Japon : Projet de politique du système d'évaluation de la conformité de la sécurité des produits IoT

Le ministère japonais de l'Économie, du Commerce et de l'Industrie (METI) a publié un projet de politique du système d'évaluation de la conformité de la sécurité des produits IoT.

Sont concernés les produits capables d'envoyer et de recevoir des données via le protocole Internet (IP), y compris les produits indirectement connectés à Internet (à l'exclusion des produits informatiques à usage général sur lesquels les utilisateurs peuvent facilement modifier les mesures de sécurité, par exemple via des produits logiciels ( PC, tablettes, smartphones, etc.)).

Le projet de politique décrit l'objectif et le positionnement d'un système volontaire d'évaluation de la conformité de la sécurité des produits IoT que le Japon établira, les détails du système, tels que sa structure opérationnelle et sa portée, ainsi que les mesures de croissance du système.

Avec l’essor de la numérisation, le nombre de produits IoT a connu une augmentation significative ces dernières années, accompagnée d’une augmentation correspondante des cyberattaques ciblant leurs vulnérabilités. Dans ce contexte, les pays du monde entier réfléchissent à des stratégies pour garantir la sécurité des produits IoT.

Le ministère japonais de l'Économie, du Commerce et de l'Industrie (METI) a identifié la mise en place d'un tel programme comme une priorité clé et s'efforce de promouvoir les produits IoT dotés de mesures de sécurité robustes, en s'inspirant d'initiatives similaires dans d'autres pays. À cette fin, le METI a formé le « Groupe d’étude pour l’établissement d’un système d’évaluation de la conformité de la sécurité des produits IoT » en novembre 2022 et a participé activement aux discussions au sein du groupe.

Afin de renforcer la sécurité des produits IoT, il est impératif de mettre en œuvre un système d'évaluation de la conformité de la sécurité des produits IoT et de le diffuser largement dans la société. Cela implique d’encourager les acheteurs et les utilisateurs finaux à donner la priorité aux produits portant un label de niveau de sécurité requis, tout en incitant également les fournisseurs de produits IoT à rechercher ces labels.

Le groupe d'étude a défini trois objectifs principaux pour le programme :

Faciliter la sélection et l'achat de produits IoT répondant aux niveaux de sécurité spécifiés pour les organisations, en ciblant initialement les agences gouvernementales, les fournisseurs d'infrastructures critiques et les gouvernements locaux.
Définir des exigences de sécurité adaptées à des secteurs spécifiques, permettant aux organisations industrielles de spécifier les certifications et les labels nécessaires, utilisant ainsi le système comme norme spécifique au secteur.
Réduire le coût de l’évaluation de la conformité pour les fournisseurs de produits IoT exportant leurs produits en s’alignant sur les programmes d’autres pays et en visant la reconnaissance mutuelle.

À la suite du rapport final du groupe d'étude, le METI a publié le « Projet de politique du système d'évaluation de la conformité de la sécurité des produits IoT » pour recueillir les commentaires du public du 15 mars au 15 avril 2024 JST.

Le projet de politique décrit l'objectif et le cadre du programme proposé pour le Japon, ainsi que les détails opérationnels et les mesures pour sa croissance. Les points clés du projet comprennent :

Le programme sera volontaire et englobera un large éventail de produits IoT capables de transmettre et de recevoir des données sur Internet en utilisant le protocole Internet (IP), à l'exclusion des PC et des smartphones.
Il établira des exigences de sécurité à la fois comme base de référence unifiée pour faire face aux menaces communes à tous les produits IoT et adaptées à des catégories de produits spécifiques pour répondre à leurs caractéristiques uniques.
Les labels pour les niveaux de sécurité inférieurs seront accordés sur la base des auto-déclarations de conformité des fournisseurs, tandis que les niveaux plus élevés nécessiteront une évaluation de fiabilité par un tiers, en particulier pour les agences gouvernementales et les fournisseurs d'infrastructures critiques.
L'Agence de promotion des technologies de l'information (IPA) supervisera le fonctionnement du programme, en élargissant le système japonais d'évaluation et de certification de la sécurité des technologies de l'information (JISEC) existant pour y répondre.

Les commentaires publics sur le projet de politique éclaireront les développements ultérieurs, le lancement officiel du système étant attendu entre juillet et septembre 2024. Le METI vise à commencer l'acceptation des auto-déclarations de conformité pour le niveau de sécurité le plus bas d'ici mars 2025. Discussions sur les critères de sécurité de niveau supérieur et la reconnaissance mutuelle avec les programmes d'autres pays se poursuivra, parallèlement aux efforts visant à intégrer le programme dans les exigences de passation des marchés de diverses organisations.

