01Какво представлява CRA
Актът за киберустойчивост е първият закон в целия ЕС, който определя задължителни изисквания за киберсигурност за продукти с цифрови елементи; хардуер и софтуер; през целия им жизнен цикъл. Той прехвърля отговорността за сигурността върху организациите, които пускат тези продукти на пазара, вместо да я оставя на потребителите. Art. 1
На практика даден продукт може да бъде предоставен на пазара на ЕС само ако отговаря на съществените изисквания, посочени в приложение I, и производителят е изпълнил свързаните с него задължения. Съответствието се сигнализира чрез Маркировка „СЕ“.
Ако Вашият продукт има цифрови елементи и достига пазара на ЕС, той трябва да бъде проектиран, изграден и поддържан в съответствие с определен стандарт за киберсигурност; и трябва да можете да го докажете.
02За кого се прилага
Регламентът обхваща продукти с цифрови елементи, чиято предвидена или разумно предвидима употреба включва пряка или непряка връзка за данни. Задълженията са разпределени по веригата на доставки: Art. 13–28
- Производители; носят основните задължения: проектиране, документация, оценяване на съответствието и обработване на уязвимостите.
- Вносители; могат да пускат на пазара само продукти, отговарящи на изискванията, и трябва да проверят, че задълженията на производителя са изпълнени.
- Дистрибутори; трябва да действат с дължима грижа и да проверяват, че маркировката „СЕ“ и документацията са налице.
Продуктите, които вече са обхванати от специфични за сектора правила; като медицински изделия, моторни превозни средства и гражданско въздухоплаване; са изключени, както и нетърговските компоненти с отворен код.
03Класове продукти
Изискваният път за оценяване на съответствието зависи от това колко критичен е продуктът. Повечето продукти преминават самооценка; категориите с по-висок риск, изброени в приложенията, са изправени пред по-строги процедури. Art. 6–7 · Annex III–IV
| Клас | Примери | Път за съответствие |
|---|---|---|
| По подразбиране | По-голямата част от продуктите с цифрови елементи | Самооценка |
| Важни; I | Мениджъри на пароли, управление на мрежи, VPN | Стандарти или трета страна |
| Важни; II | Операционни системи, защитни стени, микропроцесори | Оценяване от трета страна |
| Критичен | Интелигентни измервателни уреди, смарт карти, защитени елементи | Задължително сертифициране |
04Ключови задължения
Съществените изисквания в приложение I попадат в две групи; свойства, които продуктът трябва да притежава, и процеси, които производителят трябва да прилага. Приложение I
- Сигурен по проект и по подразбиране; доставян със сигурна конфигурация и сведена до минимум повърхност за атаки.
- Няма известни уязвимости, които могат да бъдат експлоатирани; доставян без известни уязвимости, които могат да бъдат експлоатирани.
- Обработване на уязвимостите; процес за идентифициране, документиране, отстраняване и оповестяване на проблеми.
- Актуализации на сигурността; безплатни и навременни актуализации през целия определен период на поддръжка.
- Софтуерна спецификация на материалите; поддържане на SBOM, обхващащ компонентите на продукта.
- Докладване; уведомяват ENISA и съответния CSIRT за активно експлоатирани уязвимости и тежки инциденти, с ранно предупреждение в срок от 24 часа.
05График и санкции
Актът вече е в сила; неговите задължения се въвеждат поетапно през следващите години. Art. 71
- Окт. 2024 г.Приет и подписан като закон.
- Дек. 2024 г.Влезе в сила.
- Септ. 2026 г.Прилагат се задълженията за докладване (21 месеца след влизането в сила).
- Дек. 2027 г.Пълно прилагане; прилагат се повечето разпоредби (36 месеца).
Несъответствието със съществените изисквания може да доведе до глоби до 15 милиона евро или 2,5% от общия годишен световен оборот, в зависимост от това коя сума е по-висока.
06Какво да направите след това
Започнете, като потвърдите дали Актът се прилага за Вашия продукт, след което следвайте насоките, написани за Вашата роля.