1. Har ni definierade säkerhetskrav för era digitala produkter redan i designfasen (secure-by-design)?

2. Genomför ni regelbundna säkerhetsgranskningar och tester (kodgranskning, sårbarhetsscanning, pentest) före release?

3. Har ni en etablerad rutin för att identifiera, bedöma och åtgärda sårbarheter under produktens hela livscykel?

4. Har ni en dokumenterad process för hur säkerhetsuppdateringar (patchar) tas fram, testas och distribueras till kunderna?

5. Informerar ni kunderna tydligt om supportperiod, uppdateringspolicy och vad som gäller för säkerhetsuppdateringar?

6. Har ni en uppdaterad förteckning över alla tredjepartskomponenter och open-source-bibliotek som används i produkten (SBOM)?

7. Följer ni en rutin för att bevaka sårbarheter i tredjeparts- och open-source-komponenter och agera när nya sårbarheter upptäcks?

8. Har ni en intern incidentprocess specifik för produktrelaterade säkerhetsincidenter (rapportering, utredning, kommunikation till kunder)?

9. Har ni en etablerad kanal för att ta emot sårbarhetsrapportering från externa aktörer (kunder, forskare, bug bounty)?

10. Är produktens säkerhetsinställningar satta till en säker grundnivå utan att kunden behöver göra avancerade val (secure by default)?

11. Dokumenterar och kommunicerar ni produktens säkerhetsfunktioner och begränsningar på ett begripligt sätt för kunderna?

12. Gör ni regelbunden översyn av produktsäkerheten där teknik, processer och ansvar följs upp på ledningsnivå?