Catégorie	Exigence	☆1 Sécurité Exigence	[Réf.] Schémas/documents existants d'autres des pays	[Réf.] Régimes/documents nationaux existants
1. Pas d'universel mots de passe par défaut	1-1. Où les mots de passe sont utilisés et dans n'importe quel état autre que celui par défaut, tous les mots de passe doivent être unique par appareil ou défini par l'utilisateur.	✓	[ETSI EN 303 645]5.1-1 MC (1) [Royaume-Uni : Loi PSTI]ANNEXE 1 : 1-(2) [États-Unis : NISTIR 8425]Contrôle d'accès à l'interface 1-b [Singapour : CLS][*]5.1-1 [CEI 62443-4-2]CR15, CR1.7	[MIC : Ordonnance concernant les installations des terminaux, etc.]Article 34-10 (2) [Certification CCDS]1-1 Contrôle d'accès et Authentification [Obligatoire] 2), 1-1-2 Changement de informations d'identification [Obligatoire] 2) [BMSec]IA-2 b)-2), e)-2) 22) [JISEC-C0755]FMT IPWD EXT
1. Pas d'universel mots de passe par défaut	1-2. Lorsque des mots de passe uniques préinstallés sont utilisés, ceux-ci doivent être suffisamment randomisés par rapport attaques automatisées.	✓	[ETSI EN 303 645]5.1-2 MC (2) [Royaume-Uni : Loi PSTI]ANNEXE 1 : 1-(3) [Singapour : CLS][＊]5.1-2 [CEI 62443-4-2]CR1.7	[MIC : Ordonnance concernant les installations des terminaux, etc.]Article 34-10 (2) [Certification CCDS]1-1 Contrôle d'accès et Authentification [Obligatoire] 2) [JISEC-C0755]FMT_IPWD_EXT
1. Pas d'universel mots de passe par défaut	1-3. Mécanismes d'authentification utilisés pour s'authentifier les utilisateurs contre le produit doivent utiliser des technologies qui réduire les risques assumés en fonction du propriétés de l'utilisation du produit, etc.	✓	[ETSI EN 303 645]5.1-3 M [Royaume-Uni : Loi PSTI]ANNEXE 1 : 1-(3) [États-Unis : NISTIR 8425] Contrôle d'accès à l'interface 2-b [UE : ARC]ANNEXE I 1.(3)(b) [Singapour : CLS][＊]5.1-3 [CEI 62443-4-2]CR15	[MIC : Ordonnance concernant les installations des terminaux, etc.]Article 34-10 (1) [Certification CCDS]1-1 Contrôle d'accès et Authentification [Obligatoire] 4), 1-2 Protection des données[Obligatoire] 3) [RBSS]Norme de certification pour les caméras de sécurité 5.2.12 (2), Norme de certification pour le numérique Enregistreur（Utilisations de sécurité） 5.2.12 (2) [JISEC-C0755]FIA_UAU, FMT_SMR
1. Pas d'universel mots de passe par défaut	1-4. Pour l'authentification de l'utilisateur sur le produit, le les produits doivent fournir à l'utilisateur ou à un administrateur un mécanisme simple pour changer l'authentification valeur utilisée.	✓	[ETSI EN 303 645]5.1-4 MC (8) [Singapour : CLS][＊]5.1-4 [CEI 62443-4-2]CR15	[Certification CCDS]1-1-2 Modification des informations d'identification [Obligatoire] 1) [BMSec]IA-2 [RBSS]Norme de certification pour l'enregistreur numérique （Utilisations de sécurité） 52.12 (2) [JISEC-C0755]FMT IPWD EXT
1. Pas d'universel mots de passe par défaut	1-5. Lorsque l'appareil n'est pas un appareil contraint, il doit disposer d'un mécanisme permettant d'effectuer des attaques par force brute sur les mécanismes d'authentification via un réseau impraticable.	✓	[ETSI EN 303 645]5,1-5 MC (5) [UE : ARC]ANNEXE I 1.(3)(b) [Singapour : CLS][＊]5.1-5 [CEI 62443-4-2]CR1.11	[MIC : Ordonnance concernant les installations des terminaux, etc.]Article 34-10 (1) [Certification CCDS]1-1 Contrôle d'accès et Authentification [Obligatoire] 3) [BMSec]IA-3 [JISEC-C0755]FIA AFL
2. Gérer rapports de vulnérabilité	2-1. Le fabricant doit faire une vulnérabilité politique de divulgation accessible au public. Cette politique doit inclure, au minimum : • les coordonnées pour signaler les problèmes ; et • des informations sur les délais pour : 1) premier accusé de réception ; et 2) mises à jour de statut jusqu'à la résolution du problème signalé problèmes.	✓	[ETSI EN 303 645]5,2-1 M [Royaume-Uni : Loi PSTI]ANNEXE 1 : 2-(2), 2-(3) [États-Unis : NISTIR 8425]Réception d'informations et de requêtes1, 1-a, 1-b, Éducation et sensibilisation aux produits [UE : CRA]ANNEXE I 2.(5), ANNEXE I 2(6), ANNEXE II 1, ANNEXE II 2 [Singapour : CLS][＊]52-1 [CEI 62443-4-1]DM-1	[Certification CCDS]2-1 Point de contact et sécurité système de soutien [Obligatoire] 1) [BMSec] FR-1
2. Gérer rapports de vulnérabilité	2-2. Le fabricant doit agir pour les vulnérabilités en temps opportun.		[ETSI EN 303 645]5.2-2, R [États-Unis : NISTIR 8425]Documentation 1 g [UE : CRA]ANNEXE I 2.(7), article 10 12 [CEI 62443-4-1]DM-2, DM-3, DM-4	[BMSec] FR-2
2. Gérer rapports de vulnérabilité	2-3. Le fabricant doit surveiller en permanence : identifier et corriger les failles de sécurité au sein des produits et les services qu'ils vendent, produisent, ont produits et services qu'ils opèrent pendant la période de support définie période.		[ETSI EN 303 645]5.2-3 R [UE : ARC]ANNEXE I 1.(3)(k) [CEI 62443-4-1]DM-2
2. Gérer rapports de vulnérabilité	2-4. Le fabricant doit signaler à la personne désignée organisation dans un délai déterminé le fait qu'une vulnérabilité du produit a été exploitée, si l'organisme désigné le connaît.		[UE : ARC]Article 11 1, Article 11 2, Article 11 4, Article 11 7 [CEI 62443-4-1]SG-3
2. Gérer rapports de vulnérabilité	2-5. Le fabricant doit continuellement mettre à jour ses processus de gestion des problèmes de sécurité.		[CEI 62443-4-1]DM-6
