Zákon o kybernetické odolnosti (CRA)

Objevte budoucnost kybernetické bezpečnosti digitálních produktů v zákoně o kybernetické odolnosti (CRA). Jasné směrnice, vyšší standardy a průkopnická strategie pro bezpečnější digitální věk.
Výroba v souladu se zákonem o kybernetické odolnosti (CRA)

Zákon o kybernetické odolnosti (CRA) je průkopnickým počinem v oblasti kybernetické bezpečnosti. Stanovuje jasné povinnosti pro výrobce digitálních produktů, zejména pokud jde o implementaci zabezpečení již od fáze návrhu. Aby budoucí produkty získaly prestižní označení CE, musí splňovat minimální bezpečnostní požadavky. Zákon CRA se zaměřuje na základní aspekty, jakými jsou ochrana přístupu, důvěrnost, integrita a dostupnost, v průběhu celého procesu vývoje. Tento příspěvek se zabývá výzvami a příležitostmi, které zákon CRA přináší výrobcům, a posuzuje potenciální roli mezinárodní normy IEC 62443 jako klíčového činitele v tomto kontextu.

Objevte budoucnost kybernetické bezpečnosti digitálních produktů v zákoně o kybernetické odolnosti (CRA) – jasné směrnice, vyšší standardy a průkopnická strategie pro bezpečnější digitální věk.

Ikona vykřičníku

Co je CRA?

Zákon o kybernetické odolnosti (CRA) stanoví jasné pokyny pro výrobce digitálních produktů, kteří jsou nyní povinni uplatňovat strategii zabezpečení již od fáze návrhu. Aby produkty, na které se zákon CRA vztahuje, získaly prestižní označení CE, musí v budoucnu splňovat minimální bezpečnostní požadavky. Text zákona přitom klade velký důraz na aspekty, jakými jsou ochrana přístupu, důvěrnost, integrita a dostupnost, které musí být integrovány do celého procesu vývoje. Kromě toho zákon CRA upravuje správu slabých míst a lhůty, ve kterých jsou výrobci povinni poskytovat bezpečnostní aktualizace.

Cílem zákona CRA je posílit důvěru v digitální infrastrukturu Evropské unie a zvýšit konkurenceschopnost evropských podniků na celosvětové úrovni. Jelikož se jedná o akt na úrovni EU, nevyžaduje se jeho harmonizace na vnitrostátní úrovni a očekává se, že v celé EU vstoupí v platnost od roku 2024.

IEC 62443 jako mezinárodní norma sehrává klíčovou roli, protože zahrnuje jak požadovaný proces bezpečného vývoje, tak technické požadavky kladené na produkty a systémy. Díky této vzájemné shodě by norma IEC 62443 mohla sloužit jako slibný základ pro harmonizovanou normu podle zákona CRA. Pro všechny produkty je vyžadován standardizovaný softwarový kusovník (SBOM), aby byly splněny požadavky na správu slabých míst. Tento obsáhlý přehled všech softwarových komponent je nezbytný. Kromě toho musí být známé zranitelnosti zaznamenány v digitální podobě, např. prostřednictvím systému CVSS (Common Vulnerability Scoring System).

Ikona stylizované osoby a vykřičníku

Koho se to týká?

Zákon o kybernetické odolnosti (CRA) je zákon vydaný na úrovni EU, který se týká všech produktů s digitálními prvky, které mají komunikační schopnosti. Zákon CRA se vztahuje na hardware i software, přičemž vychází z nového legislativního rámce. Zákon stanoví závazné požadavky, které je nutno dodržovat při uvádění výrobků na trh. Produkty, které těmto pravidlům odpovídají, jsou opatřeny označením CE.

Na druhé straně to znamená, že produkty, které nejsou ve shodě s předpisy, již nesmějí být uváděny na trh. Jestliže však poskytovatel nesplní požadavky na kybernetickou bezpečnost, musí zastavit také prodej stávajících produktů.

Co to znamená pro výrobce?

Ikona mGuard s bezpečnostním zámkem
Ikona výroby
Ikona IEC 62443
Ikona mGuard s bezpečnostním zámkem

Zákon CRA stanoví jasné bezpečnostní požadavky kladené na produkty, včetně ochrany přístupu, ochrany důvěrnosti, integrity, dostupnosti a bezpečného stavu při dodání. Pro zajištění bezpečného procesu vývoje je tyto požadavky zapotřebí zohledňovat především ve fázích koncepčního návrhu, vývoje a výroby.

