabbiltà waħda mis-sejbien sal-għeluq | L-evidenza ta’ CVD, trijaġġ, rimedjazzjoni, komunikazzjoni u għeluq tiġi ttestjata |
| Segwi komponent wieħed tal-fornitur sal-kuntratt u l-evidenza tas-sigurtà | L-evidenza tas-sigurtà tal-fornitur hija marbuta mal-prodott |
| Irrevedi s-sinjali tal-monitoraġġ wara t-tqegħid fis-suq għall-aħħar kwart | Intelligence mill-qasam u rieżami tar-riskju huma dokumentati |
| Irreġistra lakuni bħala azzjonijiet korrettivi tal-ISMS | Id-dgħufijiet CRA jsiru titjib tal-kontrolli mmaniġġjat |
| Irrapporta l-istatus tat-tħejjija lill-maniġment | L-eżekuttivi jirċievu maturità tal-evidenza, mhux attività vaga tal-kontrolli |
Dan is-sprint normalment jikxef il-verità malajr. L-organizzazzjonijiet rarament ifallu għaliex m’għandhomx il-kontrolli kollha. Ifallu għaliex il-kontrolli mhumiex konnessi fil-livell tal-prodott.
Lakuni komuni fit-tħejjija għall-CRA qabel l-2026
Fost fornituri ta’ software, manifatturi ta’ apparati u fornituri ta’ servizzi konnessi, il-lakuni rikorrenti huma konsistenti.
L-ewwel, il-kamp ta’ applikazzjoni tal-ISMS huwa wisq korporattiv. Ikopri l-organizzazzjoni, iżda mhux biżżejjed dettall dwar iċ-ċiklu tal-ħajja tal-prodott. Is-soluzzjoni hija li jinħolqu annessi u fajls ta’ evidenza fil-livell tal-prodott.
It-tieni, l-SBOMs jeżistu iżda mhumiex fdati. Jiġu ġġenerati minn għodod iżda ma jiġux riveduti, approvati, miżmuma jew konnessi mad-deċiżjonijiet dwar il-vulnerabbiltajiet. Is-soluzzjoni hija governanza tal-SBOM, mhux biss produzzjoni tal-SBOM.
It-tielet, CVD huwa aċċessibbli pubblikament iżda mhux matur operattivament. Ir-rapporti jaslu, iżda l-kriterji tat-trijaġġ, il-miri tar-rispons, l-approvazzjonijiet tal-avviżi u l-evidenza tal-għeluq huma inkonsistenti. Is-soluzzjoni hija li CVD jiġi integrat mal-ġestjoni tal-vulnerabbiltajiet, il-ġestjoni tal-inċidenti u l-ġestjoni tar-rilaxx.
Ir-raba’, l-evidenza tal-fornituri hija superfiċjali wisq. Fornituri kritiċi jiġu approvati kummerċjalment iżda ma jiġux evalwati għall-impatt fuq is-sigurtà tal-prodott. Is-soluzzjoni hija klassifikazzjoni tal-fornituri skont ir-riskju tal-prodott u evidenza obbligatorja għal komponenti kritiċi.
Il-ħames, il-monitoraġġ wara t-tqegħid fis-suq huwa reattiv. It-timijiet jirrispondu għal vulnerabbiltajiet urġenti iżda ma jwettqux rieżamijiet perjodiċi tar-riskju tal-prodott. Is-soluzzjoni hija rieżami skedat tas-sigurtà wara t-tqegħid fis-suq marbut mar-rappurtar lill-maniġment.
Is-sitt, l-evidenza tal-awditjar hija manwali żżejjed. It-timijiet tal-konformità jiġru wara screenshots. Is-soluzzjoni hija evidenza mid-disinn, bl-użu ta’ sistemi tal-inġinerija, flussi tax-xogħol tat-ticketing u repożitorji bħala sorsi awtorevoli.
Ibni l-fajl tal-evidenza qabel ma l-iskadenza tibnih għalik
Il-Cyber Resilience Act jippremja organizzazzjonijiet li jistgħu jippruvaw is-sigurtà tal-prodott bħala dixxiplina operattiva. Joħloq riskju għal organizzazzjonijiet li jittrattaw l-evidenza bħala eżerċizzju ta’ konformità tal-aħħar minuta.
Ibda b’prodott wieħed. Ibni Fajl tas-Sigurtà tal-Prodott wieħed. Immappjah ma’ ISO/IEC 27001:2022 u ISO/IEC 27002:2022. Ehmeż evidenza tal-iżvilupp sigur, SBOM, reġistri CVD, assigurazzjoni tal-fornituri u monitoraġġ wara t-tqegħid fis-suq. Wettaq simulazzjoni ta’ awditu qabel ma jagħmilha għalik xi ħadd estern.
Clarysec tista’ tgħinek taċċellera dak il-vjaġġ bil-Zenith Blueprint, Zenith Controls, il-Politika dwar l-Iżvilupp Sigur Enterprise, il-Politika dwar il-Ġestjoni tal-Vulnerabbiltajiet u l-Patches, il-Politika tal-Ġestjoni tal-Assi, il-Politika tas-Sigurtà ta’ Partijiet Terzi u tal-Fornituri, il-Politika tal-Illoggjar u l-Monitoraġġ, u l-Politika tas-Sigurtà tal-Informazzjoni dwar il-Ġestjoni tal-Inċidenti.
L-aktar mistoqsija importanti tiegħek għall-CRA 2026 mhijiex, “Għandna kontrolli tas-sigurtà?”
Hija, “Nistgħu nippruvaw is-sigurtà tal-prodott, rilaxx b’rilaxx, komponent b’komponent, vulnerabbiltà b’vulnerabbiltà, wara li l-prodott ikun diġà fis-suq?”
Ibni l-fajl tal-evidenza issa, qabbdu mal-ISMS tiegħek, u agħmel kull rilaxx futur tal-prodott lest għall-awditjar mid-disinn.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