3. Conservez le logiciel mis à jour	3-1. Composants logiciels particuliers inclus dans les produits doivent être mis à jour.	✓	[ETSI EN 303 645]5.3-1 R [États-Unis : NISTIR 8425]Mise à jour logicielle 1 [UE : ARC]ANNEXE I 2.(8) [Singapour : CLS][＊＊＊]CK-LP-03 [CEI 62443-4-1]SM-6, SUM-1 [CEI 62443-4-2]CR43, CR3.10 EDR3.10, HDR3.10 rapport de non-remise 3.10	[Certification CCDS]1-3 Mise à jour du logiciel [Obligatoire] 1) [Recommandé] 1) [BMSec]PT-1 [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	3-2. Lorsque l'appareil n'est pas un appareil contraint, il doit disposer d'un mécanisme de mise à jour pour le système sécurisé installation de mises à jour.	✓	[ETSI EN 303 645]5,3-2 MC (5) [États-Unis : NISTIR 8425]Mise à jour logicielle 1 [Singapour : CLS][＊]53-2	[MIC : Ordonnance concernant les installations des terminaux, etc.]Article 34-10 (3) [Certification CCDS]1-3 Mise à jour du logiciel [Obligatoire] 1) [Recommandé] 1) [BMSec]PT-1b)-3) [JISEC-C0755]FMT-SMF
3. Conservez le logiciel mis à jour	3-3. Lorsque le produit implémente une mise à jour mécanisme, la mise à jour doit être simple à réaliser pour l'utilisateur appliquer.	✓	[ETSI EN 303 645]5,3-3 MC (12) [UE : ARC]ANNEXE I 2.(8) [Singapour : CLS][＊]53-3 [CEI 62443-4-1]SUM-4	[MIC : Ordonnance concernant les installations des terminaux, etc.]Article 34-10 (3) [BMSec]PT-1 b)-4), e)-1) [JISEC-C0755]FMT-SMF
3. Conservez le logiciel mis à jour	3-4. Des mécanismes automatiques doivent être utilisés pour mises à jour de logiciel.		[ETSI EN 303 645]5.3-4 RC (12) [États-Unis : NISTIR 8425]Mise à jour logicielle 2 [UE : ARC]ANNEXE I 1.(3)(k)	[BMSec]PT-1 b)-4), e)-1) [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	5-3. Le produit doit vérifier après l'initialisation, et puis périodiquement, si les mises à jour de sécurité sont disponible.		[ETSI EN 303 645]5.3-5 RC (12) [États-Unis : NISTIR 8425]Diffusion d'informations 1a [UE : ARC]ANNEXE I 1.(3)(k)	[BMSec]PT-1 b)-4), e)-1) [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	3-6. Si le produit prend en charge les mises à jour automatiques et/ou notifications de mise à jour, celles-ci doivent être activées dans l'état initialisé et configurable pour que l'utilisateur peut activer, désactiver ou reporter l'installation de mises à jour de sécurité et/ou notifications de mise à jour.		[ETSI EN 303 645]5.3-6 RC (9, 12)	[Certification CCDS]1-3 Mise à jour du logiciel [Recommandé] 4) [BMSec]PT-1 b)-4), e)-1) [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	3-7. Lorsque le produit implémente une mise à jour mécanisme, le produit doit utiliser les meilleures pratiques cryptographie pour faciliter les mécanismes de mise à jour sécurisés.	✓	[ETSI EN 303 645]5,3-7 MC (12) [États-Unis : NISTIR 8425]Mise à jour logicielle 1 [Singapour : CLS][＊]53-7 [CEI 62443-4-2]CR43	[Certification CCDS]1-3 Mise à jour du logiciel [Recommandé] 2) [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	3-8. Lorsque le produit implémente une mise à jour mécanisme, les mises à jour de sécurité doivent être effectuées en temps opportun.	✓	[ETSI EN 303 645]5,3-8 MC (12) [UE : CRA]ANNEXE I 2.(2), ANNEXE I 2(7), ANNEXE I 2.(8) [Singapour : CLS][＊]53-8 [CEI 62443-4-1]SUM-5	[Certification CCDS]2-1 Point de contact et sécurité système de soutien [Obligatoire] 2) [BMSec]PT-1 b)-4), e)-1) [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	3-9. Le produit doit vérifier l'authenticité et l'intégrité des mises à jour logicielles.		[ETSI EN 303 645]5.3-9 RC (12) [UE : ARC]ANNEXE I 1.(3) (E) [CEI 62443-4-1]SM-6 [CEI 62443-4-2]CR43, CR3.2 SAR3.2, EDR32 HDR32 NDR3.2	[Certification CCDS]1-3 Mise à jour du logiciel [Recommandé] 1) [BMSec]PT-1 [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	3-10. Où les mises à jour sont fournies sur un réseau Interface, le produit doit vérifier l'authenticité et l'intégrité de chaque mise à jour via une relation de confiance.	✓	[ETSI EN 303 645]5,3-10 M (11,12) [UE : ARC]ANNEXE I 1.(3)(e) [Singapour : CLS][＊]53-10 [CEI 62443-4-1]SM-6 [CEI 62443-4-2]CR3.1, CR3.2 SAR3.2, EDR32 HDR32 NDR3.2	[Certification CCDS]1-3 Mise à jour du logiciel [Recommandé] 1) [JISEC-C0755]FMT_SMF
3. Conservez le logiciel mis à jour	3-11. Le fabricant publie, dans un format accessible d'une manière claire et transparente pour l'utilisateur, le défini période de prise en charge.		[ETSI EN 303 645]5.3-14 RC (3,4) [États-Unis : NISTIR 8425]Diffusion des informations 1
3. Conservez le logiciel mis à jour	3-12. Pour les appareils contraints qui ne peuvent pas avoir leur logiciel mis à jour, l'appareil doit être isolable.		[ETSI EN 303 645]5,3-15 RC (3,4) [CEI 62443-4-2]CR26, CR5.1
3. Conservez le logiciel mis à jour	3-13. Pour les appareils contraints qui ne peuvent pas avoir leur logiciel mis à jour, l'appareil doit être le matériel remplaçable.		[ETSI EN 303 645]5,3-15 RC (3,4)
3. Conservez le logiciel mis à jour	3-14. La désignation du modèle des produits doit être clairement reconnaissable, soit par l'étiquetage sur le produit ou via une interface physique.	✓	[ETSI EN 303 645]5,3-16 M [États-Unis : NISTIR 8425]Diffusion d'informations 2 [UE : ARC]ANNEXE II 3 [Singapour : CLS][＊]53-16
3. Conservez le logiciel mis à jour	3-15. Nomenclature logicielle lisible par machine (SBOM) contenant des informations d'identification du logiciel, les informations sur les composants, etc. doivent être préparées.		[UE : ARC]ANNEXE I 2.(1) [Singapour : CLS][＊＊＊]CK-LP-06	[BMSec] CM-1
4. Stockez en toute sécurité paramètres sensibles	4-1. Paramètres de sécurité sensibles dans le produit Le stockage doit être stocké en toute sécurité près du produit.	✓	[ETSI EN 303 645]5,4-1 M [États-Unis : NISTIR 8425]Protection des données 1, interface Contrôle d'accès 2-a [Singapour : CLS][＊＊]5.4-1 [CEI 62443-4-2]CR15, CR1.9, CR1.14, CR38, CR4.1, CR3.12 EDR3.12 HDR3.12 NDR3.12, CR3.13 EDR3.13 HDR3.13 NDR3.13	[Certification CCDS]1-2 Protection des données[Obligatoire] 1) 3) [JISEC-C0755]FMT_MTD
