Κεφάλαια 09 Σε Ισχύ: 11 Δεκεμβρίου 2027 (πλήρης)

Νόμος για την Κυβερνοανθεκτικότητα

Νόμος για την Κυβερνοανθεκτικότητα

Επισκόπηση

Ο Νόμος για την Κυβερνοανθεκτικότητα (CRA) εισάγει υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για προϊόντα υλικού και λογισμικού με ψηφιακά στοιχεία. Καλύπτει ολόκληρο τον κύκλο ζωής του προϊόντος από το σχεδιασμό έως το τέλος της υποστήριξης και στοχεύει στην αντιμετώπιση της εξάπλωσης ανασφαλών προϊόντων IoT και λογισμικού.[1]

Ο CRA εφαρμόζεται σε προϊόντα που διατίθενται στην αγορά της ΕΕ ανεξαρτήτως του τόπου κατασκευής τους.

Χρονοδιάγραμμα Εφαρμογής

ΗμερομηνίαΟρόσημο
10 Δεκεμβρίου 2024Εφαρμογή του CRA
11 Σεπτεμβρίου 2026Έναρξη υποχρεώσεων αναφοράς
11 Δεκεμβρίου 2027Πλήρης εφαρμογή όλων των απαιτήσεων

Προϊόντα στο Πεδίο Εφαρμογής

Καλυπτόμενα Προϊόντα

Προϊόντα με ψηφιακά στοιχεία που:

  • Έχουν άμεση ή έμμεση λογική ή φυσική σύνδεση δεδομένων με συσκευή ή δίκτυο
  • Περιλαμβάνουν στοιχεία υλικού και λογισμικού

Κατηγορίες

ΚατηγορίαΑπαιτήσειςΠαραδείγματα
ΠροεπιλογήΑυτοαξιολόγησηΤα περισσότερα λογισμικά, βασικό IoT
Σημαντική Κατηγορία IΑξιολόγηση βάσει προτύπωνΠεριηγητές, διαχειριστές κωδικών, VPN, διαχείριση δικτύου
Σημαντική Κατηγορία IIΑξιολόγηση από τρίτουςΛειτουργικά συστήματα, τείχη προστασίας, δρομολογητές, υπερ-ελεγκτές
ΚρίσιμηΑξιολόγηση από τρίτους + πιστοποίησηΜονάδες ασφάλειας υλικού, έξυπνοι μετρητές, έξυπνες κάρτες

Εξαιρέσεις

  • Λογισμικό ανοιχτού κώδικα (μη εμπορική ανάπτυξη)
  • SaaS (καλυπτόμενο από άλλους κανονισμούς)
  • Προϊόντα που ήδη ρυθμίζονται (ιατρικές συσκευές, οχήματα, αεροπορία)
  • Προϊόντα άμυνας και εθνικής ασφάλειας

Βασικές Απαιτήσεις Κυβερνοασφάλειας[2]

Ασφάλεια από το Σχεδιασμό

Τα προϊόντα πρέπει να σχεδιάζονται και να αναπτύσσονται ώστε να εξασφαλίζουν:

  1. Κατάλληλο επίπεδο ασφάλειας: Βάσει προβλεπόμενων κινδύνων
  2. Μη γνωστές εκμεταλλεύσιμες ευπάθειες: Κατά την τοποθέτηση στην αγορά
  3. Ασφαλής προεπιλεγμένη διαμόρφωση: Συμπεριλαμβανομένης της δυνατότητας επαναφοράς εργοστασιακών ρυθμίσεων
  4. Προστασία εμπιστευτικότητας: Για αποθηκευμένα, μεταδιδόμενα και επεξεργαζόμενα δεδομένα
  5. Προστασία ακεραιότητας: Ενάντια σε μη εξουσιοδοτημένες τροποποιήσεις
  6. Διαθεσιμότητα: Ανθεκτικότητα σε άρνηση υπηρεσίας
  7. Ελάχιστη επιφάνεια επίθεσης: Μείωση πιθανών διαδρομών επίθεσης
  8. Περιορισμός επιπτώσεων περιστατικών: Ελαχιστοποίηση συνεπειών παραβίασης

Πιστοποίηση και Έλεγχος Πρόσβασης

  • Ισχυρά, μοναδικά προεπιλεγμένα διαπιστευτήρια ή ορισμένα από τον χρήστη κατά την πρώτη χρήση
  • Προστασία ενάντια σε επιθέσεις βίαιης προσπάθειας
  • Ασφαλείς μηχανισμοί πιστοποίησης

