Küberresilientsuse seadus
Küberresilientsuse seadus
Ülevaade
Küberresilientsuse seadus (CRA) kehtestab kohustuslikud küberturvalisuse nõuded riist- ja tarkvaratoodetele, millel on digitaalsed elemendid. See hõlmab kogu toote elutsüklit alates disainist kuni toe lõppemiseni ning eesmärk on lahendada ebaturvaliste IoT ja tarkvaratoodete levikut.[1]
CRA kehtib EL turule paigutatud toodetele sõltumata nende tootmiskohast.
Rakendamise ajakava
| Kuupäev | Sündmus |
|---|---|
| 10. detsember 2024 | CRA jõustub |
| 11. september 2026 | Algavad aruandluskohustused |
| 11. detsember 2027 | Kõigi nõuete täielik rakendamine |
Kohaldamisala tooted
Kaetud tooted
Tooted, millel on digitaalsed elemendid ja mis:
- Omavad otsest või kaudset loogilist või füüsilist andmeühendust seadme või võrguga
- Hõlmavad riist- ja tarkvarakomponente
Kategooriad
| Kategooria | Nõuded | Näited |
|---|---|---|
| Vaikimisi | Enesehindamine | Enamik tarkvara, põhiline IoT |
| Tähtis I klass | Standardipõhine hindamine | Brauserid, paroolihaldurid, VPN-id, võrguhaldus |
| Tähtis II klass | Kolmanda osapoole hindamine | Operatsioonisüsteemid, tulemüürid, ruuterid, hüperviisorid |
| Kriitiline | Kolmanda osapoole hindamine + sertifitseerimine | Riistvara turvamoodulid, nutikad arvestid, nutikaardid |
Erandid
- Avatud lähtekoodiga tarkvara (mittekaupmeeline arendus)
- SaaS (kaetud teiste määrustega)
- Tooted, mida juba reguleeritakse (meditsiiniseadmed, sõidukid, lennundus)
- Kaitse- ja riigikaitsetooted
Olulised küberturvalisuse nõuded[2]
Turvalisus disainist lähtudes
Tooted peavad olema disainitud ja arendatud nii, et tagada:
- Asjakohane turvalisuse tase: Põhinedes ette näha olevatel riskidel
- Puuduvad teadaolevad ärakasutatavad haavatavused: Turuletoomise ajal
- Turvaline vaikekonfiguratsioon: Kaasa arvatud tehase lähtestamise võimalus
- Konfidentsiaalsuse kaitse: Salvestatud, edastatud ja töödeldud andmete puhul
- Terviklikkuse kaitse: Volitamata muutmise vastu
- Saadavus: Vastupidav teenuse keelamisele
- Minimaalne ründepind: Vähendada võimalikke ründevektoreid
- Intsidendi mõju piiramine: Minimeerida rikkumise tagajärgi
Autentimine ja juurdepääsukontroll
- Tugevad, unikaalsed vaikekasutajatunnused või kasutaja määratud esimesel kasutamisel
- Kaitse jõurünnakute vastu
- Turvalised autentimismehhanismid
Andmekaitse
- Tundlike andmete krüpteeritud salvestus
- Turvaline andmeedastus
- Andmete kustutamine või anonümiseerimine, kui neid enam ei vajata
Haavatavuste käsitlemise nõuded[3]
Tootjad peavad:
- Tuvastama haavatavused: Testimise ja jälgimise kaudu
- Dokumenteerima komponendid: Hooldama tarkvara koostisosade nimekirja (SBOM)
- Käsitlema haavatavusi: Pakkuma turvauuendusi ilma põhjendamatute viivitusteta
- Avalikustama haavatavused: Koordineerima mõjutatud osapooltega
- Turvauuendused: Tasuta uuendused määratletud toe perioodi jooksul (vähemalt 5 aastat)
Haavatavuste aruandlus
Alates 2026. aasta septembrist peavad tootjad teatama:
| Aruande tüüp | Ajakava |
|---|---|
| Aktiivselt ekspluateeritud haavatavus | 24 tundi ENISA-le |
| Turvalisust mõjutav intsident | 24 tundi ENISA/CSIRT-ile |
| Haavatavuse teavitus | 72 tundi ENISA-le |
Vastavushindamine
| Kategooria | Protseduur |
|---|---|
| Vaikimisi | Eneseväljendus või EL tüübi kontroll |
| Tähtis I klass | Harmoniseeritud standardid VÕI kolmanda osapoole hindamine |
| Tähtis II klass | Kolmanda osapoole vastavushindamine |
| Kriitiline | EL tüübi kontroll + tootmise kvaliteedi tagamine |
Tooted peavad kandma CE-märgistust, mis kinnitab vastavust.
Karistused
- Vastavuse puudumine: Kuni 15 miljonit eurot või 2,5% ülemaailmsest käibest
- Oluliste nõuete rikkumine: Kuni 10 miljonit eurot või 2% käibest
- Muud rikkumised: Kuni 5 miljonit eurot või 1% käibest[4]
Arendaja tegevused
Tarkvara ja riistvara tootjatele:
- Toodete inventuur: Määrake, millised on kohaldamisalasse kuuluvad ja nende kategooria
- Turvalisus disainist lähtudes: Integreerige turvalisus arendusprotsessidesse
- Haavatavuste haldamine: Looge avastamise ja käsitlemise protseduurid
- SBOM-i loomine: Dokumenteerige tarkvarakomponendid ja sõltuvused
- Toe planeerimine: Määratlege ja suhtlege toe perioodid
- Uuenduste mehhanismid: Looge turvalised uuenduste edastamise süsteemid
- Vastavuse ettevalmistus: Valmistage ette tehniline dokumentatsioon
Allikad ja viited
[1]
Määrus (EL) 2024/2847 toodete küberturvalisuse nõuete kohta. EUR-Lex: CRA ametlik tekst
[2]
CRA lisa I: Olulised küberturvalisuse nõuded. CRA portaal: Lisa I
[3]
CRA lisa I II osa: Haavatavuste käsitlemise nõuded. CRA portaal: Haavatavuste käsitlemine
[4]
CRA artikkel 64: Karistused. CRA portaal: Karistused