Siber Dayanıklılık Yasası (CRA), siber güvenlik alanında çığır açan bir gelişmedir. Özellikle güvenlik öncelikli tasarımın uygulanması konusunda dijital ürün üreticileri için net yükümlülükler tanımlar. Arzu edilen CE işaretini alabilmek için gelecekteki ürünlerin asgari güvenlik gerekliliklerini karşılaması zorunludur. CRA, tüm geliştirme süreci boyunca erişim koruması, gizlilik, bütünlük ve kullanılabilirlik gibi temel hususları ele alır. Bu makale, CRA'nın üreticiler için ortaya koyduğu zorluk ve fırsatları incelemekte ve bu bağlamda önemli bir oyuncu olarak IEC 62443 uluslararası standardının olası rolünü ele almaktadır.
Siber Dayanıklılık Yasası'nda (CRA) dijital ürünler için siber güvenliğin geleceğini keşfedin – daha güvenli bir dijital çağ için açık ve anlaşılır direktifler, daha yüksek standartlar ve çığır açan bir strateji.
Siber Dayanıklılık Yasası (CRA), artık tasarım yoluyla güvenlik stratejisi izlemesi gereken dijital ürün üreticileri için açık direktifler belirlemektedir. Arzu edilen CE işaretini alabilmek için, CRA'ya tabi olan ürünlerin gelecekte asgari güvenlik gerekliliklerini karşılaması gerekmektedir. Yasal metin, tüm geliştirme sürecine entegre edilmesi gereken erişim koruması, gizlilik, bütünlük ve kullanılabilirlik gibi hususlara özellikle vurgu yapmaktadır. Ayrıca CRA, güvenlik açığı yönetiminin yanı sıra üreticilerin güvenlik güncellemeleri sağlaması gereken süreyi de kontrol eder.
CRA'nın amacı Avrupa Birliği'nin dijital altyapısına olan güveni güçlendirmek ve Avrupalı şirketlerin küresel düzeyde rekabet gücünü artırmaktır. Bir AB Yasası olması nedeniyle ulusal bir uygulama gerektirmemekte olup, 10 Aralık 2024 tarihinde AB genelinde yürürlüğe girmiştir.
Bir uluslararası standart olarak IEC 62443, hem istenen güvenli geliştirme sürecini hem de ürün ve sistemlere yönelik teknik gereksinimleri kapsaması nedeniyle kilit bir rol oynamaktadır. Bu geniş kapsam nedeniyle IEC 62443, uyumlaştırılmış bir CRA standardı için umut verici bir temel oluşturabilir. Güvenlik yönetimi gereksinimlerini karşılamak amacıyla tüm ürünler için standartlaştırılmış bir yazılım malzeme listesi (SBOM) gereklidir. Tüm yazılım bileşenlerine ilişkin bu kapsamlı genel bakış çok önemlidir. İlave olarak, bilinen güvenlik açıkları, örneğin Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) tarafından dijital formatta kaydedilmelidir.
Siber Dayanıklılık Yasası (CRA), haberleşme yetenekleri olan dijital öğelere sahip tüm ürünleri etkileyen bir AB yasasıdır. CRA hem donanımı hem de yazılımı kapsar ve Yeni Yasal Çerçeveyi temel alır. Yasa, ürünleri piyasaya sürerken karşılanması gereken bağlayıcı şartları düzenlemektedir. Bu kuralları karşılayan ürünler CE işareti taşır.
Diğer taraftan bu, uygun olmayan ürünlerin piyasaya sürülmesine izin verilmediği anlamına gelir. Ayrıca tedarikçinin, siber güvenlik gerekliliklerini karşılamayan mevcut ürünleri piyasadan çekmesi gerekiyor.
CRA; erişim koruması, gizliliğin korunması, bütünlük, kullanılabilirlik ve hatta güvenli teslimat durumu dahil olmak üzere ürünler için açık güvenlik gereksinimleri şart koşar. Güvenli bir geliştirme süreci sağlamak için tasarım, geliştirme ve üretim sırasında bu hususların her şeyden önce dikkate alınması gerekir.
Güvenli geliştirme sürecinin bir parçası olarak, üreticiler ürünlerini güvenlik açıklarına karşı aktif olarak incelemeli ve bunları derhal düzeltmelidir. Güvenlik güncellemeleri ücretsiz olarak sağlanmalı ve beş yıllık bir süreyi kapsamalıdır. CRA ayrıca ek raporlama yükümlülükleri de getirmektedir: Üreticiler, aktif olarak istismar edilen güvenlik açıklarından veya ürünlerine yönelik, örneğin indirme alanlarının manipülasyonu yoluyla güvenliği tehlikeye atabilecek saldırılardan haberdar olurlarsa, derhal Avrupa Birliği Siber Güvenlik Ajansı'nı (ENISA) bilgilendirmek zorundadır.
