01Čo je CRA
Akt o kybernetickej odolnosti je prvý celoúnijný zákon, ktorý stanovuje povinné kybernetickobezpečnostné požiadavky na produkty s digitálnymi prvkami; hardvér aj softvér; počas celého ich životného cyklu. Presúva zodpovednosť za bezpečnosť na organizácie, ktoré tieto produkty uvádzajú na trh, namiesto toho, aby ju ponechala na používateľov. Art. 1
V praxi sa produkt môže sprístupniť na trhu EÚ len vtedy, ak spĺňa základné požiadavky stanovené v prílohe I a výrobca splnil povinnosti, ktoré sú s ním spojené. Súlad signalizuje Označenie CE.
Ak má váš produkt digitálne prvky a dostane sa na trh EÚ, musí byť navrhnutý, vytvorený a udržiavaný podľa vymedzeného štandardu kybernetickej bezpečnosti; a musíte to vedieť preukázať.
02Na koho sa vzťahuje
Nariadenie sa vzťahuje na produkty s digitálnymi prvkami, ktorých zamýšľané alebo odôvodnene predvídateľné použitie zahŕňa priame alebo nepriame dátové pripojenie. Povinnosti sú rozdelené v rámci dodávateľského reťazca: Art. 13–28
- Výrobcovia; nesú hlavné povinnosti: návrh, dokumentáciu, posúdenie zhody a riešenie zraniteľností.
- Dovozcovia; môžu na trh uvádzať len vyhovujúce produkty a musia overiť, že boli splnené povinnosti výrobcu.
- Distribútori; musia konať s náležitou starostlivosťou a overiť, že je prítomné označenie CE a dokumentácia.
Produkty, na ktoré sa už vzťahujú odvetvové pravidlá; ako zdravotnícke pomôcky, motorové vozidlá a civilné letectvo; sú vylúčené, rovnako ako nekomerčné open-source komponenty.
03Triedy produktov
Požadovaná cesta k zhode závisí od toho, aký kritický je produkt. Väčšina produktov vykonáva vlastné posúdenie; na kategórie s vyšším rizikom uvedené v prílohách sa vzťahujú prísnejšie postupy. Art. 6–7 · Annex III–IV
| Trieda | Príklady | Cesta k zhode |
|---|---|---|
| Predvolený | Väčšina produktov s digitálnymi prvkami | Vlastné posúdenie |
| Dôležitý; I | Správcovia hesiel, správa sietí, VPN | Normy alebo tretia strana |
| Dôležitý; II | Operačné systémy, firewally, mikroprocesory | Posúdenie treťou stranou |
| Kritický | Inteligentné meradlá, čipové karty, bezpečnostné prvky | Povinná certifikácia |
04Kľúčové povinnosti
Základné požiadavky v prílohe I sa delia do dvoch skupín; vlastnosti, ktoré produkt musí mať, a procesy, ktoré musí výrobca prevádzkovať. Príloha I
- Bezpečnosť už pri návrhu a predvolene; dodávaný s bezpečnou konfiguráciou a minimalizovaným útočným povrchom.
- Žiadne známe zneužiteľné zraniteľnosti; dodávaný bez známych zneužiteľných chýb.
- Riešenie zraniteľností; proces na identifikáciu, dokumentovanie, nápravu a zverejnenie problémov.
- Bezpečnostné aktualizácie; bezplatné, včasné aktualizácie počas celého vymedzeného obdobia podpory.
- Softvérový kusovník; udržiavať SBOM pokrývajúci komponenty produktu.
- Oznamovanie; oznamovať aktívne zneužívané zraniteľnosti a závažné incidenty ENISA a príslušnej CSIRT, so včasným varovaním do 24 hodín.
05Harmonogram a sankcie
Akt je už účinný; jeho povinnosti sa zavádzajú postupne v nasledujúcich rokoch. Art. 71
- okt. 2024Prijaté a podpísané do zákona.
- dec. 2024Nadobudlo účinnosť.
- sep. 2026Uplatňujú sa oznamovacie povinnosti (21 mesiacov po nadobudnutí účinnosti).
- dec. 2027Úplné uplatňovanie; uplatňuje sa väčšina ustanovení (36 mesiacov).
Nedodržanie základných požiadaviek môže viesť k pokutám až do výšky 15 miliónov € alebo 2,5 % celkového celosvetového ročného obratu, podľa toho, ktorá hodnota je vyššia.
06Čo robiť ďalej
Začnite potvrdením, či sa akt vzťahuje na váš produkt, a potom postupujte podľa usmernenia napísaného pre vašu úlohu.