Προστασία Δεδομένων

  • Κρυπτογραφημένη αποθήκευση ευαίσθητων δεδομένων
  • Ασφαλής μετάδοση δεδομένων
  • Διαγραφή ή ανωνυμοποίηση δεδομένων όταν δεν απαιτούνται πλέον

Απαιτήσεις Διαχείρισης Ευπαθειών[3]

Οι κατασκευαστές πρέπει να:

  1. Εντοπίζουν ευπάθειες: Μέσω δοκιμών και παρακολούθησης
  2. Τεκμηριώνουν τα στοιχεία: Διατηρούν κατάλογο υλικού λογισμικού (SBOM)
  3. Αντιμετωπίζουν ευπάθειες: Παρέχουν ενημερώσεις ασφαλείας χωρίς αδικαιολόγητη καθυστέρηση
  4. Αποκαλύπτουν ευπάθειες: Συντονίζονται με τα εμπλεκόμενα μέρη
  5. Ενημερώσεις ασφαλείας: Δωρεάν ενημερώσεις για ορισμένη περίοδο υποστήριξης (τουλάχιστον 5 χρόνια)

Αναφορά Ευπαθειών

Από τον Σεπτέμβριο του 2026, οι κατασκευαστές πρέπει να αναφέρουν:

Τύπος ΑναφοράςΧρονοδιάγραμμα
Ενεργά εκμεταλλευόμενη ευπάθεια24 ώρες στην ENISA
Περιστατικό με επίπτωση στην ασφάλεια24 ώρες στην ENISA/CSIRT
Ειδοποίηση ευπάθειας72 ώρες στην ENISA

Αξιολόγηση Συμμόρφωσης

ΚατηγορίαΔιαδικασία
ΠροεπιλογήΑυτοδήλωση ή εξέταση τύπου ΕΕ
Σημαντική Κατηγορία IΕναρμονισμένα πρότυπα Ή αξιολόγηση από τρίτους
Σημαντική Κατηγορία IIΑξιολόγηση συμμόρφωσης από τρίτους
ΚρίσιμηΕξέταση τύπου ΕΕ + διασφάλιση ποιότητας παραγωγής

Τα προϊόντα πρέπει να φέρουν σήμανση CE που επιβεβαιώνει τη συμμόρφωση.

Ποινές

  • Μη συμμόρφωση: Έως 15 εκατομμύρια € ή 2,5% του παγκόσμιου κύκλου εργασιών
  • Παραβίαση βασικών απαιτήσεων: Έως 10 εκατομμύρια € ή 2% του κύκλου εργασιών
  • Άλλες παραβάσεις: Έως 5 εκατομμύρια € ή 1% του κύκλου εργασιών[4]

Ενέργειες για τους Προγραμματιστές

Για κατασκευαστές λογισμικού και υλικού:

  1. Καταγραφή προϊόντων: Προσδιορίστε ποια εμπίπτουν στο πεδίο και την κατηγορία τους
  2. Ασφάλεια από το σχεδιασμό: Ενσωματώστε την ασφάλεια στις διαδικασίες ανάπτυξης
  3. Διαχείριση ευπαθειών: Καθιερώστε διαδικασίες ανίχνευσης και αντιμετώπισης
  4. Δημιουργία SBOM: Τεκμηριώστε τα στοιχεία λογισμικού και τις εξαρτήσεις
  5. Σχεδιασμός υποστήριξης: Ορίστε και επικοινωνήστε τις περιόδους υποστήριξης
  6. Μηχανισμοί ενημερώσεων: Δημιουργήστε ασφαλή συστήματα παράδοσης ενημερώσεων
  7. Προετοιμασία συμμόρφωσης: Ετοιμάστε τεχνική τεκμηρίωση

Πηγές & Αναφορές

[1]
Κανονισμός (ΕΕ) 2024/2847 για απαιτήσεις κυβερνοασφάλειας προϊόντων. EUR-Lex: Επίσημο Κείμενο CRA
[2]
ΠΑΡΑΡΤΗΜΑ I CRA: Βασικές απαιτήσεις κυβερνοασφάλειας. Πύλη CRA: Παράρτημα I
[3]
ΠΑΡΑΡΤΗΜΑ I Μέρος II CRA: Απαιτήσεις διαχείρισης ευπαθειών. Πύλη CRA: Διαχείριση Ευπαθειών
[4]
Άρθρο 64 CRA: Ποινές. Πύλη CRA: Ποινές