Üretici, pazara sürmeden önce ürününün öngörülen standartlara uygunluğundan emin olmalıdır. Değerlendirme, ürünün kritiklik açısından sınıflandırılmasına dayanır. Bu, Avrupa standartlarına uygunluk veya yetkili bir kurum tarafından test gerektirir. Burada ana odak noktası endüstrideki kritik altyapılardır. Bu bağlamda, uyumlaştırılmış standartların uygulanması ve/veya onaylı bir kuruluşla işbirliği yapılması gerekmektedir.
CRA, kullanıcıların daha yüksek siber güvenlik standartlarını karşılayan ve bilgisayar korsanları, güvenlik açıkları veya diğer tehditler nedeniyle daha az risk oluşturan ürünlerden yararlanmasına olanak tanır. Bu tür ürünler yeni gerekliliklere uygunluğunu gösteren CE işaretine sahip olmalıdır.
Üreticilerin ayrıca ürünleri tüm yaşam döngüleri boyunca korumaları ve otomatik güvenlik güncellemeleri sağlamaları gerekmektedir. Kullanıcılar bu nedenle CE işaretli ürünlerin siber güvenlik garantilerine güvenebilirler.
Üreticiler, güvenli bir geliştirme süreci sağlama ve pazar lansmanından önce kapsamlı güvenlik önlemlerini uygulama zorluğuyla karşı karşıyadır. Bu, kaynakları ve üretim sürelerini etkileyebilecek ek çabalar gerektirir. Yeni mevzuat, güvenlik düzeyini yükseltmesi ve siber güvenlik risklerini önemli ölçüde azaltması nedeniyle son kullanıcılara önemli avantajlar vaat etmektedir. Ancak üreticiler ek çaba gerektiren bazı zorluklarla karşı karşıyadır. Buna rağmen bu zorluklarla yüzleşmeye değer, çünkü uyumsuzluk, yetkililerin ürün iyileştirmeleri veya geri çağırma talep etmesine ve 15 milyon Avro veya küresel yıllık gelirin %2,5'ine kadar para cezaları uygulamasına yol açabilir.
Ancak umut var, çünkü CRA tarafından tanımlandığı şekliyle temel gereksinimler, IEC 62443-4-1 uyarınca güvenli geliştirme sürecinin yanı sıra IEC 62443-4-2 uyarınca işlevsel spesifikasyonlar kapsamındadır. Bu nedenle IEC 62443 standardının uygulanması tavsiye edilir.
Başlama işareti verildi. Şimdi önlemleri belirleme ve birlikte hazırlanma zamanı. Siber Dayanıklılık Yasası (CRA) resen 10 Aralık 2024 tarihinde yayımlandı. Tüm ürünler 11 Eylül 2026 tarihine kadar uyumlu bir güvenlik açığı yönetim sistemine sahip olmalıdır. CRA'nın tam olarak uygulanması 11 Aralık 2027'den itibaren gerekli hale gelecek ve CE işareti alabilmek için ilgili tüm ürünlerin gereklilikleri karşılaması gerekecek.
Yeni güvenlik standartlarını karşılamak ve rekabetçiliği sağlamak için harekete geçme zamanı geldi.
Çok amaçlı 360° güvenlik konseptimiz
Phoenix Contact olarak biz, güvenli ürünleri merkezi bir unsur olarak entegre eden kapsamlı 360° güvenlik yaklaşımını benimsiyoruz. Güvenli ürünler IEC 62443-4-1 standartlarına uygun olarak geliştirilmekte ve aynı zamanda IEC 62443-4-2'ye göre güvenlik fonksiyonlarına ilişkin gereksinimleri de karşılamaktadır. Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), güvenlik açıklarının etkili şekilde ele alınmasından sorumludur.
Bu strateji, Phoenix Contact'ın yeni yasal gereklilikleri karşılamak için iyi bir konuma sahip olduğu anlamına geliyor. İlave olarak, müşterilerimize güvenli uygulama çözümleri ve hizmetleri sunuyoruz. TÜV SÜD tarafından verilen bağımsız sertifika, IEC 62443 uyarınca siber güvenlik süreçlerine uygunluğumuzu göstermektedir.
