01Ce este CRA
Regulamentul privind reziliența cibernetică este prima lege la nivelul întregii UE care stabilește cerințe obligatorii de securitate cibernetică pentru produse cu elemente digitale; hardware și software; pe parcursul întregului lor ciclu de viață. Acesta transferă responsabilitatea pentru securitate către organizațiile care introduc aceste produse pe piață, în loc să o lase în seama utilizatorilor. Art. 1
În practică, un produs poate fi pus la dispoziție pe piața UE numai dacă îndeplinește cerințele esențiale prevăzute în anexa I și dacă fabricantul și-a îndeplinit obligațiile aferente. Conformitatea este semnalată prin Marcaj CE.
Dacă produsul dumneavoastră are elemente digitale și ajunge pe piața UE, acesta trebuie proiectat, construit și întreținut conform unui standard de securitate cibernetică definit; și trebuie să puteți demonstra acest lucru.
02Cui se aplică
Regulamentul acoperă produsele cu elemente digitale a căror utilizare prevăzută sau previzibilă în mod rezonabil include o conexiune de date directă sau indirectă. Obligațiile sunt repartizate de-a lungul lanțului de aprovizionare: Art. 13–28
- Fabricanți; le revin obligațiile principale: proiectare, documentare, evaluare a conformității și gestionarea vulnerabilităților.
- Importatori; pot introduce pe piață numai produse conforme și trebuie să verifice îndeplinirea obligațiilor fabricantului.
- Distribuitori; trebuie să acționeze cu diligența cuvenită și să verifice prezența marcajului CE și a documentației.
Produsele deja reglementate de norme sectoriale; precum dispozitivele medicale, autovehiculele și aviația civilă; sunt excluse, la fel ca și componentele cu sursă deschisă necomerciale.
03Clase de produse
Procedura de conformitate necesară depinde de cât de critic este produsul. Majoritatea produselor fac obiectul autoevaluării; categoriile cu risc mai ridicat enumerate în anexe fac obiectul unor proceduri mai stricte. Art. 6–7 · Annex III–IV
| Clasă | Exemple | Procedura de conformitate |
|---|---|---|
| Implicit | Majoritatea produselor cu elemente digitale | Autoevaluare |
| Important; I | Gestionari de parole, gestionarea rețelelor, VPN-uri | Standarde sau un terț |
| Important; II | Sisteme de operare, firewall-uri, microprocesoare | Evaluare de către un terț |
| Critic | Contoare inteligente, carduri inteligente, elemente de securitate | Certificare obligatorie |
04Obligații principale
Cerințele esențiale din anexa I se împart în două grupuri; proprietățile pe care trebuie să le aibă produsul și procesele pe care trebuie să le desfășoare fabricantul. anexa I
- Securitate încă din faza de proiectare și în mod implicit; livrat cu o configurație securizată și o suprafață de atac redusă la minimum.
- Nicio vulnerabilitate exploatabilă cunoscută; livrat fără defecte exploatabile cunoscute.
- Gestionarea vulnerabilităților; un proces de identificare, documentare, remediere și divulgare a problemelor.
- Actualizări de securitate; actualizări gratuite și prompte pe toată durata perioadei de asistență definite.
- Nomenclatură de materiale software; să mențină un SBOM care să acopere componentele produsului.
- Raportare; să notifice ENISA și CSIRT-ul relevant cu privire la vulnerabilitățile exploatate în mod activ și la incidentele grave, printr-o avertizare timpurie în termen de 24 de ore.
05Calendar și sancțiuni
Regulamentul este deja în vigoare; obligațiile sale se introduc treptat în anii următori. Art. 71
- oct. 2024Adoptat și promulgat.
- dec. 2024Intrat în vigoare.
- sept. 2026Se aplică obligațiile de raportare (la 21 de luni de la intrarea în vigoare).
- dec. 2027Aplicare deplină; se aplică majoritatea dispozițiilor (36 de luni).
Nerespectarea cerințelor esențiale poate atrage amenzi de până la 15 milioane € sau 2,5 % din cifra de afaceri anuală mondială totală, oricare dintre aceste valori este mai mare.
06Ce trebuie făcut în continuare
Începeți prin a confirma dacă regulamentul se aplică produsului dumneavoastră, apoi urmați orientările redactate pentru rolul dumneavoastră.