CRA устанавливает четкие требования к безопасности изделий, включая защиту доступа, конфиденциальность, целостность, доступность и безопасное состояние при поставке. Чтобы обеспечить безопасность процесса разработки, их необходимо учитывать, прежде всего, при проектировании, разработке и производстве.
Закон о киберустойчивости (CRA)
Закон о киберустойчивости (CRA) - это новаторская разработка в области кибербезопасности. Это устанавливает четкие обязательства для производителей цифровых изделий, особенно в отношении обеспечения интеграции безопасности при разработке. Чтобы получить заветный знак CE, будущие изделия должны соответствовать минимальным требованиям безопасности. В CRA рассматриваются такие важные аспекты, как защита доступа, конфиденциальность, целостность и доступность на протяжении всего процесса разработки. В этой статье рассматриваются проблемы и возможности, которые CRA открывает перед производителями, а также потенциальная роль международного стандарта МЭК 62443 как ключевого игрока в этом контексте.
Откройте для себя будущее кибербезопасности цифровых изделий в Законе о киберустойчивости (CRA) - четкие директивы, более высокие стандарты и новаторская стратегия для более безопасной цифровой эпохи.
Что такое CRA?
Закон о киберустойчивости (CRA) устанавливает четкие директивы для производителей цифровых изделий, которые теперь обязаны придерживаться интеграции в систему безопасности. Чтобы получить желанную маркировку CE, изделия, подлежащие CRA, должны соответствовать минимальным требованиям безопасности в будущем. В юридическом тексте большое внимание уделяется таким аспектам, как защита доступа, конфиденциальность, целостность и доступность, которые должны быть интегрированы в весь процесс разработки. Кроме того, CRA регулирует управление уязвимостями и сроки, в течение которых производители обязаны предоставлять обновления безопасности.
Цель CRA - укрепить доверие к цифровой инфраструктуре Европейского союза и повысить конкурентоспособность европейских компаний на мировом уровне. Будучи актом ЕС, он не требует применения на национальном уровне и, предположительно, вступит в силу на всей территории ЕС с 2024 года.
МЭК 62443, являясь международным стандартом, играет ключевую роль, поскольку он охватывает как необходимый процесс безопасной разработки, так и технические требования к изделиям и системам. Благодаря такому совпадению МЭК 62443 может послужить перспективной основой для гармонизированного стандарта CRA. Стандартизированная спецификация программного обеспечения (SBOM) необходима для всех изделий, чтобы соответствовать требованиям по управлению уязвимостями. Этот всеобъемлющий обзор всех компонентов программного обеспечения необходим. Кроме того, известные уязвимости должны быть зафиксированы в цифровом формате, например, с помощью Common Vulnerability Scoring System (CVSS).
Кого это касается?
Закон о киберустойчивости (CRA) - это закон ЕС, который затрагивает все изделия с цифровыми элементами, обладающие коммуникационными возможностями. CRA охватывает как аппаратное, так и программное обеспечение и основывается на Новой законодательной базе. Закон устанавливает обязательные требования, которые должны соблюдаться при выпуске изделий на рынок. Изделия, соответствующие этим правилам, отмечены знаком CE.
И наоборот, это означает, что изделия, не соответствующие требованиям, больше не могут быть представлены на рынке. Однако поставщик также должен прекратить продажу существующих изделий, если требования кибербезопасности не будут выполнены.
Что это значит для производителя?
В рамках процесса безопасной разработки производители должны активно проверять свои изделия на наличие уязвимостей и немедленно их устранять. Это обновление безопасности должно предоставляться бесплатно и должно действовать в течение пяти лет. CRA также вводит дополнительные обязательства по отчетности: Производители должны немедленно уведомить Европейское агентство по кибербезопасности (ENISA), если им станет известно об активно используемых уязвимостях или атаках на их изделия, которые могут подорвать безопасность, например, путем манипулирования областями загрузки.
Прежде чем выйти на рынок, производитель должен убедиться, что его изделие соответствует установленным стандартам. Оценка основана на классификации изделия с учетом его критичности. Для этого требуется соответствие европейским стандартам или проведение испытаний в уполномоченном учреждении. Особое внимание уделяется критическим инфраструктурам в промышленности. В этом контексте можно предусмотреть применение гармонизированных стандартов и/или сотрудничество с утвержденным учреждением.
Что это значит для пользователей?
CRA позволяет пользователям пользоваться изделиями, которые отвечают более высоким стандартам кибербезопасности и не подвержены риску со стороны хакеров, уязвимостей в системе безопасности и других опасностей. Такие изделия должны иметь маркировку СЕ, подтверждающую их соответствие новым требованиям.
Производители также обязаны поддерживать изделия на протяжении всего их жизненного цикла и предлагать автоматические обновления безопасности. Таким образом, пользователи могут рассчитывать на гарантии кибербезопасности изделий с маркировкой CE.
Кибербезопасность больше не вариант, а необходимость
Перед производителями стоит задача обеспечить безопасность процесса разработки и реализовать комплексные меры безопасности до выхода на рынок. Это сопровождается дополнительными расходами, которые могут повлиять на ресурсы и сроки производства. Новое законодательство сулит значительные выгоды конечным пользователям, поскольку повышает уровень безопасности и значительно минимизирует риски в области кибербезопасности. Однако производители сталкиваются с рядом проблем, которые влекут за собой дополнительные расходы. Однако стоит принять эти вызовы, поскольку нарушения могут привести к тому, что власти потребуют улучшения или отзыва продукции и наложат штрафы в размере до 15 миллионов евро или 2,5 % от годового мирового оборота.
Но надежда есть, поскольку основные требования, определенные CRA, охватываются процессом безопасной разработки в соответствии с МЭК 62443-4-1 и функциональными спецификациями в соответствии с МЭК 62443-4-2. Поэтому рекомендуется применять стандарт МЭК 62443.
В компании Phoenix Contact мы опираемся на комплексный подход 360° безопасности, который включает в себя безопасные изделия в качестве центрального элемента. Безопасные изделия разрабатываются в соответствии со стандартом МЭК 62443-4-1, а требования к функциям безопасности выполняются в соответствии с МЭК 62443-4-2. Команда PSIRT (Product Security Incident Response Team) отвечает за эффективное устранение уязвимостей.
Благодаря этой стратегии Phoenix Contact имеет все возможности для выполнения новых требований законодательства. Мы также предлагаем нашим клиентам решения и услуги в области безопасных приложений. Независимая сертификация TÜV SÜD подтверждает соответствие процессам кибербезопасности в соответствии с МЭК 62443.