Poglavlja 09 Na snazi: 11. prosinca 2027. (potpuno)

Zakon o kibernetičkoj otpornosti

Zakon o kibernetičkoj otpornosti

Pregled

Zakon o kibernetičkoj otpornosti (CRA) uvodi obvezne zahtjeve za kibernetičku sigurnost za hardverske i softverske proizvode s digitalnim elementima. Obuhvaća cijeli životni ciklus proizvoda od dizajna do kraja podrške i ima za cilj rješavanje širenja nesigurnih IoT i softverskih proizvoda.[1]

CRA se primjenjuje na proizvode stavljene na tržište EU bez obzira na mjesto proizvodnje.

Vremenski okvir primjene

DatumPrekretnica
10. prosinca 2024.CRA stupa na snagu
11. rujna 2026.Početak obveza izvještavanja
11. prosinca 2027.Potpuna primjena svih zahtjeva

Proizvodi u opsegu

Obuhvaćeni proizvodi

Proizvodi s digitalnim elementima koji:

  • Imaju izravnu ili neizravnu logičku ili fizičku vezu podataka s uređajem ili mrežom
  • Uključuju hardverske i softverske komponente

Kategorije

KategorijaZahtjeviPrimjeri
StandardnaSamoocjenaVećina softvera, osnovni IoT
Važna klasa IProcjena na temelju standardaPreglednici, upravitelji lozinki, VPN-ovi, upravljanje mrežom
Važna klasa IIProcjena treće straneOperativni sustavi, vatrozidi, usmjerivači, hipervizori
KritičnaProcjena treće strane + certifikacijaHardverski sigurnosni moduli, pametni brojila, pametne kartice

Izuzeci

  • Softver otvorenog koda (nekomercijalni razvoj)
  • SaaS (obuhvaćeno drugim propisima)
  • Proizvodi koji su već regulirani (medicinski uređaji, vozila, zrakoplovstvo)
  • Proizvodi za obranu i nacionalnu sigurnost

Osnovni zahtjevi za kibernetičku sigurnost[2]

Sigurnost po dizajnu

Proizvodi moraju biti dizajnirani i razvijeni tako da osiguraju:

  1. Primjerenu razinu sigurnosti: Temeljenu na predvidivim rizicima
  2. Nema poznatih iskoristivih ranjivosti: U trenutku stavljanja na tržište
  3. Sigurna zadana konfiguracija: Uključujući mogućnost vraćanja na tvorničke postavke
  4. Zaštitu povjerljivosti: Za pohranjene, prenesene i obrađene podatke
  5. Zaštitu integriteta: Protiv neovlaštenih izmjena
  6. Dostupnost: Otpornost na uskraćivanje usluge
  7. Minimalnu površinu napada: Smanjiti potencijalne vektore napada
  8. Ograničenje utjecaja incidenata: Minimizirati posljedice proboja

Autentikacija i kontrola pristupa

  • Jaki, jedinstveni zadani vjerodajnici ili postavljeni od strane korisnika pri prvom korištenju
  • Zaštita od napada grubom silom
  • Sigurni mehanizmi autentikacije

Zaštita podataka

  • Šifrirana pohrana osjetljivih podataka
  • Siguran prijenos podataka
  • Brisanje ili anonimizacija podataka kada više nisu potrebni

Zahtjevi za upravljanje ranjivostima[3]

Proizvođači moraju:

  1. Identificirati ranjivosti: Kroz testiranje i nadzor
  2. Dokumentirati komponente: Održavati popis softverskih komponenti (SBOM)
  3. Riješiti ranjivosti: Osigurati sigurnosna ažuriranja bez nepotrebnog odgađanja
  4. Otkrivati ranjivosti: Koordinirati s pogođenim stranama
  5. Sigurnosna ažuriranja: Besplatna ažuriranja tijekom definiranog razdoblja podrške (najmanje 5 godina)

Izvještavanje o ranjivostima

Od rujna 2026. proizvođači moraju izvještavati o:

Vrsta izvještajaRok
Aktivno iskorištena ranjivost24 sata ENISA-i
Incident s utjecajem na sigurnost24 sata ENISA-i/CSIRT-u
Obavijest o ranjivosti72 sata ENISA-i

Procjena sukladnosti

KategorijaPostupak
StandardnaSamoizjava ili EU-tip ispitivanje
Važna klasa IUsuglašeni standardi ILI procjena treće strane
Važna klasa IIProcjena sukladnosti treće strane
KritičnaEU-tip ispitivanje + osiguranje kvalitete proizvodnje

Proizvodi moraju imati CE oznaku koja potvrđuje usklađenost.

Kazne

  • Nepoštivanje: Do 15 milijuna € ili 2,5 % globalnog prometa
  • Kršenje osnovnih zahtjeva: Do 10 milijuna € ili 2 % prometa
  • Ostala kršenja: Do 5 milijuna € ili 1 % prometa[4]

Akcijski zadaci za programere

Za proizvođače softvera i hardvera:

  1. Inventarizacija proizvoda: Utvrditi koji su u opsegu i njihovu kategoriju
  2. Sigurnost po dizajnu: Integrirati sigurnost u razvojne procese
  3. Upravljanje ranjivostima: Uspostaviti postupke otkrivanja i upravljanja
  4. Izrada SBOM-a: Dokumentirati softverske komponente i ovisnosti
  5. Planiranje podrške: Definirati i komunicirati razdoblja podrške
  6. Mehanizmi ažuriranja: Izgraditi sigurne sustave za isporuku ažuriranja
  7. Priprema za sukladnost: Pripremiti tehničku dokumentaciju

Izvori i reference

[1]
Uredba (EU) 2024/2847 o zahtjevima za kibernetičku sigurnost proizvoda. EUR-Lex: Službeni tekst CRA
[2]
Dodatak I CRA: Osnovni zahtjevi za kibernetičku sigurnost. CRA Portal: Dodatak I
[3]
Dio II Dodatka I CRA: Zahtjevi za upravljanje ranjivostima. CRA Portal: Upravljanje ranjivostima
[4]
Članak 64 CRA: Kazne. CRA Portal: Kazne