Cyber Resilience Act (CRA) to pionierskie rozwiązanie w dziedzinie cyberbezpieczeństwa. Określa jasne obowiązki dla producentów produktów cyfrowych, w szczególności w odniesieniu do wdrażania projektowania z myślą o bezpieczeństwie. Aby otrzymać upragniony znak CE, przyszłe produkty muszą spełniać minimalne wymogi bezpieczeństwa. CRA odnosi się do podstawowych aspektów, takich jak ochrona dostępu, poufność, integralność i dostępność w całym procesie rozwoju. W tym artykule przyjrzymy się wyzwaniom i możliwościom, jakie CRA niesie dla producentów i rozważymy potencjalną rolę międzynarodowej normy IEC 62443 jako kluczowego gracza w tym kontekście.
Odkryj przyszłość cyberbezpieczeństwa dla produktów cyfrowych w rozporządzeniu o cyberodporności (CRA) – jasne wytyczne, wyższe standardy i pionierska strategia na rzecz bezpieczniejszej ery cyfrowej.
Rozporządzenie o cyberodporności (CRA) określa jasne wytyczne dla producentów produktów cyfrowych, którzy są teraz zobowiązani do realizacji strategii projektowania bezpieczeństwa. Aby otrzymać upragniony znak CE, produkty podlegające CRA muszą w przyszłości spełniać minimalne wymogi bezpieczeństwa. Tekst rozporządzenia kładzie duży nacisk na takie aspekty, jak ochrona dostępu, poufność, integralność i dostępność, które muszą być zintegrowane z całym procesem rozwoju. Ponadto CRA reguluje zarządzanie lukami w zabezpieczeniach i okres, w którym producenci są zobowiązani do dostarczania aktualizacji zabezpieczeń.
Celem CRA jest wzmocnienie zaufania do infrastruktury cyfrowej Unii Europejskiej i zwiększenie konkurencyjności europejskich przedsiębiorstw na poziomie globalnym. Rozporządzenie jako akt prawny UE nie wymaga wdrożenia na szczeblu krajowym i weszło w życie w całej Unii Europejskiej w dniu 10 grudnia 2024 r.
IEC 62443, jako międzynarodowa norma, odgrywa kluczową rolę, ponieważ obejmuje zarówno wymagany bezpieczny proces rozwoju, jak i wymagania techniczne dla produktów i systemów. Ze względu na tę zgodność, norma IEC 62443 może służyć jako obiecująca podstawa dla zharmonizowanego standardu CRA. Aby spełnić wymagania dotyczące zarządzania lukami w zabezpieczeniach, dla wszystkich produktów wymagany jest znormalizowany wykaz oprogramowania (SBOM). Ten kompleksowy przegląd wszystkich komponentów oprogramowania jest podstawą. Ponadto znane luki w zabezpieczeniach muszą być rejestrowane w formacie cyfrowym, np. przez Common Vulnerability Scoring System (CVSS).
Cyber Resilience Act (CRA) to rozporządzenie UE, które dotyczy wszystkich produktów z elementami cyfrowymi, które mają możliwości komunikacyjne. CRA obejmuje zarówno sprzęt, jak i oprogramowanie i opiera się na nowych ramach prawnych. Rozporządzenie określa wiążące wymagania, które muszą być spełnione przy wprowadzaniu produktów na rynek. Produkty zgodne z tymi zasadami są opatrzone znakiem CE.
I odwrotnie, oznacza to, że produkty niezgodne z przepisami nie mogą być już wprowadzane na rynek. Dostawca musi jednak również zaprzestać sprzedaży istniejących produktów, jeśli wymogi cyberbezpieczeństwa nie zostaną spełnione.
CRA określa jasne wymagania dotyczące bezpieczeństwa produktów, w tym ochrony dostępu, ochrony poufności, integralności, dostępności i bezpiecznego stanu fabrycznego. Aby zapewnić bezpieczny proces rozwoju, należy wziąć je pod uwagę przede wszystkim podczas projektowania, rozwoju i produkcji.
W ramach bezpiecznego procesu rozwoju producenci muszą aktywnie sprawdzać swoje produkty pod kątem luk w zabezpieczeniach i natychmiast je usuwać. Aktualizacja zabezpieczeń będzie dostarczana bezpłatnie i będzie obowiązywać przez okres pięciu lat. CRA wprowadza również dodatkowe obowiązki sprawozdawcze: producenci muszą niezwłocznie powiadomić Europejską Agencję Cyberbezpieczeństwa (ENISA), jeśli dowiedzą się o aktywnie wykorzystywanych lukach w zabezpieczeniach lub atakach na ich produkty, które mogłyby zagrozić bezpieczeństwu, np. poprzez manipulowanie obszarami pobierania.