Ikona výroby

V rámci procesu bezpečného vývoje musí výrobci aktivně kontrolovat své produkty se zaměřením na zranitelná místa, která je nutno neprodleně odstraňovat. Tato bezpečnostní aktualizace bude poskytována bezplatně po dobu pěti roků. CRA rovněž zavádí další ohlašovací povinnosti: Výrobci musí neprodleně informovat Evropskou agenturu pro kybernetickou bezpečnost (ENISA), pokud se dozvědí o aktivně zneužívaných zranitelnostech nebo útocích na své výrobky, které by mohly ohrozit bezpečnost, např. manipulací s oblastmi pro stahování.

Ikona IEC 62443

Před uvedením na trh musí výrobce zajistit, aby jeho produkt odpovídal předepsaným standardům. Posouzení je založeno na klasifikaci produktu s ohledem na jeho kritičnost. To vyžaduje shodu s evropskými normami nebo testování autorizovanou institucí. Obzvláštní pozornost je přitom věnována kritickým infrastrukturám v průmyslu. V této souvislosti lze předpokládat uplatnění harmonizovaných norem a/nebo spolupráci se schválenou institucí.

Ikona skupiny osob

Co to znamená pro uživatele?

Zákon CRA umožňuje uživatelům využívat výhod produktů, které splňují vyšší standardy kybernetické bezpečnosti a představují menší riziko ze strany hackerů, bezpečnostních nedostatků nebo jiných nebezpečí. Tyto produkty musí být opatřeny označením CE, aby byla doložena jejich shoda s novými požadavky.

Výrobci jsou rovněž povinni pečovat o produkty po celou dobu jejich životního cyklu a nabízet automatické bezpečnostní aktualizace. Uživatelé se proto u produktů s označením CE mohou spolehnout na záruky týkající se kybernetické bezpečnosti.

IEC 62443 jako faktor úspěchu ucelených bezpečnostních koncepcí
Ochrana před kybernetickými útoky a plnění zákonných požadavků
Mohou komponenty a systémy certifikované podle normy IEC 62443 poskytovat komplexní ochranu proti kybernetickým útokům a zároveň splňovat nové právní požadavky EU, jaké jsou obsaženy ve směrnici NIS 2, zákonu o kybernetické odolnosti (CRA) a novém nařízení o strojních zařízeních? V našem dokumentu Whitepaper se dozvíte vše o nové zákonné směrnici, implementaci kybernetické bezpečnosti v oblasti automatizace a významu normy IEC 62443.
Nyní stáhnout dokument Whitepaper
Zesíťovaný svět s bezpečnostním zámkem

Kybernetická bezpečnost již není volbou, nýbrž nezbytností

Výrobci čelí výzvě, která spočívá v zajištění bezpečného vývojového procesu a zavedení rozsáhlých bezpečnostních opatření před uvedením na trh. To je spojeno s dodatečnými náklady, které mohou ovlivnit zdroje a výrobní časy. Nová legislativa je příslibem značných výhod pro koncové uživatele, protože zvyšuje úroveň bezpečnosti a výrazně minimalizuje rizika v oblasti kybernetické bezpečnosti. Výrobci se však potýkají s několika výzvami, které s sebou nesou další náklady. Přesto se však vyplatí tyto výzvy přijmout, protože porušení předpisů může vést k tomu, že úřady budou požadovat vylepšení výrobků nebo jejich stažení z trhu a uloží pokuty až do výše 15 milionů eur nebo 2,5 % ročního celkového obratu.

Existuje však naděje, protože základní požadavky definované v zákonu CRA jsou pokryty procesem bezpečného vývoje podle IEC 62443-4-1 a funkčními specifikacemi podle IEC 62443-4-2. Proto se doporučuje se zavedením normy IEC 62443 neotálet.

Popis bezpečného vývojového procesu – Security-by-Design
Koncepce zabezpečení v rozsahu 360° – naše ucelená nabídka bez kompromisů

Naše ucelená koncepce zabezpečení v rozsahu 360°

Ve společnosti Phoenix Contact se spoléháme na komplexní 360° přístup k zabezpečení, který integruje zabezpečené produkty jako ústřední prvek. Zabezpečené produkty jsou vyvíjeny v souladu s normami IEC 62443-4-1, zatímco požadavky na bezpečnostní funkce jsou plněny v souladu s normou IEC 62443-4-2. Tým PSIRT (Product Security Incident Response Team) je zodpovědný za nalézání efektivních řešení týkajících se slabých míst.

Díky této strategii má společnost Phoenix Contact dobrou pozici při plnění nových právních požadavků. Našim zákazníkům navíc nabízíme bezpečná aplikační řešení a služby. Nezávislá certifikace provedená zkušebnou TÜV SÜD potvrzuje dodržování procesů v oblasti kybernetické bezpečnosti podle normy IEC 62443.