Zapewnienie zgodności z przepisami dotyczącymi cyberbezpieczeństwa zgodnie z ustawą o cyberodporności (CRA) w urządzeniach sieciowych firmy Lantech

Akt o odporności cybernetycznej (Cyber Resilience Act - CRA) stanowi fundamentalny zwrot w unijnej polityce bezpieczeństwa cyfrowego, przekształcając dobrowolne praktyki w ustawowy obowiązek dla producentów urządzeń i oprogramowania. Nowe regulacje wprowadzają jednolite ramy prawne dla produktów z „elementami cyfrowymi” (PDE), obejmując zarówno sprzęt, jak i oprogramowanie, które łączy się bezpośrednio lub pośrednio z siecią.

Kluczowe ramy czasowe wdrożenia

Proces wdrażania CRA jest podzielony na etapy, aby umożliwić rynkowi dostosowanie się do nowych rygorów:

• 10 grudnia 2024r.: akt oficjalnie wszedł w życie.
• 11 września 2026r.: rozpocznie się obowiązkowe zgłaszanie luk w zabezpieczeniach oraz poważnych incydentów do agencji ENISA i krajowych zespołów CSIRT.
• 11 grudnia 2027r.: pełne zastosowanie wszystkich wymogów dla produktów wprowadzanych na rynek UE, w tym ocen zgodności i oznakowania CE.

IEC 62443: „Złoty Standard” zgodności z CRA

Dla producentów systemów automatyki i sterowania przemysłowego (IACS), norma IEC 62443 staje się kluczowym drogowskazem w procesie certyfikacji. Podczas gdy CRA określa cele prawne, rodzina norm IEC 62443 dostarcza technicznych metod ich osiągnięcia. 

• IEC 62443-4-1 koncentruje się na bezpiecznym cyklu życia produktu (SDL), co bezpośrednio odpowiada wymogom CRA w zakresie projektowania zabezpieczeń od podstaw (security by design).
• IEC 62443-4-2 definiuje techniczne wymagania bezpieczeństwa dla komponentów, takie jak ochrona przed nieautoryzowanym dostępem, integralność danych i odporność na ataki DoS.

W obliczu nadchodzących terminów, firma Lantech pozycjonuje się jako lider gotowości na nowe przepisy, integrując rygorystyczne standardy inżynieryjne z wymogami prawnymi.

Gotowość Lantech na wymogi CRA

Firma Lantech podjęła proaktywne kroki, aby jej rozwiązania były w pełni zgodne z nadchodzącymi regulacjami, koncentrując się na flagowych seriach urządzeń.

• Urządzenia serii OS2Pro OS5:  Zarządzalne przełączniki z tych serii pomyślnie zaimplementowały wszystkie wymogi techniczne normy IEC 62443-4-2.
• Bezpieczny cykl życia (SDL): Procesy rozwojowe Lantech są prowadzone zgodnie ze standardem IEC 62443-4-1, co zapewnia, że bezpieczeństwo jest wpisane w produkt od etapu projektu aż po jego wycofanie z rynku.
• Zastosowania krytyczne: Produkty firmy są dedykowane dla wymagających sektorów, takich jak transport kolejowy (zgodność z EN50155), systemy autobusowe (certyfikacja ITxPT) oraz infrastruktura inteligentnych miast.

Techniczna implementacja cyberodporności w produktach Lantech

Zgodnie z zasadami security by design i security by default, Lantech wdraża konkretne mechanizmy ochrony:

• Ochrona danych: Produkty wykorzystują automatyczne mechanizmy OTP (One-Time Password) oraz zaawansowane szyfrowanie danych w spoczynku i podczas transmisji.
• Minimalizacja powierzchni ataku: Urządzenia posiadają wzmocnione konfiguracje (hardened configurations) oraz ograniczone usługi sieciowe, co utrudnia potencjalnym napastnikom dostęp do systemu.
• Zarządzanie komponentami (SBOM): Lantech wprowadził Software Bill of Materials (SBOM), czyli szczegółowy wykaz składników oprogramowania, co umożliwia szybką identyfikację podatności w komponentach dostarczanych przez strony trzecie.
• Bezpieczne aktualizacje: Firma zobowiązała się do dostarczania krytycznych poprawek bezpieczeństwa przez określony czas wsparcia, wynoszący zazwyczaj minimum 5 lat.

Wybór normy IEC 62443 jako fundamentu zgodności nie jest przypadkowy. Choć CRA określa cele prawne, to właśnie ta rodzina norm dostarcza konkretnych metod technicznych ich realizacji dla systemów automatyki przemysłowej (IACS).

Dla klientów Lantech w sektorach transportu i przemysłu oznacza to, że urządzenia nie tylko spełniają biurokratyczne wymogi unijne, ale oferują realną odporność na wyrafinowane ataki, mierzoną poziomami bezpieczeństwa (Security Levels). Dzięki temu Lantech zapewnia swoim użytkownikom infrastrukturę „przyszłościową” (future-proof), która jest przygotowana na rygorystyczne kontrole organów nadzoru rynku.