01Kas yra CRA
Kibernetinio atsparumo aktas yra pirmasis ES masto įstatymas, nustatantis privalomus kibernetinio saugumo reikalavimus skaitmeninių elementų turintys produktai; tiek aparatinei, tiek programinei įrangai; per visą jų gyvavimo ciklą. Juo atsakomybė už saugumą perkeliama organizacijoms, kurios pateikia šiuos produktus rinkai, o ne paliekama naudotojams. Art. 1
Praktiškai produktą galima tiekti ES rinkai tik tuo atveju, jei jis atitinka I priede nustatytus esminius reikalavimus ir gamintojas įvykdė su juo susijusias prievoles. Atitiktį liudija CE ženklas.
Jei jūsų produktas turi skaitmeninių elementų ir pasiekia ES rinką, jis turi būti suprojektuotas, sukurtas ir prižiūrimas pagal nustatytą kibernetinio saugumo standartą; ir jūs turite gebėti tai įrodyti.
02Kam jis taikomas
Reglamentas taikomas skaitmeninių elementų turintiems produktams, kurių numatytas ar pagrįstai numatomas naudojimas apima tiesioginį ar netiesioginį duomenų ryšį. Prievolės paskirstytos visoje tiekimo grandinėje: Art. 13–28
- Gamintojai; jiems tenka pagrindinės prievolės: projektavimas, dokumentacija, atitikties vertinimas ir pažeidžiamumų valdymas.
- Importuotojai; gali pateikti rinkai tik reikalavimus atitinkančius produktus ir privalo patikrinti, ar įvykdytos gamintojo prievolės.
- Platintojai; privalo veikti deramai rūpestingai ir patikrinti, ar yra CE ženklas ir dokumentacija.
Produktai, kuriems jau taikomos sektorinės taisyklės; pavyzdžiui, medicinos priemonės, motorinės transporto priemonės ir civilinė aviacija; yra neįtraukti, kaip ir nekomerciniai atvirojo kodo komponentai.
03Produktų klasės
Reikalaujama atitikties vertinimo procedūra priklauso nuo to, kokios svarbos yra produktas. Dauguma produktų vertinami savarankiškai; prieduose išvardytoms didesnės rizikos kategorijoms taikomos griežtesnės procedūros. Art. 6–7 · Annex III–IV
| Klasė | Pavyzdžiai | Atitikties vertinimo procedūra |
|---|---|---|
| Numatytasis | Dauguma skaitmeninių elementų turinčių produktų | Savarankiškas vertinimas |
| Svarbus; I | Slaptažodžių tvarkyklės, tinklo valdymas, VPN | Standartai arba trečioji šalis |
| Svarbus; II | Operacinės sistemos, užkardos, mikroprocesoriai | Trečiosios šalies vertinimas |
| Ypatingos svarbos | Išmanieji skaitikliai, lustinės kortelės, saugieji elementai | Privalomas sertifikavimas |
04Pagrindinės prievolės
I priede nustatyti esminiai reikalavimai skirstomi į dvi grupes; savybės, kurias turi turėti produktas, ir procesai, kuriuos turi vykdyti gamintojas. I priedas
- Saugumas pagal projektą ir pagal numatytąsias nuostatas; pateikiamas su saugia konfigūracija ir minimizuotu atakų paviršiumi.
- Nėra žinomų išnaudojamų pažeidžiamumų; tiekiamas be žinomų išnaudojamų trūkumų.
- Pažeidžiamumų valdymas; procesas problemoms nustatyti, dokumentuoti, šalinti ir atskleisti.
- Saugumo atnaujinimai; nemokami, laiku teikiami atnaujinimai per visą nustatytą paramos laikotarpį.
- Programinės įrangos medžiagų sąrašas; tvarkyti SBOM, apimantį produkto komponentus.
- Pranešimas; pranešti apie aktyviai išnaudojamus pažeidžiamumus ir didelius incidentus ENISA ir atitinkamam CSIRT, pateikiant išankstinį įspėjimą per 24 valandas.
05Terminai ir sankcijos
Aktas jau galioja; jo prievolės įvedamos palaipsniui per ateinančius metus. Art. 71
- 2024 m. spalisPriimtas ir pasirašytas kaip įstatymas.
- 2024 m. gruodisĮsigaliojo.
- 2026 m. rugsėjisTaikomos pranešimo prievolės (praėjus 21 mėnesiui po įsigaliojimo).
- 2027 m. gruodisVisapusiškas taikymas; taikoma dauguma nuostatų (36 mėnesiai).
Už esminių reikalavimų neatitiktį gali būti skiriamos baudos iki 15 mln. € arba 2,5 % visos pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė.
06Ką daryti toliau
Pirmiausia įsitikinkite, ar Aktas taikomas jūsų produktui, tada vadovaukitės jūsų vaidmeniui parengtomis gairėmis.