01Mis on CRA
Kübervastupidavuse määrus on esimene ELi-ülene seadus, mis kehtestab kohustuslikud küberturvalisuse nõuded toodetele, milleks on digielementidega tooted; riist- ja tarkvara; kogu nende olelusringi jooksul. See nihutab vastutuse turvalisuse eest organisatsioonidele, kes lasevad need tooted turule, selle asemel et jätta see kasutajatele. Art. 1
Praktikas võib toote ELi turul kättesaadavaks teha üksnes juhul, kui see vastab I lisas sätestatud olulistele nõuetele ja tootja on täitnud sellega seotud kohustused. Vastavusest annab märku CE-märgis.
Kui teie tootel on digielemendid ja see jõuab ELi turule, tuleb see projekteerida, ehitada ja hooldada vastavalt määratletud küberturvalisuse standardile; ning te peate suutma seda tõendada.
02Kellele see kohaldub
Määrus hõlmab digielementidega tooteid, mille sihtotstarbeline või mõistlikult prognoositav kasutus hõlmab otsest või kaudset andmesidet. Kohustused on jaotatud kogu tarneahela ulatuses: Art. 13–28
- Tootjad; kannavad peamisi kohustusi: projekteerimine, dokumenteerimine, vastavushindamine ja nõrkuste käsitlemine.
- Importijad; võivad turule lasta üksnes nõuetele vastavaid tooteid ja peavad kontrollima, et tootja kohustused on täidetud.
- Levitajad; peavad tegutsema nõuetekohase hoolsusega ja kontrollima, et CE-märgis ja dokumentatsioon on olemas.
Tooted, mis on juba hõlmatud valdkonnaspetsiifiliste reeglitega; nagu meditsiiniseadmed, mootorsõidukid ja tsiviillennundus; on välistatud, samuti mitteärilised avatud lähtekoodiga komponendid.
03Tooteklassid
Nõutav vastavustee sõltub sellest, kui kriitiline toode on. Enamikku tooteid hinnatakse enesehindamise teel; lisades loetletud kõrgema riskiga kategooriate suhtes kohaldatakse rangemaid menetlusi. Art. 6–7 · Annex III–IV
| Klass | Näited | Vastavustee |
|---|---|---|
| Vaiketoode | Enamik digielementidega tooteid | Enesehindamine |
| Oluline; I | Paroolihaldurid, võrguhaldus, VPNid | Standardid või kolmas pool |
| Oluline; II | Operatsioonisüsteemid, tulemüürid, mikroprotsessorid | Kolmanda poole hindamine |
| Kriitiline | Nutiarvestid, kiipkaardid, turvaelemendid | Kohustuslik sertifitseerimine |
04Peamised kohustused
I lisa olulised nõuded jagunevad kahte rühma; omadused, mis tootel peavad olema, ja protsessid, mida tootja peab käigus hoidma. I lisa
- Turvaline projekteerimise teel ja vaikimisi; tarnitud turvalise konfiguratsiooniga ja minimeeritud ründepinnaga.
- Teadaolevaid ärakasutatavaid nõrkusi pole; tarnitud ilma teadaolevate ärakasutatavate puudusteta.
- Nõrkuste käsitlemine; protsess probleemide tuvastamiseks, dokumenteerimiseks, kõrvaldamiseks ja avalikustamiseks.
- Turvavärskendused; tasuta ja õigeaegsed värskendused kogu määratletud toetusperioodi vältel.
- Tarkvara koostisosade loend; pidada toote komponente hõlmavat SBOMi.
- Teavitamine; teavitada aktiivselt ärakasutatavatest nõrkustest ja tõsistest intsidentidest ENISAt ja asjakohast CSIRTi, esitades varajase hoiatuse 24 tunni jooksul.
05Ajakava ja karistused
Määrus on juba jõustunud; selle kohustused jõustuvad järk-järgult järgnevatel aastatel. Art. 71
- okt 2024Vastu võetud ja seadusena allkirjastatud.
- dets 2024Jõustus.
- sept 2026Kohaldatakse teavitamiskohustusi (21 kuud pärast jõustumist).
- dets 2027Täielik kohaldamine; enamik sätteid kohaldub (36 kuud).
Oluliste nõuete mittetäitmine võib kaasa tuua trahvi kuni 15 miljonit € või 2,5% kogu ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem.
06Mida edasi teha
Alustage selle kinnitamisega, kas määrus teie tootele kohaldub, seejärel järgige teie rollile kirjutatud suuniseid.