Legea privind reziliența cibernetică (Cyber Resilience Act) este o inițiativă importantă în domeniul securității cibernetice. Aceasta stabilește obligații clare pentru producătorii de produse digitale, în special în ceea ce privește punerea în aplicare a securității prin proiectare (concept de „Security-by-Design”). Pentru a obține renumitul marcaj CE, produsele realizate vor trebui să respecte cerințe minime de securitate. CRA abordează aspecte esențiale precum protecția accesului, confidențialitatea, integritatea și disponibilitatea pe parcursul întregului proces de dezvoltare. În continuare vom analiza provocările și oportunitățile pe care CRA le aduce pentru producători și examina rolul standardului internațional IEC 62443 în acest context.
Descoperă viitorul securității cibernetice pentru produsele digitale prin Legea privind reziliența cibernetică (CRA) – cerințe clare, standarde mai ridicate și o strategie inovatoare pentru o eră digitală mai sigură.
Legea privind reziliența cibernetică (CRA) stabilește cerințe clare pentru producătorii de produse digitale, care sunt acum obligați să urmeze o strategie de securitate încă din faza de proiectare. Pentru a primi renumitul marcaj CE, produsele care fac obiectul CRA trebuie să îndeplinească în viitor cerințe minime de siguranță. Textul legislativ pune un accent deosebit pe aspecte precum protecția accesului, confidențialitatea, integritatea și disponibilitatea, care trebuie integrate în întregul proces de dezvoltare. În plus, CRA reglementează gestionarea vulnerabilităților și perioada de timp în care producătorii sunt obligați să furnizeze actualizări de securitate.
Scopul CRA este de a consolida încrederea în infrastructura digitală a Uniunii Europene și de a crește competitivitatea companiilor europene la nivel global. Fiind o lege UE, aceasta nu necesită punere în aplicare la nivel național și a intrat în vigoare pe întreg teritoriul UE la 10 decembrie 2024.
IEC 62443, în calitate de standard internațional, joacă un rol esențial, deoarece acoperă atât procesul de dezvoltare în condițiile de siguranță necesare, cât și cerințele tehnice pentru produse și sisteme. Datorită acestei corespondențe, IEC 62443 ar putea servi drept bază promițătoare pentru o normă armonizată a CRA. Pentru a îndeplini cerințele privind gestionarea vulnerabilităților, este necesar un Software Bill of Material (SBOM) standardizat pentru toate produsele. Acest inventar cuprinzător al tuturor componentelor software este esențial. În plus, vulnerabilitățile cunoscute trebuie înregistrate în format digital, de exemplu, prin Common Vulnerability Scoring System (CVSS).
Legea privind reziliența cibernetică (CRA) este o lege a UE care afectează toate produsele cu elemente digitale care au capacități de comunicație. CRA acoperă atât hardware, cât și software și se bazează pe noul cadru legislativ. Legea oferă specificații obligatorii care trebuie respectate la introducerea pe piață a produselor. Produsele care respectă aceste norme poartă marcajul CE.
În schimb, acest lucru înseamnă că produsele neconforme nu mai pot fi introduse pe piață. De asemenea, furnizorul trebuie să înceteze să mai vândă produsele existente în cazul în care cerințele de securitate cibernetică nu sunt îndeplinite.
CRA stabilește cerințe clare de securitate pentru produse, inclusiv protecția accesului, protecția confidențialității, integritatea, disponibilitatea și starea sigură la livrare. Pentru a asigura un proces de dezvoltare în condiții de siguranță, acestea trebuie luate în considerare mai ales în timpul proiectării, dezvoltării și producției.
Ca parte a procesului sigur de dezvoltare, producătorii trebuie să verifice în mod activ dacă produsele lor prezintă vulnerabilități și să le corecteze imediat. Această actualizare de securitate va fi oferită gratuit și va acoperi o perioadă de cinci ani. De asemenea, CRA presupune obligații suplimentare de raportare: producătorii trebuie să notifice imediat Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) în cazul în care iau cunoștință de vulnerabilități exploatate în mod activ sau de atacuri asupra produselor lor care ar putea compromite securitatea, de exemplu, prin manipularea zonelor de descărcare.
