A kiberbiztonság területén iránymutató jelentőségű fejlesztés a kiberbiztonságról szóló rendelet (Cyber Resilience Act, CRA). Ez egyértelmű kötelezettségeket ír elő a digitális termékek gyártói számára, különös tekintettel a betervezett biztonság megvalósítására. Az áhított CE-jelölés megszerzéséhez a jövőbeni termékeknek meg kell felelniük bizonyos minimális biztonsági követelményeknek. A CRA a teljes fejlesztési folyamat során olyan alapvető szempontokkal foglalkozik, mint a hozzáférés védelme, a bizalmasság, az integritás és a rendelkezésre állás. Ez a cikk azokat a kihívásokat és lehetőségeket vizsgálja, amelyeket a CRA hozott a gyártók számára, és ebben az összefüggésben kulcsfontosságúnak tekinti az IEC 62443 nemzetközi szabvány lehetséges szerepét.
Fedezze fel a digitális termékek kiberbiztonságának jövőjét a kiberbiztonságról szóló törvényben (Cyber Resilience Act, CRA) – egyértelmű irányelvek, magasabb szintű szabványok és iránymutató stratégia a biztonságosabb digitális korszakért.
A kiberbiztonságról szóló törvény (Cyber Resilience Act, CRA) egyértelmű iránymutatásokat fogalmaz meg a digitális termékek gyártói számára, akiknek mostantól kötelességük a betervezett biztonság stratégiáját követni. Az áhított CE-jelölés megszerzéséhez a CRA hatálya alá tartozó termékeknek a jövőben meg kell felelniük bizonyos minimális biztonsági követelményeknek. A rendelet szövege nagy hangsúlyt fektet az olyan szempontokra, mint a hozzáférés védelme, a bizalmasság, az integritás és a rendelkezésre állás, amelyeket a teljes fejlesztési folyamatba integrálni kell. Ezen túlmenően a CRA szabályozza a sebezhetőségek menedzselését és azt az időtartamot, amelyen belül a gyártók kötelesek biztonsági frissítéseket rendelkezésre bocsátaniuk.
A CRA célja az, hogy erősítse az Európai Unió digitális infrastruktúrájába vetett bizalmat, és növelje az európai vállalatok versenyképességét globális szinten. Mivel uniós jogi aktusról van szó, az nem igényel nemzeti szintű törvénykezést, így 2024. december 10-én hatályba lépett az EU egész területén.
Az IEC 62443 nemzetközi szabványként kulcsszerepet játszik, mivel mind a szükséges biztonságos fejlesztési folyamatot, mind a termékekkel és rendszerekkel szembeni műszaki követelményeket lefedi. Ennek az egyezésnek köszönhetően az IEC 62443 egy harmonizált CRA szabvány ígéretes alapjául szolgálhat. A sebezhetőség menedzselésére vonatkozó követelmények teljesítéséhez minden termékhez szabványosított szoftveres anyagjegyzékre (Software Bill of Material, SBOM) van szükség. Az összes szoftverkomponens átfogó áttekintése alapvető fontosságú. Ezenkívül az ismert sebezhetőségeket digitális formában kell rögzíteni, például a közös sebezhetőségi pontozási rendszer (Common Vulnerability Scoring System, CVSS) segítségével.
A kiberbiztonságról szóló törvény (CRA) egy uniós jogszabály, amely minden olyan digitális elemmel rendelkező terméket érint, amely kommunikációs képességekkel rendelkezik. A CRA mind a hardverre, mind a szoftverre kiterjed, és az új jogszabályi keretrendszeren alapul. A törvény kötelező követelményeket határoz meg, amelyeket a termékek forgalomba hozatalakor be kell tartani. Azok a termékek, amelyek megfelelnek ezeknek a szabályoknak, CE-jelölést viselnek.
Ez viszont azt jelenti, hogy a nem megfelelő termékek nem hozhatók többé forgalomba. A szolgáltatónak azonban a meglévő termékek értékesítését is le kell állítania, ha a kiberbiztonsági követelmények nem teljesülnek.
A CRA egyértelmű biztonsági követelményeket határoz meg a termékekkel szemben, beleértve a hozzáférés védelmét, a bizalmasság védelmét, az integritást, a rendelkezésre állást és a biztonságos kiszállítási állapotot. A biztonságos fejlesztési folyamat érdekében ezeket mindenekelőtt a tervezés, a fejlesztés és a gyártás során kell figyelembe venni.
