Bezpieczne rozwiązania zapewniające zgodność z ustawą o odporności cybernetycznej (CRA)

Ustawa o odporności cybernetycznej (CRA) to pionierskie rozporządzenie mające na celu zwiększenie bezpieczeństwa produktów i usług cyfrowych w Unii Europejskiej (UE). Odpowiada ona na rosnące zagrożenia cyberatakami, wprowadzając rygorystyczne wymogi bezpieczeństwa w całym cyklu życia produktów cyfrowych, od projektowania i rozwoju, przez wdrożenie i utylizację. Nieprzestrzeganie przepisów CRA może skutkować surowymi karami.

Projektowanie bezpiecznych produktów zgodnie z CRA wymaga integracji środków bezpieczeństwa od samego początku. Obejmuje to wdrożenie bezpiecznych procesów rozruchu, zapewnienie integralności oprogramowania układowego, bezpieczne przechowywanie danych uwierzytelniających, kluczy i certyfikatów oraz wykorzystanie niezawodnych technik kryptograficznych w celu ochrony danych w spoczynku i w trakcie przesyłania. Podczas przetwarzania danych osobowych należy wdrożyć bezpieczną komunikację w celu zabezpieczenia wymiany danych. Regularne aktualizacje zabezpieczeń i skuteczne zarządzanie lukami w zabezpieczeniach są również kluczowymi elementami zgodności.

Jakie są zagrożenia związane z brakiem zgodności z przepisami CRA?

Zgodność z przepisami CRA jest obowiązkowa. Jeśli produkt objęty ustawą nie kwalifikuje się do oznaczenia CE, nie może być legalnie sprzedawany w UE. Organy regulacyjne mają prawo wycofywać z rynku produkty niezgodne z przepisami i wydawać nakazy wycofania produktów, co potencjalnie może sparaliżować pozycję organizacji na rynku. Organy regulacyjne mogą również nakładać kary za brak zgodności, przy czym każde naruszenie przepisów CRA wiąże się z potencjalną grzywną w wysokości 15 milionów euro lub 2,5% rocznego globalnego obrotu organizacji – w zależności od tego, która kwota jest wyższa. Pomimo surowych konsekwencji, nadal powszechne są błędne przekonania na temat CRA. Jednym z powszechnych nieporozumień jest harmonogram. Podczas gdy wielu producentów uważa, że ​​rozporządzenie wejdzie w życie dopiero w 2027 r., CRA już weszło w życie. Kluczowe terminy zgodności zbliżają się szybko.

Odliczanie do zgodności z przepisami CRA CRA, będące częścią Strategii Cyberbezpieczeństwa UE na rok 2020, miało uzupełniać Ramy NIS2. Ustawa została oficjalnie podpisana przez Parlament Europejski i Radę Unii Europejskiej 23 października 2024r. i opublikowana 20 listopada 2024r.

• 10 grudnia 2024r. CRA zostaje oficjalnie włączona do prawodawstwa UE z okresem karencji przed obowiązkowym pełnym wdrożeniem.
• 11 czerwca 2026r. Jednostki oceniające zgodność odpowiedzialne za weryfikację zgodności CRA rozpoczynają działalność, zgodnie z opisem w rozdziale IV, artykułach 35–51. Organizacje powinny rozpocząć zapoznawanie się z procedurami oceny zgodności i ustalić, czy ich kategoria produktów wymaga formalnego zaangażowania jednostki oceniającej zgodność, czy też dobrowolna współpraca jest odpowiednia dla wsparcia działań na rzecz zgodności przed terminem 2027 rokiem.
• 11 września 2026r. Producenci są teraz zobowiązani do jednoczesnego zgłaszania aktywnie wykorzystywanych luk w zabezpieczeniach i poważnych incydentów w odpowiednich produktach zarówno swojemu „wyznaczonemu koordynatorowi” Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), jak i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w ciągu 24 godzin od ich wykrycia, zgodnie z artykułem 14.
• 11 grudnia 2027r. Ustawa o odporności cybernetycznej oficjalnie wchodzi w życie. Od tego dnia wszystkie produkty objęte ustawą muszą posiadać oznakowanie CE, aby uzyskać zezwolenie na sprzedaż w UE. Dowiedz się więcej z dokumentów naszych dostawców i przygotuj się na przyszłość.

Zapraszamy do zapoznania się z dogłębnymi opracowaniami przygotowanymi przez naszych dostawców:

Źródło: Microchip Technology Inc. , Digi International | Tłumaczenie: Gamma Sp. z o.o.

Dowiedz się więcej z opracowań dotyczących Cyber Resilience Act naszych dostawców i przygotuj się na przyszłość. Skontaktuj się z naszym działem handlowym już dziś.