01Mi a CRA
A kiberellenálló-képességi rendelet az első, az egész EU-ra kiterjedő jogszabály, amely kötelező kiberbiztonsági követelményeket állapít meg a következőkre: digitális elemeket tartalmazó termékek; hardver és szoftver; teljes életciklusuk során. A biztonságért való felelősséget az e termékeket forgalomba hozó szervezetekre hárítja, ahelyett, hogy a felhasználókra hagyná. Art. 1
A gyakorlatban egy termék csak akkor forgalmazható az uniós piacon, ha megfelel az I. mellékletben meghatározott alapvető követelményeknek, és a gyártó teljesítette a hozzá kapcsolódó kötelezettségeket. A megfelelőséget a következő jelzi: CE-jelölés.
Ha a terméke digitális elemeket tartalmaz, és eljut az uniós piacra, akkor azt meghatározott kiberbiztonsági szabvány szerint kell megtervezni, megépíteni és karbantartani; és ezt igazolnia is kell tudnia.
02Kikre vonatkozik
A rendelet a digitális elemeket tartalmazó termékekre terjed ki, amelyek tervezett vagy észszerűen előrelátható használata magában foglal egy közvetlen vagy közvetett adatkapcsolatot. A kötelezettségek megoszlanak az ellátási lánc mentén: Art. 13–28
- Gyártók; viselik az elsődleges kötelezettségeket: tervezés, dokumentáció, megfelelőségértékelés és sebezhetőségkezelés.
- Importőrök; csak megfelelő termékeket hozhatnak forgalomba, és ellenőrizniük kell, hogy a gyártó teljesítette-e kötelezettségeit.
- Forgalmazók; kellő gondossággal kell eljárniuk, és ellenőrizniük kell a CE-jelölés és a dokumentáció meglétét.
Az ágazatspecifikus szabályok által már szabályozott termékek; mint például az orvostechnikai eszközök, a gépjárművek és a polgári légi közlekedés; ki vannak zárva, csakúgy, mint a nem kereskedelmi nyílt forráskódú összetevők.
03Termékosztályok
A szükséges megfelelőségi útvonal attól függ, mennyire kritikus a termék. A legtöbb termék önértékelést végez; a mellékletekben felsorolt magasabb kockázatú kategóriák szigorúbb eljárásokkal szembesülnek. Art. 6–7 · Annex III–IV
| Osztály | Példák | Megfelelőségi útvonal |
|---|---|---|
| Alapértelmezett | A digitális elemeket tartalmazó termékek többsége | Önértékelés |
| Fontos; I. | Jelszókezelők, hálózatkezelés, VPN-ek | Szabványok vagy harmadik fél |
| Fontos; II. | Operációs rendszerek, tűzfalak, mikroprocesszorok | Harmadik fél általi értékelés |
| Kritikus | Okosmérők, intelligens kártyák, biztonságos elemek | Kötelező tanúsítás |
04Kulcsfontosságú kötelezettségek
Az I. melléklet alapvető követelményei két csoportba sorolhatók; tulajdonságok, amelyekkel a terméknek rendelkeznie kell, és folyamatok, amelyeket a gyártónak működtetnie kell. I. melléklet
- Tervezetten és alapértelmezetten biztonságos; biztonságos konfigurációval és minimalizált támadási felülettel szállítva.
- Nincsenek ismert, kihasználható sebezhetőségek; ismert, kihasználható hibáktól mentesen szállítva.
- Sebezhetőségkezelés; a problémák azonosítására, dokumentálására, orvoslására és közzétételére szolgáló folyamat.
- Biztonsági frissítések; díjmentes, időben nyújtott frissítések a meghatározott támogatási időszak teljes tartama alatt.
- Szoftvertermék-jegyzék; tartsanak fenn egy, a termék összetevőire kiterjedő SBOM-ot.
- Jelentéstétel; jelentsék be az aktívan kihasznált sebezhetőségeket és a súlyos incidenseket az ENISA-nak és az illetékes CSIRT-nek, 24 órán belüli korai előrejelzéssel.
05Ütemterv és szankciók
A rendelet már hatályban van; kötelezettségei a következő évek során fokozatosan lépnek életbe. Art. 71
- 2024. okt.Elfogadva és törvénybe iktatva.
- 2024. dec.Hatályba lépett.
- 2026. szept.Jelentéstételi kötelezettségek alkalmazandók (21 hónappal a hatálybalépés után).
- 2027. dec.Teljes körű alkalmazás; a legtöbb rendelkezés alkalmazandó (36 hónap).
Az alapvető követelményeknek való meg nem felelés legfeljebb 15 millió € összegű vagy a teljes éves világméretű árbevétel 2,5%-ának megfelelő bírságot vonhat maga után, a kettő közül a magasabb értéket figyelembe véve.
06Mit tegyen ezután
Először győződjön meg arról, hogy a rendelet vonatkozik-e a termékére, majd kövesse a szerepköréhez írt iránymutatást.