4. Stockez en toute sécurité paramètres sensibles	4-2. Où se trouve une identité unique et codée en dur par appareil utilisé dans un produit à des fins de sécurité, il doit être mis en œuvre de manière à résister à toute altération par des moyens tels que l'électricité physique ou le logiciel.		[ETSI EN 303 645]5,4-2 MC (10) [Singapour : CLS][＊＊]5.4-2 [CEI 62443-4-2]CR15, CR3.11 EDR3.11 HDR3.11 NDR3.11
4. Stockez en toute sécurité paramètres sensibles	4-3. Paramètres de sécurité critiques codés en dur dans Le code source du logiciel du produit ne doit pas être utilisé.		[ETSI EN 303 645]5,4-3 M [Singapour : CLS][＊＊]5.4-3
4. Stockez en toute sécurité paramètres sensibles	4-4. Tous les paramètres de sécurité critiques utilisés pour l’intégrité et contrôles d'authenticité des mises à jour logicielles et pour protection de la communication avec les services associés dans le logiciel du produit doit être unique par appareil et doit être produit avec un mécanisme qui réduit le risque d’attaques automatisées contre des classes d’appareils.		[ETSI EN 303 645]5,4-4 M [Singapour : CLS][＊＊]5.4-4 [CEI 62443-4-1]SM-8 [CEI 62443-4-2]CR38	[Certification CCDS]1-3 Mise à jour du logiciel [Recommandé] 1) 2)
5. Communiquer en toute sécurité	5-1. Le produit doit utiliser les meilleures pratiques de cryptographie pour communiquer en toute sécurité.	✓	[ETSI EN 303 645]5,5-1 M [États-Unis : NISTIR 8425]Protection des données 3 [UE : ARC]ANNEXE I 1.(3)(c) [Singapour : CLS][＊＊]55-1 [CEI 62443-4-2]CR3.1, CR4.3	[Certification CCDS]1-2 Protection des données[Obligatoire] 2), méthode d'authentification Wi-Fi 1-4-1 [obligatoire] 1), 1-4-2 contre-mesures de vulnérabilité Bluetooth [Obligatoire] 1) [BMSec]TP-1
5. Communiquer en toute sécurité	5-2. Le produit doit utiliser des implémentations pour assurer le réseau et la sécurité fonctionnalités, notamment dans le domaine de cryptographie.		[ETSI EN 303 645]5,5-2 R [États-Unis : NISTIR 8425]Protection des données 1 [UE : ARC]ANNEXE I 2.(3) [Singapour : CLS][＊＊＊]CK-LP-02 [CEI 62443-4-1]SD-3 [CEI 62443-4-2]CR18, CR1.9, CR1.14, CR3.12 EDR3.12 HDR3.12 NDR3.12, CR3.13 EDR3.13 HDR3.13 NDR3.13	[Certification CCDS]1-2 Protection des données [Recommandé] 1) 2)
5. Communiquer en toute sécurité	5-3. Les algorithmes et primitives cryptographiques doivent être actualisable.		[ETSI EN 303 645]5,5-3 R	[JISEC-C0755]FMT_SMF
5. Communiquer en toute sécurité	5-4. Accès aux fonctionnalités du produit via un réseau l'interface dans l'état initialisé ne doit être possible après authentification sur cette interface.		[ETSI EN 303 645]5,5-4 R [États-Unis : NISTIR 8425] Contrôle d'accès aux interfaces 1-c, 2-b, 2-c [UE : ARC]ANNEXE I 1.(3)(b) [CEI 62443-4-2]CR1.1, CR1.6 NDR1.6, CR1.12, CR2.1 CR1.13 NDR1.13 CR2.2 CR2.12	[RBSS]Norme de certification pour l'enregistreur numérique （Utilisations de sécurité） 52.12 (2)
5. Communiquer en toute sécurité	5-5. Fonctionnalité du produit qui permet des opérations liées à la sécurité les modifications de configuration via une interface réseau doivent ne sera accessible qu’après authentification. L'éxéption est destiné aux protocoles de service réseau sur lesquels on s'appuie par le produit et où le fabricant ne peut pas garantir quelle configuration sera requise pour le produit à fonctionner.	✓	[ETSI EN 303 645]5,5-5 M [UE : ARC]ANNEXE I 1.(3)(b) [Singapour : CLS][＊＊] 55-5 [CEI 62443-4-2]CR16 NDR1.6, CR2.12, CR6.1	[Certification CCDS]1-1 Contrôle d'accès et Authentification [Obligatoire] 4), 1-1-1 Désactivation de Ports TCP/UDP [Recommandé] 2), 1-3 Logiciel Mise à jour [Recommandé] 3) [BMSec]IA-1, MT-1 [RBSS]Norme de certification pour les caméras de sécurité 5.2.12 (2)-4, Norme de certification pour le numérique Enregistreur（Utilisations de sécurité） 5.2.12 (2)-4 [JISEC-C0755]FAU_UID
5. Communiquer en toute sécurité	5-6. Les paramètres de sécurité critiques doivent être chiffrés dans transit, avec un tel cryptage approprié au propriétés de la technologie, risque et utilisation.		[ETSI EN 303 645]5,5-6 R [UE : ARC]ANNEXE I 1.(3)(c) [CEI 62443-4-1]SM-8 [CEI 62443-4-2]CR15 CR3.1 CR4.3	[RBSS]Norme de certification pour les caméras de sécurité 5.2.12 (2), Norme de certification pour le numérique Enregistreur（Utilisations de sécurité） 5.2.12 (2)
5. Communiquer en toute sécurité	5-7. Le produit doit protéger la confidentialité des paramètres de sécurité critiques qui sont communiqués via des interfaces réseau accessibles à distance.	✓	[ETSI EN 303 645]5,5-7 M [UE : ARC]ANNEXE I 1.(3)(c) [Singapour : CLS][＊＊]55-7 [CEI 62443-4-2]CR3.1, CR4.3	[Certification CCDS]1-2 Protection des données[Obligatoire] 2), méthode d'authentification Wi-Fi 1-4-1 [obligatoire]
5. Communiquer en toute sécurité	5-8. Le fabricant doit suivre des mesures de sécurité processus de gestion pour la sécurité critique paramètres liés au produit.		[ETSI EN 303 645]5,5-8 M [Singapour : CLS][＊＊]55-8, [＊＊＊]CK-LP-09 [CEI 62443-4-2]CR13 CR1.4
5. Communiquer en toute sécurité	5-9. Le produit installé à la limite de la zone doit mettre en œuvre des fonctions de surveillance et de contrôle communications.		[CEI 62443-4-2]CR52 NDR52
5. Communiquer en toute sécurité	5-10. Une fonction permettant de détecter la falsification doit être mis en œuvre dans toutes les communications entre des produits. Si une altération est détectée, des actions telles que une notification à l’utilisateur doit être effectuée.		[UE : ARC]ANNEXE I 1.(3)(d)	[JISEC-C0755]FPT_ITI
