01Τι είναι ο CRA
Η Πράξη για την Κυβερνοανθεκτικότητα είναι ο πρώτος νόμος σε επίπεδο ΕΕ που θεσπίζει υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία· υλικό και λογισμικό· καθ' όλη τη διάρκεια του κύκλου ζωής τους. Μεταφέρει την ευθύνη για την ασφάλεια στους οργανισμούς που διαθέτουν τα προϊόντα αυτά στην αγορά, αντί να την αφήνει στους χρήστες. Art. 1
Στην πράξη, ένα προϊόν μπορεί να καταστεί διαθέσιμο στην αγορά της ΕΕ μόνον εφόσον πληροί τις βασικές απαιτήσεις του παραρτήματος I και ο κατασκευαστής έχει εκπληρώσει τις συνδεόμενες υποχρεώσεις. Η συμμόρφωση υποδηλώνεται από τη Σήμανση CE.
Εάν το προϊόν σας διαθέτει ψηφιακά στοιχεία και φθάνει στην αγορά της ΕΕ, πρέπει να σχεδιάζεται, να κατασκευάζεται και να συντηρείται σύμφωνα με ένα καθορισμένο πρότυπο κυβερνοασφάλειας· και πρέπει να είστε σε θέση να το αποδείξετε.
02Σε ποιους εφαρμόζεται
Ο κανονισμός καλύπτει προϊόντα με ψηφιακά στοιχεία των οποίων η προβλεπόμενη ή ευλόγως προβλέψιμη χρήση περιλαμβάνει άμεση ή έμμεση σύνδεση δεδομένων. Οι υποχρεώσεις κατανέμονται σε όλη την αλυσίδα εφοδιασμού: Art. 13–28
- Κατασκευαστές· φέρουν τις κύριες υποχρεώσεις: σχεδιασμό, τεκμηρίωση, αξιολόγηση συμμόρφωσης και χειρισμό ευπαθειών.
- Εισαγωγείς· επιτρέπεται να διαθέτουν στην αγορά μόνο συμμορφούμενα προϊόντα και οφείλουν να επαληθεύουν ότι εκπληρώθηκαν τα καθήκοντα του κατασκευαστή.
- Διανομείς· οφείλουν να ενεργούν με τη δέουσα επιμέλεια και να ελέγχουν ότι υπάρχουν η σήμανση CE και η τεκμηρίωση.
Τα προϊόντα που καλύπτονται ήδη από τομεακούς κανόνες· όπως τα ιατροτεχνολογικά προϊόντα, τα μηχανοκίνητα οχήματα και η πολιτική αεροπορία· εξαιρούνται, όπως και τα μη εμπορικά συστατικά ανοιχτού κώδικα.
03Κατηγορίες προϊόντων
Η απαιτούμενη διαδρομή συμμόρφωσης εξαρτάται από το πόσο κρίσιμο είναι το προϊόν. Τα περισσότερα προϊόντα υποβάλλονται σε αυτοαξιολόγηση· οι κατηγορίες υψηλότερου κινδύνου που απαριθμούνται στα παραρτήματα υπόκεινται σε αυστηρότερες διαδικασίες. Art. 6–7 · Annex III–IV
| Κατηγορία | Παραδείγματα | Διαδρομή συμμόρφωσης |
|---|---|---|
| Προεπιλεγμένο | Η πλειονότητα των προϊόντων με ψηφιακά στοιχεία | Αυτοαξιολόγηση |
| Σημαντικό· I | Διαχειριστές κωδικών πρόσβασης, διαχείριση δικτύου, VPN | Πρότυπα ή τρίτο μέρος |
| Σημαντικό· II | Λειτουργικά συστήματα, τείχη προστασίας, μικροεπεξεργαστές | Αξιολόγηση από τρίτο μέρος |
| Κρίσιμο | Έξυπνοι μετρητές, έξυπνες κάρτες, ασφαλή στοιχεία | Υποχρεωτική πιστοποίηση |
04Βασικές υποχρεώσεις
Οι βασικές απαιτήσεις του παραρτήματος I εμπίπτουν σε δύο ομάδες· ιδιότητες που πρέπει να διαθέτει το προϊόν, και διαδικασίες που πρέπει να εφαρμόζει ο κατασκευαστής. Παράρτημα I
- Ασφαλές εκ σχεδιασμού & εξ ορισμού· παραδίδεται με ασφαλή διαμόρφωση και ελαχιστοποιημένη επιφάνεια επίθεσης.
- Καμία γνωστή αξιοποιήσιμη ευπάθεια· διατίθεται απαλλαγμένο από γνωστά αξιοποιήσιμα ελαττώματα.
- Χειρισμός ευπαθειών· μια διαδικασία εντοπισμού, τεκμηρίωσης, αποκατάστασης και γνωστοποίησης ζητημάτων.
- Ενημερώσεις ασφάλειας· δωρεάν, έγκαιρες ενημερώσεις καθ' όλη τη διάρκεια της καθορισμένης περιόδου υποστήριξης.
- Κατάλογος υλικών λογισμικού· τηρούν SBOM που καλύπτει τα συστατικά του προϊόντος.
- Αναφορά· κοινοποιούν τις ενεργά αξιοποιούμενες ευπάθειες και τα σοβαρά συμβάντα στον ENISA και στην αρμόδια CSIRT, με έγκαιρη προειδοποίηση εντός 24 ωρών.
05Χρονοδιάγραμμα & κυρώσεις
Η Πράξη βρίσκεται ήδη σε ισχύ· οι υποχρεώσεις της εφαρμόζονται σταδιακά κατά τα επόμενα έτη. Art. 71
- Οκτ 2024Εκδόθηκε και υπεγράφη ως νόμος.
- Δεκ 2024Τέθηκε σε ισχύ.
- Σεπ 2026Εφαρμόζονται οι υποχρεώσεις αναφοράς (21 μήνες μετά την έναρξη ισχύος).
- Δεκ 2027Πλήρης εφαρμογή· εφαρμόζονται οι περισσότερες διατάξεις (36 μήνες).
Η μη συμμόρφωση με τις βασικές απαιτήσεις μπορεί να επισύρει πρόστιμα έως 15 εκατομμύρια € ή 2,5% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο.
06Τι να κάνετε στη συνέχεια
Ξεκινήστε επιβεβαιώνοντας εάν η Πράξη εφαρμόζεται στο προϊόν σας και, στη συνέχεια, ακολουθήστε τις κατευθυντήριες γραμμές που έχουν συνταχθεί για τον ρόλο σας.