Закон про кібербезпеку цифрових продуктів (CRA) — це визначний крок у сфері кібербезпеки. Він встановлює чіткі зобов'язання для виробників цифрових виробів, зокрема щодо впровадження стратегії безпеки за задумом. Для того щоб отримати бажаний знак CE, майбутні вироби мають відповідати мінімальним вимогам безпеки. CRA розглядає такі важливі аспекти, як захист доступу, конфіденційність, цілісність і доступність протягом усього процесу розробки. У цій статті розглядаються виклики та можливості, які несе в собі CRA для виробників, а також потенційна роль міжнародного стандарту IEC 62443 як ключового гравця в цьому контексті.
Дізнайтеся про перспективи кібербезпеки для цифрових виробів із Закону про кібербезпеку цифрових продуктів (CRA) — чіткі директиви, вищі стандарти та новаторська стратегія для більш безпечної цифрової епохи.
Закон про кібербезпеку цифрових виробів (CRA) встановлює чіткі правила для виробників цифрових виробів, які відтепер зобов'язані реалізовувати стратегію «безпека за задумом». Для того щоб отримати бажаний знак CE, вироби, що підпадають під дію CRA, мають відповідати в майбутньому мінімальним вимогам безпеки. У текст закону велику увагу приділено таким аспектам, як захист доступу, конфіденційність, цілісність і доступність, які мають бути інтегровані у весь процес розробки. Крім того, CRA регулює керування вразливостями та період часу, протягом якого виробники зобов'язані надавати оновлення безпеки.
Метою CRA є зміцнення довіри до цифрової інфраструктури Європейського Союзу та підвищення конкурентоспроможності європейських компаній на світовому рівні. Як закон ЄС він не вимагає імплементації на національному рівні й набув чинності на всій території ЄС 10 грудня 2024 року.
IEC 62443 як міжнародний стандарт відіграє ключову роль, оскільки він охоплює як необхідний безпечний процес розробки, так і технічні вимоги до виробів і систем. Завдяки цій відповідності стандарт IEC 62443 може слугувати перспективною основою для гармонізованого стандарту CRA. Для всіх виробів необхідний стандартизований список залежностей програмного забезпечення (SBOM), щоб відповідати вимогам щодо керування вразливостями. Цей всебічний огляд усіх компонентів програмного забезпечення вкрай важливий. Крім того, відомі вразливості мають бути зафіксовані в цифровому форматі, наприклад, за допомогою Загальної системи оцінки вразливостей (англ. Common Vulnerability Scoring System — CVSS).
Закон про кібербезпеку цифрових продуктів (CRA) — це закон ЄС, який впливає на всі вироби з цифровими елементами, що мають функції обміну даними. CRA охоплює як апаратне, так і програмне забезпечення й базується на новій законодавчій базі. Закон встановлює обов'язкові вимоги, яких необхідно дотримуватися під час виведення виробів на ринок. Вироби, які відповідають цим правилам, мають маркування CE.
З іншого боку, це означає, що вироби, які не відповідають вимогам, більше не можуть виводитися на ринок. Однак постачальник повинен також припинити продаж наявних виробів, якщо вимоги кібербезпеки не виконуються.
CRA встановлює чіткі вимоги до безпеки виробів, зокрема щодо захисту доступу, захисту конфіденційності, цілісності, доступності та безпечного стану постачання. Усі їх треба брати до уваги, перш за все, під час проєктування, розробки й виробництва, щоб гарантувати безпечний процес розробки.
В рамках безпечного процесу розробки виробники повинні активно перевіряти свої вироби на наявність вразливостей і негайно їх усувати. Таке оновлення безпеки буде надаватися безкоштовно й діятиме протягом п’яти років. CRA також запроваджує додаткові зобов'язання щодо звітності: виробники повинні негайно повідомляти Агентство ЄС із питань кібербезпеки (ENISA), якщо їм стає відомо про вразливості, які активно використовуються, або атаки на їхні вироби, які можуть поставити під загрозу безпеку, наприклад, шляхом маніпулювання областями завантаження.
Перед виходом на ринок виробник повинен переконатися, що його виріб відповідає встановленим стандартам. Оцінювання базується на класифікації виробу за ступенем його критичності. Це вимагає дотримання європейських стандартів або перевірки уповноваженою установою. Особлива увага приділяється критично важливим об'єктам інфраструктури у промисловості. У цьому контексті потрібне застосування гармонізованих стандартів та/або співпраця з уповноваженою установою.
CRA дає користувачам змогу використовувати переваги виробів, які відповідають вищим стандартам кібербезпеки і становлять менше ризиків через хакерів, вразливості системи безпеки та інші небезпеки. Такі вироби повинні мати СЕ-маркування, щоб показати їхню відповідність новим вимогам.
Виробники також зобов'язані підтримувати вироби протягом усього їхнього життєвого циклу та пропонувати автоматичні оновлення безпеки. Тому користувачі можуть покладатися на гарантії кібербезпеки виробів, маркованих знаком CE.
Виробники стикаються з проблемою забезпечення безпечного процесу розробки та впровадження комплексних заходів безпеки перед виходом на ринок. Це супроводжується додатковими витратами, які можуть вплинути на ресурси і тривалість виробництва. Нове законодавство обіцяє значні переваги для кінцевих користувачів, оскільки підвищує рівень безпеки й суттєво мінімізує ризики у сфері кібербезпеки. Проте виробники стикаються з низкою проблем, які тягнуть за собою додаткові витрати. Однак ці виклики варто прийняти, оскільки порушення можуть призвести до того, що органи влади вимагатимуть удосконалення продукції або її відкликання й накладатимуть штрафи в розмірі до 15 мільйонів євро або 2,5 % від річного світового обороту.
Але надія є, адже основні вимоги, визначені CRA, охоплюються безпечним процесом розробки відповідно до IEC 62443-4-1 і функціональними специфікаціями відповідно до IEC 62443-4-2. Тому рекомендується впровадження стандарту IEC 62443.
Стартовий сигнал подано. Зараз саме час вжити заходів і підготуватися разом. Закон про кібербезпеку цифрових продуктів (CRA) був офіційно опублікований 10 грудня 2024 року. До 11 вересня 2026 року всі вироби повинні мати відповідну систему управління вразливостями. З 11 грудня 2027 року необхідна повна імплементація CRA, а всі відповідні вироби мають відповідати вимогам для отримання маркування CE.
Настав час діяти, щоб відповідати новим стандартам безпеки й забезпечити конкурентоспроможність.
Наша комплексна концепція безпеки 360°
У Phoenix Contact ми покладаємося на комплексну концепцію безпеки 360°, центральним елементом якої є безпечні вироби. Розробка безпечних виробів здійснюється відповідно до стандартів IEC 62443-4-1, а вимоги до функцій безпеки виконуються згідно з IEC 62443-4-2. Команда PSIRT (англ. Product Security Incident Response Team — група реагування на інциденти, пов’язані з безпекою продукції) відповідає за ефективне усунення вразливостей.
Завдяки цій стратегії Phoenix Contact має всі можливості для того, щоб відповідати новим законодавчим вимогам. Ми також пропонуємо нашим клієнтам безпечні прикладні рішення та послуги. Незалежна сертифікація TÜV SÜD підтверджує відповідність процесів кібербезпеки вимогам стандарту IEC 62443.