6. Réduire les expositions surfaces d'attaque	6-1. Toutes les interfaces physiques et logiques du réseau inutilisées les interfaces doivent être désactivées.	✓	[ETSI EN 303 645]5,6-1 M [États-Unis : NISTIR 8425] Contrôle d'accès à l'interface 1-a [UE : ARC]ANNEXE I 1.(3)(h) [Singapour : CLS][＊＊]56-1 [CEI 62443-4-2]CR7.7	[Certification CCDS]1-1-1 Désactivation de TCP/UDP ports [Obligatoire] 1) [BMSec]NI-1, VA-1, VA-2, VA-3
6. Réduire les expositions surfaces d'attaque	6-2. A l'état initialisé, les interfaces réseau de le produit doit minimiser les informations non authentifiées divulgation d’informations pertinentes pour la sécurité.		[ETSI EN 303 645]5,6-2 M [États-Unis : NISTIR 8425] Contrôle d'accès à l'interface 2-a [Singapour : CLS][＊＊]56-2 [CEI 62443-4-2]CR1.10	[Certification CCDS]1-1-1 Désactivation de TCP/UDP ports [obligatoire] 2), vulnérabilité Bluetooth 1-4-2 contre-mesures [Obligatoire] 2)
6. Réduire les expositions surfaces d'attaque	6-3. Le matériel de l'appareil ne doit pas exposer inutilement interfaces physiques à attaquer.		[ETSI EN 303 645]5.6-3 R [États-Unis : NISTIR 8425] Contrôle d'accès à l'interface 1-a [UE : ARC]ANNEXE I 1.(3)(h) [CEI 62443-4-2]CR2.13 EDR2.13, HDR2.13 NDR2.13, CR7.7, CR5.3 NDR5.3	[Certification CCDS] 1-4-3 Contrôle d'accès USB [Obligatoire] 1) [Recommandé] 1) 2) [BMSec]VA-2 [RBSS]Norme de certification pour les caméras de sécurité 5.2.12 (2)-4, Norme de certification pour le numérique Enregistreur（Utilisations de sécurité） 5.2.12 (2)-4
6. Réduire les expositions surfaces d'attaque	6-4. Lorsqu'une interface de débogage est physiquement accessible, il doit être désactivé dans le logiciel.		[ETSI EN 303 645]5,6-4 MC (13) [UE : ARC]ANNEXE I 1.(3)(h) [Singapour : CLS][＊＊]56-4 [CEI 62443-4-2]CR2.13 EDR2.13, HDR2.13 NDR2.13, CR7.7	[Certification CCDS] 1-4-3 Contrôle d'accès USB [Obligatoire] 1) [BMSec]VA-3 [RBSS]Norme de certification pour les caméras de sécurité 5.2.12 (2)-4, Norme de certification pour le numérique Enregistreur（Utilisations de sécurité） 5.2.12 (2)-4
6. Réduire les expositions surfaces d'attaque	6-5. Le fabricant doit uniquement activer le logiciel les services qui sont utilisés ou requis pour l’usage prévu l'utilisation ou le fonctionnement du produit.		[ETSI EN 303 645]5,6-5 R [Singapour : CLS][＊＊＊]CK-LP-05 [CEI 62443-4-2]CR7.7
6. Réduire les expositions surfaces d'attaque	6-6. Le code doit être réduit à la fonctionnalité nécessaires au fonctionnement du service/produit.		[ETSI EN 303 645]5,6-6 R [Singapour : CLS][＊＊＊]CK-LP-02, [＊＊＊]CK-LP-05 [CEI 62443-4-1]SI-1, SI-2
6. Réduire les expositions surfaces d'attaque	6-7. Le logiciel doit fonctionner avec le minimum nécessaire privilèges, en tenant compte à la fois de la sécurité et Fonctionnalité.		[ETSI EN 303 645]5,6-7 R [CEI 62443-4-2]CR2.4 SAR2.4, EDR2.4 HDR2.4, NDR2.4 モバイルコード CR7.7	[RBSS]Norme de certification pour l'enregistreur numérique （Utilisations de sécurité） 52.12 (2)
6. Réduire les expositions surfaces d'attaque	6-8. Le produit doit inclure un niveau matériel mécanisme de contrôle d’accès à la mémoire.		[ETSI EN 303 645]5,6-8 R
6. Réduire les expositions surfaces d'attaque	6-9. Le fabricant doit suivre des mesures de sécurité processus de développement des logiciels déployés sur le produit.		[ETSI EN 303 645]5.6-9 R [UE : ARC]Article 10 9 [CEI 62443-4-1]SM-7	[Certification CCDS] Vulnérabilité Bluetooth 1-4-2 contre-mesures [Obligatoire] 3) [BMSec]CM-1
6. Réduire les expositions surfaces d'attaque	6-10. Seuls les composants tiers qui ont été sécurisé par des tests d’intrusion et/ou du code un réexamen doit être mis en œuvre.		[UE : CRA]Article 10 4, ANNEXE I 1.(1), Article 10 2 [Singapour : CLS][＊＊＊]CK-LP-03 [CEI 62443-4-1]SM-9 SM-10
7. Assurez-vous que le logiciel intégrité	7-1. Le produit doit vérifier son logiciel à l'aide d'un mécanismes de démarrage.		[ETSI EN 303 645]5.7-1 R [UE : ARC]ANNEXE I 1.(3)(e) [CEI 62443-4-1]SM-6 [CEI 62443-4-2]CR12, CR3.4, CR3.14 EDR3.14, HDR3.14 NDR3.14	[Certification CCDS]1-3 Mise à jour du logiciel [Recommandé] 1)
7. Assurez-vous que le logiciel intégrité	7-2. Si une modification non autorisée est détectée dans le logiciel, le produit doit alerter l'utilisateur et/ou administrateur du problème et ne doit pas se connecter à des réseaux plus larges que ceux nécessaires pour réaliser les fonction d'alerte.		[ETSI EN 303 645]5.7-2 R [États-Unis : Conscience de l'État en matière de cybersécurité 1 [UE : ARC]ANNEXE I 1.(3)(g) [CEI 62443-4-1]SM-6 [CEI 62443-4-2]CR3.7 CR6.2
8. Assurez-vous que les données personnelles sont sécurisé	8-1. La confidentialité des données personnelles transitant entre un appareil et un service, notamment associé services, doivent être protégés, selon les meilleures pratiques cryptographie.		[ETSI EN 303 645]5.8-1 R [UE : ARC]ANNEXE I 1.(3)(c) [CEI 62443-4-2]CR43	[Certification CCDS]1-2 Protection des données[Obligatoire] 2) [RBSS]Norme de certification pour les caméras de sécurité 5.2.12 (2)
8. Assurez-vous que les données personnelles sont sécurisé	8-2. La confidentialité des données personnelles sensibles communiqué entre l'appareil et les les services doivent être protégés, par cryptographie adaptés aux propriétés de la technologie et usage.		[ETSI EN 303 645]5,8-2 M [UE : ARC]ANNEXE I 1.(3)(c) [Singapour : CLS][＊＊]58-2 [CEI 62443-4-2]CR43	[Certification CCDS]1-2 Protection des données[Obligatoire] 2)
