01Kaj je CRA
Akt o kibernetski odpornosti je prvi zakon na ravni celotne EU, ki določa obvezne kibernetskovarnostne zahteve za izdelki z digitalnimi elementi; strojno in programsko opremo; skozi njihov celoten življenjski cikel. Odgovornost za varnost prenaša na organizacije, ki te izdelke dajejo na trg, namesto da bi jo prepuščala uporabnikom. Art. 1
V praksi se izdelek lahko da na trg EU le, če izpolnjuje bistvene zahteve iz Priloge I in je proizvajalec izpolnil z njim povezane obveznosti. Skladnost označuje Oznaka CE.
Če ima vaš izdelek digitalne elemente in pride na trg EU, mora biti zasnovan, zgrajen in vzdrževan v skladu z opredeljenim kibernetskovarnostnim standardom; in to morate biti sposobni dokazati.
02Za koga velja
Uredba zajema izdelke z digitalnimi elementi, katerih predvidena ali razumno predvidljiva uporaba vključuje neposredno ali posredno podatkovno povezavo. Obveznosti so porazdeljene po dobavni verigi: Art. 13–28
- Proizvajalci; nosijo glavne obveznosti: zasnova, dokumentacija, ugotavljanje skladnosti in obravnavanje ranljivosti.
- Uvozniki; na trg lahko dajejo le skladne izdelke in morajo preveriti, ali so bile izpolnjene obveznosti proizvajalca.
- Distributerji; morajo ravnati s primerno skrbnostjo in preveriti, ali sta prisotna oznaka CE in dokumentacija.
Izdelki, ki jih že zajemajo sektorska pravila; kot so medicinski pripomočki, motorna vozila in civilno letalstvo; so izključeni, prav tako pa tudi nekomercialne odprtokodne komponente.
03Razredi izdelkov
Zahtevana pot ugotavljanja skladnosti je odvisna od tega, kako kritičen je izdelek. Večina izdelkov se oceni sama; kategorije z višjim tveganjem, navedene v prilogah, se soočajo s strožjimi postopki. Art. 6–7 · Annex III–IV
| Razred | Primeri | Pot ugotavljanja skladnosti |
|---|---|---|
| Privzeto | Večina izdelkov z digitalnimi elementi | Samoocena |
| Pomemben; I | Upravljalniki gesel, upravljanje omrežij, VPN-ji | Standardi ali tretja oseba |
| Pomemben; II | Operacijski sistemi, požarni zidovi, mikroprocesorji | Ocena tretje osebe |
| Kritičen | Pametni števci, pametne kartice, varni elementi | Obvezno certificiranje |
04Ključne obveznosti
Bistvene zahteve iz Priloge I se delijo v dve skupini; lastnosti, ki jih mora imeti izdelek, in postopki, ki jih mora izvajati proizvajalec. Priloga I
- Varno po zasnovi in privzeto; dobavljen z varno konfiguracijo in čim manjšo napadalno površino.
- Brez znanih izkoristljivih ranljivosti; dobavljen brez znanih izkoristljivih napak.
- Obravnavanje ranljivosti; postopek za prepoznavanje, dokumentiranje, odpravljanje in razkrivanje težav.
- Varnostne posodobitve; brezplačne, pravočasne posodobitve skozi celotno opredeljeno obdobje podpore.
- Seznam sestavin programske opreme; vzdržujejo SBOM, ki zajema komponente izdelka.
- Poročanje; o aktivno izkoriščenih ranljivostih in resnih incidentih obvestijo ENISA in zadevni CSIRT, in sicer z zgodnjim opozorilom v 24 urah.
05Časovnica in kazni
Akt je že v veljavi; njegove obveznosti se postopno uvajajo v naslednjih letih. Art. 71
- okt. 2024Sprejeto in podpisano v zakon.
- dec. 2024Začelo veljati.
- sep. 2026Uporabljajo se obveznosti poročanja (21 mesecev po začetku veljavnosti).
- dec. 2027Polna uporaba; uporablja se večina določb (36 mesecev).
Neskladnost z bistvenimi zahtevami lahko privede do glob do 15 milijonov € ali 2,5 % skupnega svetovnega letnega prometa, odvisno od tega, kaj je višje.
06Kaj storiti naprej
Najprej potrdite, ali akt velja za vaš izdelek, nato pa sledite smernicam, napisanim za vašo vlogo.