A biztonsági fejlesztési folyamat részeként a gyártóknak aktívan ellenőrizniük kell termékeiket a sebezhetőségek szempontjából, és azonnal orvosolniuk kell azokat. Ennek a biztonsági frissítésnek ingyenesnek kell lennie, és ötéves időtartamra kell szólnia. A CRA további jelentéstételi kötelezettségeket is bevezet: a gyártóknak haladéktalanul értesíteniük kell az Európai Kiberbiztonsági Ügynökséget (ENISA), ha tudomást szereznek a termékeiket érintő, aktívan kihasznált sebezhetőségekről vagy támadásokról, amelyek veszélyeztethetik a biztonságot, például a letöltési területek manipulálásával.
A gyártóknak a piacra lépés előtt meg kell győződniük arról, hogy a termékük megfelel-e a szabványok előírásainak. Az értékelésre a termék kritikussági besorolásától függően kerül sor. Ehhez az európai szabványoknak való megfelelés vagy egy erre felhatalmazott intézmény által végzett vizsgálat szükséges. Különös figyelem irányul a kritikus ipari infrastruktúrákra. Ebben az összefüggésben a harmonizált szabványok alkalmazása és/vagy egy feljogosított intézménnyel való együttműködés szükséges.
A CRA lehetővé teszi a felhasználók számára, hogy olyan termékeket használhassanak, amelyek megfelelnek a magasabb szintű kiberbiztonsági előírásoknak, és kevesebb kockázatot jelentenek a hackerek, a biztonsági rések és egyéb veszélyek szempontjából. Az ilyen termékeket CE-jelöléssel kell ellátni, amely az új követelményeknek való megfelelésükről tanúskodik.
A gyártók kötelesek ezen felül a teljes életciklusuk alatt karbantartani a termékeket, és automatikus biztonsági frissítéseket kínálni. A felhasználók ezért bízhatnak a CE-jelöléssel ellátott termékek kiberbiztonsági garanciáiban.
A gyártóknak a biztonságos fejlesztési folyamat és a piaci bevezetés előtti átfogó biztonsági intézkedések végrehajtásának kihívásával kell szembenézniük. Ez további költségekkel jár, amelyek hatással lehetnek az erőforrásokra és a gyártási időkre. Az új jogszabály jelentős előnyöket ígér a végfelhasználók számára, mivel emeli a biztonság szintjét, és jelentős mértékben minimalizálja a kiberbiztonság területén jelentkező kockázatokat. A gyártóknak azonban számos olyan kihívással kell szembenézniük, amelyek további ráfordításokkal járnak. Érdemes azonban vállalni ezeket a kihívásokat, mivel a hatóságok a jogsértések miatt termékjavításokat vagy visszahívásokat követelhetnek, és akár 15 millió eurós vagy az éves globális árbevétel 2,5%-át kitevő bírságot is kiszabhatnak.
Mégis van remény, mert az IEC 62443-4-1 szerinti biztonságos fejlesztési folyamat és az IEC 62443-4-2 szerinti funkcionális előírások lefedik a CRA által meghatározott alapvető követelményeket. Az IEC 62443 szabvány implementálása ennélfogva melegen ajánlható.
Eldördült a rajtlövés. Itt az ideje, hogy intézkedéseket hozzunk, és közösen felkészüljünk. A Cyber Resilience Act (CRA) rendeletet hivatalosan 2024. december 10-én hirdették ki. Minden termékhez 2026. szeptember 11-ig megfelelő sebezhetőség-menedzselő rendszert kell létrehozni. 2027. december 11-től a CRA teljes körű végrehajtása kötelező, és a CE-jelölés megszerzéséhez minden érintett terméknek meg kell felelnie a követelményeknek.
Itt az ideje cselekedni az új biztonsági előírások teljesítése és a versenyképesség fenntartása érdekében.
Teljes 360°-os biztonsági koncepciónk
Mi, a Phoenix Contactnál a 360°-os átfogó biztonsági megközelítés mellett döntöttünk, amely központi elemként integrálja a biztonságos termékeket. A biztonságos termékek fejlesztése az IEC 62443-4-1 szabványainak megfelelően történik, míg a biztonsági funkciókkal kapcsolatos követelmények az IEC 62443-4-2 szabványnak megfelelően teljesülnek. A PSIRT csapat (Product Security Incident Response Team) felelős a sebezhetőségek hatékony kezeléséért.
Ennek a stratégiának köszönhetően a Phoenix Contact jó helyzetben van ahhoz, hogy megfeleljen az új törvényi követelményeknek. Ezen felül biztonságos alkalmazási megoldásokat és szolgáltatásokat is kínálunk ügyfeleinknek. A TÜV SÜD független tanúsítása megerősíti az IEC 62443 szerinti kiberbiztonsági folyamatok betartását.