Przed wprowadzeniem na rynek producent musi upewnić się, że jego produkt spełnia określone normy. Ocena opiera się na klasyfikacji produktu pod względem jego krytyczności. Wymaga to zgodności z normami europejskimi lub przeprowadzenia testów przez autoryzowaną instytucję. Szczególną uwagę poświęcono infrastrukturze krytycznej w przemyśle. W tym kontekście wymagane jest stosowanie zharmonizowanych norm i/lub współpraca z zatwierdzoną instytucją.
CRA umożliwia użytkownikom korzystanie z produktów, które spełniają wyższe standardy cyberbezpieczeństwa i stwarzają mniejsze ryzyko ze strony hakerów, luk w zabezpieczeniach lub innych zagrożeń. Takie produkty muszą posiadać oznakowanie CE, które stanowi potwierdzenie ich zgodności z nowymi wymogami.
Producenci są również zobowiązani do utrzymywania produktów przez cały cykl ich życia i oferowania automatycznych aktualizacji zabezpieczeń. Użytkownicy mogą zatem polegać na gwarancjach cyberbezpieczeństwa produktów z oznaczeniem CE.
Producenci stoją przed wyzwaniem zapewnienia bezpiecznego procesu rozwoju i wdrożenia kompleksowych środków bezpieczeństwa przed wprowadzeniem na rynek. Wiąże się to z dodatkowymi kosztami, które mogą wpływać na zasoby i czas produkcji. Nowe przepisy obiecują znaczne korzyści dla użytkowników końcowych, ponieważ podnoszą poziom bezpieczeństwa i znacznie minimalizują ryzyko w obszarze cyberbezpieczeństwa. Producenci muszą jednak stawić czoła wielu wyzwaniom, które pociągają za sobą dodatkowe koszty. Warto jednak podjąć te wyzwania, ponieważ naruszenia mogą prowadzić do żądania przez władze ulepszeń produktów lub ich wycofania z rynku oraz nałożenia kar w wysokości do 15 milionów euro lub 2,5% rocznego światowego obrotu.
Jest jednak nadzieja, ponieważ podstawowe wymagania zdefiniowane przez CRA są objęte procesem bezpiecznego rozwoju zgodnie z normą IEC 62443-4-1 oraz specyfikacjami funkcjonalnymi zgodnie z normą IEC 62443-4-2.Warto jest zatem wdrożyć normę IEC 62443.
Sygnał startowy został nadany. Teraz nadszedł czas, aby wdrożyć odpowiednie środki i wspólnie się przygotować. Rozporządzenie o odporności cybernetycznej (CRA) zostało opublikowane oficjalnie 10 grudnia 2024 r. Do 11 września 2026 r. wszystkie produkty muszą posiadać zgodny system zarządzania podatnościami. Od 11 grudnia 2027 r. wymagane jest pełne wdrożenie CRA, a wszystkie odpowiednie produkty muszą spełniać wymagania, aby uzyskać oznakowanie CE.
Nadszedł czas, aby podjąć działania w celu spełnienia nowych norm bezpieczeństwa i zapewnienia konkurencyjności.
Nasza kompleksowa koncepcja bezpieczeństwa 360°
W Phoenix Contact stawiamy na kompleksowe podejście do bezpieczeństwa 360°, które integruje bezpieczne produkty jako centralny element. Bezpieczne produkty są opracowywane zgodnie z normami IEC 62443-4-1, podczas gdy wymagania dotyczące funkcji bezpieczeństwa są spełnione zgodnie z normą IEC 62443-4-2. Za skuteczne usuwanie luk w zabezpieczeniach odpowiada zespół PSIRT (Product Security Incident Response Team).
Dzięki tej strategii Phoenix Contact jest dobrze przygotowany do spełnienia nowych wymogów prawnych. Oferujemy również naszym klientom bezpieczne rozwiązania aplikacyjne i usługi. Niezależna certyfikacja TÜV SÜD potwierdza zgodność z procesami cyberbezpieczeństwa zgodnie z normą IEC 62443.