8. Assurez-vous que les données personnelles sont sécurisé	8-3. Toutes les capacités de détection externe du produit doit être documenté d’une manière accessible et claire et transparent pour l'utilisateur.		[ETSI EN 303 645]5,8-3 M [Singapour : CLS][＊＊]58-3
9. Résilience à pannes	9-1. La résilience doit être intégrée aux produits et services, en tenant compte de la possibilité de pannes des réseaux de données et de l’énergie.	✓	[ETSI EN 303 645]5.9-1 R [UE : ARC]ANNEXE I 1.(3)(f) [CEI 62443-4-2]CR7.1, CR7.3	[MIC : Ordonnance concernant les installations des terminaux, etc.]Article 34-10 (4) [Certification CCDS]1-1 Contrôle d'accès et Authentification [Obligatoire]⑤
9. Résilience à pannes	9-2. Le produit doit rester opérationnel et localement fonctionnel en cas de perte d’accès au réseau et récupérera proprement en cas de restauration d'un perte de puissance.		[ETSI EN 303 645]5.9-2 R [UE : ARC]ANNEXE I 1.(3)(f) [CEI 62443-4-2]CR7.1, CR7.4, CR7.5
9. Résilience à pannes	9-3. Le produit doit se connecter aux réseaux de manière attendu, opérationnel et stable et dans un état mode ordonnée, en prenant la capacité du en considération les infrastructures.		[ETSI EN 303 645]5.9-3 R [UE : ARC]ANNEXE I 1.(3)(f) [CEI 62443-4-2]CR2.7, CR7.1, CR7.2
9. Résilience à pannes	9-4. Mécanismes anti-abus tels que le contrôle d’accès et/ou l'authentification doit être utilisée pour atténuer les impact des incidents.		[UE : CRA]ANNEXE I 1.(3)(i), article 10 2, ANNEXE I 1.(1) [CEI 62443-4-2]CR2.9 CR2.10 CR3.6
10. Examinez et protéger le système données de télémétrie	10-1. Si des données de télémétrie sont collectées à partir d'appareils et services, tels que les données d'utilisation et de mesure, il seront examinés pour déceler toute anomalie de sécurité.		[ETSI EN 303 645]5.10-1 RC (6) [États-Unis : Conscience de l'État en matière de cybersécurité 1 [UE : ARC]ANNEXE I 1.(3)(j) [CEI 62443-4-2]CR28, CR2.11	[Certification CCDS]3-1 Enregistrement du journal d'audit [Recommandé] 1) 2) 3), 3-1-1 Gestion du temps fonction [Recommandé] 1) [RBSS]Norme de certification pour les caméras de sécurité 5.2.12 (2), Norme de certification pour le numérique Enregistreur（Utilisations de sécurité） 5.2.12 (2) [JISEC-C0755]FMT MTD FAU GEN
10. Examinez et protéger le système données de télémétrie	10-2. Les données de télémétrie doivent être protégées par des mécanismes tels que le cryptage et l’accès aux données contrôle.		[CEI 62443-4-2]CR3.9	[JISEC-C0755]FAU_STG
11. Supprimer les données utilisateur	11-1. L'utilisateur doit disposer de fonctionnalités de sorte que les données utilisateur puissent être effacées du produit dans d'une manière simple.	✓	[ETSI EN 303 645]5.11-1 M [États-Unis : NISTIR 8425]Protection des données 2 [Singapour : CLS][＊＊]5.11-1 [CEI 62443-4-2]CR42	[Certification CCDS] 1-2-1 Fonction d'effacement des données [Obligatoire] 1) [BMSec]MT-2 [JISEC-C0755]FMT MTD
11. Supprimer les données utilisateur	11-2. Le consommateur recevra fonctionnalité du produit telle que les données personnelles peut être supprimé des services associés d'une simple manière manière.		[ETSI EN 303 645]5.11-2R [États-Unis : NISTIR 8425]Protection des données 2 [CEI 62443-4-2]CR42	[BMSec]MT-2, DP-1 [JISEC-C0755]FMT_MTD
11. Supprimer les données utilisateur	11-3. Les utilisateurs doivent recevoir des instructions claires sur la manière de supprimer leurs données personnelles.		[ETSI EN 303 645]5.11-3 R [États-Unis : NISTIR 8425]Protection des données 2, produit Éducation et sensibilisation 1-a [CEI 62443-4-1]SG-4	[Certification CCDS]2-3 Fourniture d'informations à utilisateurs [Obligatoire] 5) [BMSec]MT-2, DP-1
11. Supprimer les données utilisateur	11-4. Les utilisateurs doivent recevoir une confirmation claire que les données personnelles ont été supprimées des services, appareils et applications.		[ETSI EN 303 645]5.11-4R [CEI 62443-4-1]SG-4
12. Effectuer l'installation et l'entretien de appareils faciles	12-1. Installation et maintenance du produit impliquera un minimum de décisions de la part de l'utilisateur et suivez les meilleures pratiques de sécurité en matière de convivialité.		[ETSI EN 303 645]5.12-1R	[Certification CCDS]1-1-1 Désactivation de TCP/UDP ports [Recommandé] 1) [JISEC-C0755]FMT_MOF
12. Effectuer l'installation et l'entretien de appareils faciles	12-2. Le fabricant doit fournir aux utilisateurs des conseils sur la façon de configurer leur produit en toute sécurité.		[ETSI EN 303 645]5.12-3 R [États-Unis : NISTIR 8425]Éducation et sensibilisation aux produits 1-un [UE : CRA]ANNEXE I 1.(2) ANNEXE I 1.(3)(a)	[BMSec]PR-1
12. Effectuer l'installation et l'entretien de appareils faciles	12-3. Le fabricant doit fournir aux utilisateurs des conseils sur la façon de vérifier si leur produit est installé en toute sécurité.		[États-Unis : NISTIR 8425]Configuration du produit 1 [CEI 62443-4-2]CR15
12. Effectuer l'installation et l'entretien de appareils faciles	12-4. La capacité de restaurer le produit à son état sécuriser les paramètres de configuration par défaut par l'utilisateur et l'administrateur doit être mis en œuvre.		[États-Unis : NISTIR 8425]Configuration du produit 2 [UE : ARC]ANNEXE I 1.(3)(a)	[BMSec]MT-2
12. Effectuer l'installation et l'entretien de appareils faciles	12-5. La possibilité d'appliquer des paramètres de configuration à composants tels que le matériel, les logiciels ou le micrologiciel sera mise en œuvre.		[États-Unis : NISTIR 8425]Configuration du produit 3 [CEI 62443-4-2]CR15
