01Kas ir CRA
Kibernoturības akts ir pirmais ES mēroga likums, kas nosaka obligātas kiberdrošības prasības šādiem produktiem: produkti ar digitāliem elementiem; aparatūra un programmatūra; visā to dzīves ciklā. Tas pārliek atbildību par drošību uz organizācijām, kas laiž šos produktus tirgū, nevis atstāj to lietotāju ziņā. Art. 1
Praksē produktu drīkst darīt pieejamu ES tirgū tikai tad, ja tas atbilst I pielikumā noteiktajām būtiskajām prasībām un ražotājs ir izpildījis ar to saistītos pienākumus. Atbilstību apliecina CE marķējums.
Ja jūsu produktam ir digitāli elementi un tas nonāk ES tirgū, tas jāprojektē, jāizveido un jāuztur atbilstoši noteiktam kiberdrošības standartam; un jums jāspēj to pierādīt.
02Uz ko tas attiecas
Regula aptver produktus ar digitāliem elementiem, kuru paredzētā vai saprātīgi paredzamā lietošana ietver tiešu vai netiešu datu savienojumu. Pienākumi ir sadalīti visā piegādes ķēdē: Art. 13–28
- Ražotāji; nes galvenos pienākumus: projektēšana, dokumentācija, atbilstības novērtēšana un ievainojamību apstrāde.
- Importētāji; drīkst laist tirgū tikai atbilstošus produktus un tiem jāpārliecinās, ka ražotāja pienākumi ir izpildīti.
- Izplatītāji; jārīkojas ar pienācīgu rūpību un jāpārbauda, vai ir CE marķējums un dokumentācija.
Produkti, uz kuriem jau attiecas nozarei specifiski noteikumi; piemēram, medicīniskās ierīces, mehāniskie transportlīdzekļi un civilā aviācija; ir izslēgti, tāpat kā nekomerciāli atvērtā pirmkoda komponenti.
03Produktu klases
Nepieciešamais atbilstības ceļš ir atkarīgs no tā, cik kritisks ir produkts. Lielākā daļa produktu veic pašnovērtējumu; pielikumos uzskaitītajām augstāka riska kategorijām piemēro stingrākas procedūras. Art. 6–7 · Annex III–IV
| Klase | Piemēri | Atbilstības ceļš |
|---|---|---|
| Noklusējuma | Lielākā daļa produktu ar digitāliem elementiem | Pašnovērtējums |
| Svarīgs; I | Paroļu pārvaldnieki, tīkla pārvaldība, VPN | Standarti vai trešā puse |
| Svarīgs; II | Operētājsistēmas, ugunsmūri, mikroprocesori | Trešās puses novērtējums |
| Kritisks | Viedie skaitītāji, viedkartes, drošības elementi | Obligāta sertifikācija |
04Galvenie pienākumi
I pielikuma pamatprasības iedalāmas divās grupās: īpašības, kas produktam jābūt, un procesi, kas ražotājam jānodrošina. I pielikums
- Droši pēc dizaina un noklusējuma; piegādāts ar drošu konfigurāciju un samazinātu uzbrukuma virsmu.
- Nav zināmu izmantojamu ievainojamību; piegādāts bez zināmiem izmantojamiem trūkumiem.
- Ievainojamību apstrāde; process ievainojamību apzināšanai, dokumentēšanai, novēršanai un izpaušanai.
- Drošības atjauninājumi; bezmaksas, savlaicīgi atjauninājumi visā noteiktajā atbalsta periodā.
- Programmatūras sastāva specifikācija; uztur SBOM, kas aptver produkta komponentus.
- Ziņošana; paziņo ENISA un attiecīgajam CSIRT par aktīvi izmantotām ievainojamībām un smagiem incidentiem, sniedzot agrīnu brīdinājumu 24 stundu laikā.
05Laika grafiks un sodi
Akts jau ir spēkā; tā pienākumi tiek ieviesti pakāpeniski turpmākajos gados. Art. 71
- 2024. gada okt.Pieņemts un parakstīts likums.
- 2024. gada dec.Stājies spēkā.
- 2026. g. sept.Piemērojami ziņošanas pienākumi (21 mēnesi pēc stāšanās spēkā).
- 2027. gada dec.Pilnīga piemērošana; piemēro lielāko daļu noteikumu (36 mēneši).
Par neatbilstību būtiskajām prasībām var piemērot naudas sodu līdz €15 miljoniem vai 2,5 % no kopējā gada apgrozījuma pasaulē, atkarībā no tā, kura summa ir lielāka.
06Ko darīt tālāk
Sāciet, apstiprinot, vai akts attiecas uz jūsu produktu, pēc tam sekojiet jūsu lomai paredzētajiem norādījumiem.