Înainte de a intra pe piață, producătorul trebuie să se asigure că produsul său este conform cu standardele prescrise. Evaluarea se bazează pe clasificarea produsului în funcție de caracterul său critic. Acest lucru necesită respectarea standardelor europene sau testarea de către o instituție autorizată. O atenție deosebită este acordată infrastructurilor de importanță critică din industrie. În acest context, este necesară aplicarea unor standarde armonizate și/sau cooperarea cu o instituție autorizată.
CRA permite utilizatorilor să beneficieze de produse care îndeplinesc standarde mai înalte de securitate cibernetică și prezintă mai puține riscuri din partea hackerilor, lacune de securitate sau alte pericole. Astfel de produse trebuie să poarte marcajul CE pentru a demonstra conformitatea lor cu noile cerințe.
De asemenea, producătorii sunt obligați să întrețină produsele pe tot parcursul ciclului de viață și să ofere actualizări automate de securitate. Prin urmare, utilizatorii pot avea încredere în garanțiile de securitate cibernetică ale produselor cu marcaj CE.
Producătorii se confruntă cu provocarea de a asigura un proces de dezvoltare sigur și de a implementa măsuri de securitate complete înainte de lansarea pe piață. Acest lucru este însoțit de costuri suplimentare care pot afecta resursele și timpii de producție. Noua legislație promite avantaje considerabile pentru utilizatorii finali, deoarece ridică nivelul de securitate și minimizează semnificativ riscurile în domeniul securității cibernetice. Totuși, producătorii se confruntă cu o serie de provocări care presupun costuri suplimentare. Cu toate acestea, merită să îți asumi aceste provocări, deoarece încălcările pot determina autoritățile să ceară îmbunătățirea sau retragerea produselor și să aplice amenzi de până la 15 milioane de euro sau 2,5 % din cifra de afaceri anuală globală.
Dar există o speranță, deoarece cerințele de bază, așa cum sunt definite de CRA, sunt acoperite de procesul de dezvoltare sigură în conformitate cu IEC 62443-4-1 și de specificațiile funcționale în conformitate cu IEC 62443-4-2. Prin urmare, se recomandă punerea în aplicare a standardului IEC 62443.
Semnalul de start a fost dat. Acum este momentul să punem în aplicare măsuri și să ne pregătim împreună. Legea privind reziliența cibernetică (CRA) a fost publicată oficial la 10 decembrie 2024. Până pe 11 septembrie 2026, toate produsele trebuie să aibă un sistem de gestionare a vulnerabilităților conform. Începând cu 11 decembrie 2027, este necesară implementarea completă a CRA, iar toate produsele relevante trebuie să îndeplinească cerințele pentru a obține marcajul CE.
Acum este momentul să acționezi pentru a îndeplini noile standarde de siguranță și pentru a asigura competitivitatea.
Conceptul nostru complet de securitate 360°
La Phoenix Contact, ne bazăm pe o abordare cuprinzătoare a securității 360°, care integrează produse sigure ca element central. Dezvoltarea produselor sigure se realizează în conformitate cu standardul IEC 62443-4-1, pe când cerințele pentru funcțiile de securitate sunt îndeplinite în conformitate cu IEC 62443-4-2. Echipa PSIRT (Product Security Incident Response Team) este responsabilă pentru gestionarea eficientă a vulnerabilităților.
Datorită acestei strategii, Phoenix Contact se află într-o poziție bună pentru a îndeplini noile cerințe legale. De asemenea, oferim clienților noștri soluții pentru aplicații și servicii sigure. Certificarea independentă de către TÜV SÜD confirmă respectarea proceselor de securitate cibernetică în conformitate cu IEC 62443.
