Глави 09 Влязъл в сила: 11 декември 2027 г. (пълен)

Закон за киберустойчивост

Закон за киберустойчивост

Преглед

Законът за киберустойчивост (CRA) въвежда задължителни изисквания за киберсигурност за хардуерни и софтуерни продукти с цифрови елементи. Той обхваща целия жизнен цикъл на продукта от проектиране до край на поддръжката и цели да се справи с разпространението на несигурни IoT и софтуерни продукти.[1]

CRA се прилага за продукти, пуснати на пазара на ЕС, независимо къде са произведени.

График на прилагане

ДатаЕтап
10 декември 2024 г.CRA влиза в сила
11 септември 2026 г.Започват задължения за докладване
11 декември 2027 г.Пълно прилагане на всички изисквания

Продукти в обхвата

Обхванати продукти

Продукти с цифрови елементи, които:

  • Имат директна или индиректна логическа или физическа връзка с устройство или мрежа
  • Включват хардуерни и софтуерни компоненти

Категории

КатегорияИзискванияПримери
По подразбиранеСамооценкаПовечето софтуер, базов IoT
Важен клас IОценка на базата на стандартиБраузъри, мениджъри на пароли, VPN, управление на мрежи
Важен клас IIОценка от трета странаОперационни системи, защитни стени, рутери, хипервайзори
КритиченОценка от трета страна + сертифициранеХардуерни модули за сигурност, интелигентни измервателни уреди, смарт карти

Изключения

  • Отворен код софтуер (некомерсиална разработка)
  • SaaS (покрит от други регулации)
  • Продукти, вече регулирани (медицински устройства, превозни средства, авиация)
  • Продукти за отбрана и национална сигурност

Основни изисквания за киберсигурност[2]

Сигурност по дизайн

Продуктите трябва да бъдат проектирани и разработени така, че да осигурят:

  1. Подходящо ниво на сигурност: Въз основа на предвидими рискове
  2. Без известни експлоатирани уязвимости: Към момента на пускане на пазара
  3. Сигурна конфигурация по подразбиране: Включително възможност за фабрично нулиране
  4. Защита на поверителността: За съхранявани, предавани и обработвани данни
  5. Защита на целостта: Срещу неоторизирана промяна
  6. Наличност: Устойчивост срещу отказ на услуга
  7. Минимална повърхност за атака: Намаляване на потенциалните вектори на атака
  8. Ограничаване на въздействието при инциденти: Минимизиране на последствията от нарушения

Аутентикация и контрол на достъпа

  • Силни, уникални първоначални идентификационни данни или зададени от потребителя при първа употреба
  • Защита срещу атаки с груба сила
  • Сигурни механизми за аутентикация

Защита на данните

  • Криптиран сторидж за чувствителни данни
  • Сигурна предаване на данни
  • Изтриване или анонимизиране на данни, когато вече не са необходими

Изисквания за обработка на уязвимости[3]

Производителите трябва да:

  1. Идентифицират уязвимости: Чрез тестване и наблюдение
  2. Документират компоненти: Поддържат списък на софтуерните компоненти (SBOM)
  3. Отстраняват уязвимости: Осигуряват актуализации за сигурност без неоправдано забавяне
  4. Разкриват уязвимости: Координират се с засегнатите страни
  5. Актуализации за сигурност: Безплатни актуализации за определен период на поддръжка (минимум 5 години)

Докладване на уязвимости

От септември 2026 г. производителите трябва да докладват:

Тип докладСрок
Активно експлоатирана уязвимост24 часа до ENISA
Инцидент с въздействие върху сигурността24 часа до ENISA/CSIRT
Уведомление за уязвимост72 часа до ENISA

Оценка на съответствието

КатегорияПроцедура
По подразбиранеСамодекларация или преглед по тип ЕС
Важен клас IХармонизирани стандарти ИЛИ оценка от трета страна
Важен клас IIОценка на съответствието от трета страна
КритиченПреглед по тип ЕС + осигуряване на качество на производството

Продуктите трябва да носят маркировка CE, потвърждаваща съответствието.

Наказания

  • Несъответствие: До 15 милиона евро или 2,5% от световния оборот
  • Нарушение на основните изисквания: До 10 милиона евро или 2% от оборота
  • Други нарушения: До 5 милиона евро или 1% от оборота[4]

Действия за разработчиците

За производители на софтуер и хардуер:

  1. Инвентаризация на продуктите: Определете кои са в обхвата и тяхната категория
  2. Сигурност по дизайн: Интегрирайте сигурността в процесите на разработка
  3. Управление на уязвимости: Създайте процедури за откриване и обработка
  4. Създаване на SBOM: Документирайте софтуерните компоненти и зависимости
  5. Планиране на поддръжката: Определете и комуникирайте периодите на поддръжка
  6. Механизми за актуализация: Изградете сигурни системи за доставка на актуализации
  7. Подготовка за съответствие: Подгответе техническа документация

Източници и препратки

[1]
Регламент (ЕС) 2024/2847 относно изискванията за киберсигурност за продукти. EUR-Lex: Официален текст на CRA
[2]
Приложение I на CRA: Основни изисквания за киберсигурност. Портал CRA: Приложение I
[3]
Приложение I Част II на CRA: Изисквания за обработка на уязвимости. Портал CRA: Обработка на уязвимости
[4]
Член 64 на CRA: Наказания. Портал CRA: Наказания