EU Cyber Resilience Act: Načrtovanje skladnosti za podjetja
Standardi
• EU • KIBERNETSKA VARNOST • CRA •
Evropska unija je z uvedbo Zakona o kibernetski odpornosti (CRA) postavila stroge zahteve glede kibernetske varnosti za vse izdelke z digitalnimi elementi, ki se prodajajo na evropskem trgu. Namen zakona je zagotoviti, da izdelki ostanejo kibernetsko varni tako v fazi načrtovanja kot tudi skozi celoten življenjski cikel. Zakon je bil potrjen 12. marca 2024 in se nanaša na proizvajalce, distributerje in uvoznike v EU. Po uradnem sprejetju zakona s strani Sveta EU bodo imeli proizvajalci 36 mesecev za dosego skladnosti.
Zakon o kibernetski odpornosti je ključnega pomena za zaščito vaših izdelkov in potrošnikov pred kibernetskimi napadi ter za preprečevanje sankcij zaradi neskladnosti. Zakon rešuje dve ključni težavi. Prvič, obravnava pogosto prisotne ranljivosti v digitalnih izdelkih zaradi nizkih standardov kibernetske varnosti ter zagotavlja, da proizvajalci ostanejo odgovorni za kibernetsko varnost svojih izdelkov skozi njihov celoten življenjski cikel. Drugič, cilj zakona je izboljšati dostop in razumevanje uporabnikov glede informacij o kibernetski varnosti, kar jim omogoča, da sprejemajo informirane odločitve o varnosti izdelkov, ki jih uporabljajo.
Če podjetje ne izpolni zahtev glede kibernetske varnosti, se lahko sooči z resnimi pravnimi posledicami, vključno z denarnimi kaznimi, kar lahko škodi njegovemu ugledu in dostopu do trga v EU. Čeprav bodo natančne sankcije določene s strani posameznih držav članic, je ključno, da se podjetja prilagodijo določbam zakona, da bi se izognili tem kaznim.
Zakon se nanaša na proizvajalce naprav in programske opreme z digitalnimi elementi, ki se prodajajo v EU. Med te naprave spadajo prenosniki, pametni telefoni, trdi diski, pametni zvočniki, usmerjevalniki, stikala, mobilne aplikacije, požarni zidovi, video igre, programska oprema in drugi podobni izdelki. Vendar pa so nekatere vrste izdelkov izključene iz tega zakona, kot so programska oprema, ki je del storitve, nekomercialna odprtokodna programska oprema, izdelki, razviti ali spremenjeni izključno za nacionalno varnost ali obrambo, ter izdelki, ki jih že ureja druga EU zakonodaja (na primer medicinski pripomočki, letala, vozila).
Zakon zahteva od proizvajalcev, da zagotavljajo, da njihovi izdelki ne vsebujejo znanih ranljivosti, ko se postavijo na trg. Ranljivosti je treba odpraviti z varnostnimi posodobitvami, vključno z avtomatskimi posodobitvami, ki jih uporabniki lahko preprosto izključijo ali odložijo. Izdelki morajo zaščititi zaupnost shranjenih informacij in biti zasnovani, razviti in proizvedeni na način, da omejijo napade in zmanjšajo negativne posledice v primeru napada.
Proizvajalci morajo prepoznati in dokumentirati ranljivosti v programski opremi ter hitro ukrepati za odpravo teh ranljivosti, vključno z izdajo varnostnih posodobitev. Prav tako morajo redno preizkušati in pregledovati varnost svojih izdelkov ter javno razkriti informacije o ranljivostih, ki so bile odpravljene po varnostnih posodobitvah. Določena mora biti tudi politika za usklajeno razkritje ranljivosti.
V okviru zakona so proizvajalci dolžni uporabnikom zagotoviti jasna navodila in informacije, vključno z imenom podjetja, načinom iskanja politike usklajenega razkritja ranljivosti, postopkom nameščanja posodobitev in načinom odstranitve uporabniških podatkov. Pojasnjeni morajo biti tudi postopki za izklop avtomatskih varnostnih posodobitev.
Za zagotavljanje skladnosti z zakonom morajo proizvajalci opraviti oceno tveganja, da prepoznajo in ocenijo kibernetska tveganja za svoje digitalne izdelke, ter v fazi načrtovanja integrirati potrebne ukrepe za zagotavljanje kibernetske varnosti. Prav tako morajo izdelati izjavo o skladnosti in izdelek označiti z oznako CE, kar pomeni, da izdelek izpolnjuje vse zahteve zakona.
Za izdelke z višjim tveganjem, kot so operacijski sistemi ali požarni zidovi za industrijsko uporabo, je obvezna ocena skladnosti s strani tretje osebe. Evropske standardizacijske organizacije bodo pripravile tehnične standarde za mnoge kategorije izdelkov, pokrite z zakonom.
Skladnost z Zakonom o kibernetski odpornosti ni le zakonska zahteva, temveč tudi pomemben korak k zagotavljanju varnosti in zaupanja uporabnikov ter zaščiti podjetja pred kibernetskimi grožnjami.