13. Valider la saisie données	13-1. Le logiciel du produit doit valider la saisie des données via les interfaces utilisateur ou transféré via l'application Interfaces de programmation (API) ou entre réseaux dans les services et les appareils.		[ETSI EN 303 645]5.13-1 M [États-Unis : NISTIR 8425] Contrôle d'accès à l'interface 2-a [UE : ARC]ANNEXE I 1.(3)(e) [Singapour : CLS][＊＊]5.13-1 [CEI 62443-4-1]SVV-1 [CEI 62443-4-2]CR35	[Certification CCDS]Injection 1-4-4 contre-mesures [Obligatoire] 1)
14. Protéger les personnes données en toute sécurité	14-1. Le fabricant fournit aux consommateurs des informations claires et transparentes sur ce qui données personnelles est traité, comment il est utilisé, par qui et pour à quelles fins, pour chaque produit et service. Ce s'applique également aux tiers qui peuvent intervenir, y compris les annonceurs.		[ETSI EN 303 645]6,1 M [États-Unis : NISTIR 8425]Éducation et sensibilisation aux produits 1-un [Singapour : CLS][＊＊]6.1
14. Protéger les personnes données en toute sécurité	14-2. Lorsque les données personnelles sont traitées sur la base du consentement des consommateurs, ce consentement doit être obtenu dans un		[ETSI EN 303 645]6,2 MC (7) [Singapour : CLS][＊＊]62
14. Protéger les personnes données en toute sécurité	14-3. Les consommateurs qui ont donné leur consentement pour le le traitement de leurs données personnelles aura le possibilité de le retirer à tout moment.		[ETSI EN 303 645]6,3 M [Singapour : CLS][＊＊]63
14. Protéger les personnes données en toute sécurité	14-4. Si des données de télémétrie sont collectées à partir d'appareils et services, le traitement des données personnelles sera conservé au minimum nécessaire pour l'usage prévu Fonctionnalité.		[ETSI EN 303 645]6.4 RC (6) [UE : ARC]ANNEXE I 1.(3)(e)
14. Protéger les personnes données en toute sécurité	14-5. Si des données de télémétrie sont collectées à partir d'appareils et services, les consommateurs doivent bénéficier de des informations sur les données de télémétrie collectées, comment il est utilisé par qui et à quelles fins.		[ETSI EN 303 645]6,5 MC (6) [États-Unis : NISTIR 8425]Éducation et sensibilisation aux produits 1-un [Singapour : CLS][＊＊]65
15. Fabriquer des produits identifiable	15-1. Le produit doit être identifiable de manière unique par utilisateurs et administrateurs.		[États-Unis : NISTIR 8425]Identification des actifs 1 [UE : ARC]ANNEXE II 3 [CEI 62443-4-2]CR12	[Certification CCDS]1-1 Contrôle d'accès et Authentification [Obligatoire] 1)
15. Fabriquer des produits identifiable	15-2. Un mécanisme de gestion des stocks doit être mis en œuvre pour le produit et la capacité de gérer les composants des produits connectés.		[États-Unis : NISTIR 8425]Identification des actifs 2 [CEI 62443-4-2]CR78
16. Identifier et tester des menaces	16-1. Un produit doit être développé sur la base d'une menace analyse des fonctionnalités du produit.		[CEI 62443-4-1]SR-2, SI-1
16. Identifier et tester des menaces	16-2. Plusieurs fonctions de sécurité doivent être mises en œuvre sur la base des résultats de l’analyse des menaces.		[CEI 62443-4-1]SD-2
16. Identifier et tester des menaces	16-3. Un test d'intrusion doit être effectué sur le produit.		[Singapour : CLS][＊＊＊]CK-LP-02, [＊＊＊]CK-LP-07 [CEI 62443-4-1]SVV-1, SVV-3, SM-11, SVV-4
17. Fournir des informations sur des produits	17-1. Les informations sur la sécurité du produit doivent être fourni dans la langue spécifiée au destinataire spécifié entité.		[UE : ARC]Article 10 7, Article 10 8, Article 10 13, Article 20 2, Article 23 ４ [Singapour : CLS][＊＊＊]CK-LP-04 [CEI 62443-4-1]DM-5	[BMSec]FR-2
17. Fournir des informations sur des produits	17-2. Le fabricant doit fournir aux utilisateurs des conseils sur la façon d’installer, d’utiliser et d’éliminer en toute sécurité de leurs produits.	✓	[ETSI EN 303 645]5.12-2R [États-Unis : NISTIR 8425]Documentation 1-a, 1-d, Produit Éducation et sensibilisation 1-a, Information Diffusion 2 [UE : CRA]ANNEXE II 4, ANNEXE II 9 [CEI 62443-4-1]SUM-2	[Certification CCDS]2-3 Fourniture d'informations à utilisateurs [Obligatoire] 1) [BMSec]PT-1, TP-1
17. Fournir des informations sur des produits	17-3. Le fabricant informe l'utilisateur de manière manière reconnaissable et apparente qu'un titre une mise à jour est requise ainsi que des informations sur le risques atténués par cette mise à jour.	✓	[ETSI EN 303 645]5.3-11 RC (12) [États-Unis : NISTIR 8425]Diffusion d'informations 1c 1d 1e [UE: CRA]ANNEXE I 2.(4), ANNEXE I 2(8) [CEI 62443-4-1]SUM-2	[Certification CCDS]2-3 Fourniture d'informations à utilisateurs [Obligatoire] 2) [BMSec]FR-2
17. Fournir des informations sur des produits	17-4. Le produit doit informer l'utilisateur lorsque le l'application d'une mise à jour logicielle perturbera le fonctionnement de base fonctionnement de l'appareil.		[ETSI EN 303 645]5.3-12 RC (12) [États-Unis : NISTIR 8425]Diffusion des informations 1 [UE : ARC]ANNEXE I 2.(8) [CEI 62443-4-1]SOMME-2 SOMME-3	[JISEC-C0755]FMT_SMF
17. Fournir des informations sur des produits	17-5. Le fabricant doit fournir à l'utilisateur un procédure spécifiée pour l'élimination du produit.	✓	[États-Unis : NISTIR 8425]Éducation et sensibilisation aux produits 1-c [CEI 62443-4-1]SG-4	[Certification CCDS]2-3 Fourniture d'informations à utilisateurs [Obligatoire]⑤ [BMSec]DP-1
17. Fournir des informations sur des produits	17-6. Le fabricant doit fournir des informations sur le produit, y compris la conception, la fabrication et les résultats de l’évaluation à l’utilisateur d’une manière spécifiée.		[États-Unis : NISTIR 8425]Documentation 1-b [UE : CRA]Article 10 3, Article 10 11, Article 24 1, Article 24 2, Article 24 3, Article 24 4, ANNEXE V 5 [CEI 62443-4-1]SG-1
