01Czym jest CRA
Akt o cyberodporności jest pierwszym ogólnounijnym aktem prawnym ustanawiającym obowiązkowe wymagania w zakresie cyberbezpieczeństwa dla produkty z elementami cyfrowymi; sprzęt i oprogramowanie; przez cały ich cykl życia. Przenosi ono odpowiedzialność za bezpieczeństwo na organizacje, które wprowadzają te produkty do obrotu, zamiast pozostawiać ją użytkownikom. Art. 1
W praktyce produkt może zostać udostępniony na rynku UE wyłącznie wówczas, gdy spełnia zasadnicze wymagania określone w załączniku I, a producent wypełnił związane z nim obowiązki. Zgodność jest sygnalizowana przez Oznakowanie CE.
Jeżeli Twój produkt zawiera elementy cyfrowe i trafia na rynek UE, musi być projektowany, budowany i utrzymywany zgodnie z określonym standardem cyberbezpieczeństwa; i musisz być w stanie to wykazać.
02Do kogo ma zastosowanie
Rozporządzenie obejmuje produkty z elementami cyfrowymi, których zamierzone lub racjonalnie przewidywalne użytkowanie obejmuje bezpośrednie lub pośrednie połączenie do transmisji danych. Obowiązki są rozłożone w ramach łańcucha dostaw: Art. 13–28
- Producenci; ponoszą podstawowe obowiązki: projektowanie, dokumentowanie, ocena zgodności i obsługa podatności.
- Importerzy; mogą wprowadzać do obrotu wyłącznie produkty zgodne z wymaganiami i muszą zweryfikować, czy obowiązki producenta zostały spełnione.
- Dystrybutorzy; muszą działać z należytą starannością i sprawdzić, czy obecne są oznakowanie CE oraz dokumentacja.
Produkty już objęte przepisami sektorowymi; takie jak wyroby medyczne, pojazdy silnikowe i lotnictwo cywilne; są wyłączone, podobnie jak niekomercyjne składniki otwartego oprogramowania.
03Klasy produktów
Wymagana procedura zgodności zależy od tego, jak krytyczny jest produkt. Większość produktów podlega samoocenie; kategorie o wyższym ryzyku wymienione w załącznikach podlegają bardziej rygorystycznym procedurom. Art. 6–7 · Annex III–IV
| Klasa | Przykłady | Ścieżka oceny zgodności |
|---|---|---|
| Domyślny | Większość produktów z elementami cyfrowymi | Samoocena |
| Istotny; I | Menedżery haseł, zarządzanie siecią, VPN | Normy lub ocena przez stronę trzecią |
| Istotny; II | Systemy operacyjne, zapory sieciowe, mikroprocesory | Ocena przez stronę trzecią |
| Krytyczny | Inteligentne liczniki, karty inteligentne, elementy bezpieczeństwa | Obowiązkowa certyfikacja |
04Kluczowe obowiązki
Zasadnicze wymagania zawarte w załączniku I dzielą się na dwie grupy; właściwości, które musi posiadać produkt, oraz procesy, które musi prowadzić producent. Załącznik I
- Bezpieczny w fazie projektowania i domyślnie; dostarczany z bezpieczną konfiguracją i zminimalizowaną powierzchnią ataku.
- Brak znanych podatności możliwych do wykorzystania; dostarczany bez znanych, możliwych do wykorzystania luk.
- Postępowanie w przypadku podatności; proces identyfikowania, dokumentowania, usuwania i ujawniania problemów.
- Aktualizacje zabezpieczeń; bezpłatne, terminowe aktualizacje przez cały określony okres wsparcia.
- Zestawienie składników oprogramowania; utrzymują zestawienie składników oprogramowania (SBOM) obejmujące komponenty produktu.
- Zgłaszanie; zgłaszają aktywnie wykorzystywane podatności i poważne incydenty do ENISA i właściwego CSIRT, z wczesnym ostrzeżeniem w ciągu 24 godzin.
05Harmonogram i kary
Akt już obowiązuje; jego obowiązki są wprowadzane stopniowo w kolejnych latach. Art. 71
- Październik 2024Przyjęte i podpisane jako akt prawny.
- Grudzień 2024Weszło w życie.
- wrz 2026Obowiązują wymogi w zakresie zgłaszania (21 miesięcy po wejściu w życie).
- Grudzień 2027Pełne stosowanie; obowiązuje większość przepisów (36 miesięcy).
Niezgodność z zasadniczymi wymaganiami może skutkować nałożeniem kar w wysokości do 15 mln € lub 2,5% całkowitego rocznego światowego obrotu, w zależności od tego, która z tych kwot jest wyższa.
06Co zrobić dalej
Zacznij od potwierdzenia, czy akt ma zastosowanie do Twojego produktu, a następnie postępuj zgodnie z wytycznymi przygotowanymi dla Twojej roli.