17. Fournir des informations sur des produits	17-7. Le fabricant doit fournir à l'utilisateur informations sur la façon de maintenir le produit dans le manière spécifiée.		[États-Unis : NISTIR 8425]Éducation et sensibilisation aux produits 1-b [CEI 62443-4-1]SG-5, SG-3, SG-6	[JISEC-C0755]FAU_SAR
17. Fournir des informations sur des produits	17-8. Le fabricant publie, dans un format accessible d'une manière claire et transparente pour l'utilisateur, le période de support définie.	✓	[ETSI EN 303 645]5,3-13 M [Royaume-Uni : PSTI Act]ANNEXE 1 : 3-(2), 3-(3), 3-(4) [États-Unis : NISTIR 8425]Éducation et sensibilisation aux produits 1-d, 1-e, Diffusion de l'information 1b [UE : ARC]ANNEXE II 6, ANNEXE II 7, ANNEXE II 8 [Singapour : CLS][＊]53-13 [CEI 62443-4-1]SG-3	[Certification CCDS]2-3 Fourniture d'informations à utilisateurs [Obligatoire] 4) [JISEC-C0755]FPT_SMT
17. Fournir des informations sur des produits	17-9. Le fabricant doit fournir des informations à l'utilisateur d'une manière spécifiée avant un événement conduisant à l’arrêt des opérations.		[UE : ARC]Article 10 14
17. Fournir des informations sur des produits	17-10. Le fabricant doit fournir à l'utilisateur informations d'une manière spécifiée concernant le produit utilisation pouvant présenter un risque pour la sécurité.	✓	[États-Unis : NISTIR 8425]Documentation 1-d [UE : ARC]ANNEXE II 5 [CEI 62443-4-1]SG-3 SR-1	[Certification CCDS]2-3 Fourniture d'informations à utilisateurs [Obligatoire] 1) 3) [BMSec]PR-1
17. Fournir des informations sur des produits	17-11. Le fabricant doit fournir des conseils pour l'utilisateur sur la façon de tester les fonctions de sécurité implémenté dans le produit d'une manière spécifiée.		[CEI 62443-4-2]CR33
18.Documents	18-1. Le fabricant doit documenter les données sur le moyens utilisés pour répondre aux exigences de sécurité.		[UE : ARC]Article 20 1, Article 23 1 [Singapour : CLS][＊＊＊]CK-LP-01 [CEI 62443-4-1]SM-1, SM-12, SR-3, SR-4, SG-2 [CEI 62443-4-2]CR32 SAR32 EDR3.2 HDR3.2 NDR32	[Certification CCDS]2-2 Document produit gestion [Obligatoire] 1)
18.Documents	18-2. Le fabricant doit continuellement mettre à jour les préparé la documentation dans un délai spécifié de temps.		[UE : ARC]Article 23 ２ [CEI 62443-4-1]SM-13, SR-5, SG-7	[Certification CCDS]2-2 Document produit gestion [Obligatoire] 1)
18.Documents	18-3. Le fabricant doit documenter les des informations sur le produit (par exemple, les versions du logiciel qui affectent l'utilisation prévue et le respect des exigences de base, photographies du produit apparence, résultats d’évaluation, etc.).		[États-Unis : NISTIR 8425]Documentation 1-d, informations Diffusion 2 [UE : CRA]Article 20 3, Article 23 3, ANNEXE IV 1, ANNEXE IV 2, ANNEXE IV 3, ANNEXE IV 4, ANNEXE IV 7, ANNEXE IV 8, ANNEXE V 1, ANNEXE V 3, ANNEXE V 6 [CEI 62443-4-1]SUM-3
18.Documents	18-4. Le fabricant doit documenter les informations concernant la conception, le développement, la production et processus de réponse aux vulnérabilités du produit.		[États-Unis : NISTIR 8425]Documentation 1-d, 1-e, 1-f, Diffusion de l'information 2 [UE : CRA]ANNEXE V 2, ANNEXE V 7 [Singapour : CLS][＊＊＊]CK-LP-02 [CEI 62443-4-1]SM-1 SD-1 SD-4	[Certification CCDS]2-2 Document produit gestion [Obligatoire] 1)
18.Documents	18-5. Une justification doit être enregistrée pour chaque recommandation dans le présent document qui est considéré comme non applicable ou non rempli par le produit.		[ETSI EN 303 645]4.1 [États-Unis : NISTIR 8425]Documentation 1-c [UE : ARC]ANNEXE V 4 [CEI 62443-4-1]SM-3, SM-5, SI-1 [CEI 62443-4-2]CR2.12	[Certification CCDS]2-2 Document produit gestion [Obligatoire] 1)
18.Documents	18-6. Le fabricant doit documenter la sécurité informations sur leurs produits découvertes par développeurs ou fournis par des tiers et mise à jour leurs évaluations des risques.		[UE : ARC]Article 10 5 [Singapour : CLS][＊＊＊]CK-LP-08
18.Documents	18-7 Le fabricant doit documenter les lois et réglementations auxquelles le produit doit être conforme. Le le fabricant doit également documenter la durée de vie du produit, les coûts de fonctionnement et la période de support.		[États-Unis : NISTIR 8425]Documentation 1-a [UE : ARC]ANNEXE IV 5, ANNEXE IV 6 [CEI 62443-4-1]SUM-1	[Certification CCDS]2-2 Document produit gestion [Obligatoire] 1)
18.Documents	18-8. Le fabricant doit documenter le exigences et considérations relatives au produit mainteneurs.		[États-Unis : NISTIR 8425]Documentation 1-e [CEI 62443-4-1]SVV-5
18.Documents	18-9. Le fabricant doit adopter un processus pour identifier les rôles organisationnels et les parties responsables pendant le cycle de vie du produit.		[UE : ARC]Article 20 4 [CEI 62443-4-1]SM-2
18.Documents	18-10. Le fabricant doit assurer une formation à ses collaborateurs visant à acquérir une expertise en matière de sécurité.		[CEI 62443-4-1]SM-4

Pour en savoir plus sur la conformité réglementaire de l’Internet des objets, veuillez contacter directement le Product Compliance Institute.

DiversJapon : Projet de politique du système d'évaluation de la conformité de la sécurité des produits IoT

Japon : Projet de politique du système d'évaluation de la conformité de la sécurité des produits IoT

Vietnam: New list of Medium- and High-Risk Products and Goods

EU: Digital Product Pass- implementation arrangements for the DPP registry

Great Britain: Regulatory updates for medical devices

Ukraine: New general product safety law

EU: New draft EU Space Act

CONFORMITÉ DU PRODUIT

AUTRES