Fejezetek 09 Hatályos: 2027. december 11. (teljes)

Kiberellenállósági törvény

Kiberellenállósági törvény

Áttekintés

A Kiberellenállósági törvény (CRA) kötelező kiberbiztonsági követelményeket vezet be digitális elemeket tartalmazó hardver- és szoftvertermékekre. A termék teljes életciklusát lefedi a tervezéstől a támogatás végéig, és célja az elterjedt nem biztonságos IoT és szoftvertermékek problémájának kezelése.[1]

A CRA az EU piacán forgalomba hozott termékekre vonatkozik, függetlenül attól, hogy hol gyártották őket.

Alkalmazási ütemterv

DátumMérföldkő
2024. december 10.A CRA hatályba lép
2026. szeptember 11.Jelentési kötelezettségek kezdete
2027. december 11.Minden követelmény teljes alkalmazása

Hatály alá tartozó termékek

Fedezett termékek

Digitális elemeket tartalmazó termékek, amelyek:

  • Közvetlen vagy közvetett logikai vagy fizikai adatkapcsolattal rendelkeznek egy eszközhöz vagy hálózathoz
  • Hardver- és szoftverkomponenseket tartalmaznak

Kategóriák

KategóriaKövetelményekPéldák
AlapértelmezettÖnértékelésLegtöbb szoftver, alap IoT
Fontos I. osztálySzabványokon alapuló értékelésBöngészők, jelszókezelők, VPN-ek, hálózatkezelés
Fontos II. osztályHarmadik fél általi értékelésOperációs rendszerek, tűzfalak, routerek, hipervizorok
KritikusHarmadik fél általi értékelés + tanúsításHardverbiztonsági modulok, okosmérők, okoskártyák

Kivételek

  • Nyílt forráskódú szoftver (nem kereskedelmi fejlesztés)
  • SaaS (más szabályozások alá tartozik)
  • Már szabályozott termékek (orvosi eszközök, járművek, repülés)
  • Védelmi és nemzetbiztonsági termékek

Alapvető kiberbiztonsági követelmények[2]

Biztonság tervezés során

A termékeket úgy kell tervezni és fejleszteni, hogy biztosítsák:

  1. Megfelelő biztonsági szint: Előrelátható kockázatok alapján
  2. Nincsenek ismert kihasználható sebezhetőségek: A piacra helyezés időpontjában
  3. Biztonságos alapértelmezett beállítás: Beleértve a gyári visszaállítási lehetőséget
  4. Adatvédelmi védelem: Tárolt, továbbított és feldolgozott adatokra
  5. Integritásvédelem: Jogosulatlan módosítás ellen
  6. Elérhetőség: Ellenáll a szolgáltatásmegtagadásos támadásoknak
  7. Minimális támadási felület: Csökkentse a potenciális támadási pontokat
  8. Incidens hatásának korlátozása: Minimalizálja a biztonsági esemény következményeit

Hitelesítés és hozzáférés-vezérlés

  • Erős, egyedi alapértelmezett hitelesítő adatok vagy felhasználó által beállított első használatkor
  • Védelem a brute force támadások ellen
  • Biztonságos hitelesítési mechanizmusok

Adatvédelem

  • Érzékeny adatok titkosított tárolása
  • Biztonságos adatátvitel
  • Adatok törlése vagy anonimizálása, ha már nincs rájuk szükség

Sebezhetőségkezelési követelmények[3]

A gyártóknak:

  1. Azonosítaniuk kell a sebezhetőségeket: Teszteléssel és megfigyeléssel
  2. Dokumentálniuk kell az összetevőket: Szoftverösszetevő lista (SBOM) vezetése
  3. Kezeletniük kell a sebezhetőségeket: Biztonsági frissítések biztosítása haladéktalanul
  4. Közzé kell tenniük a sebezhetőségeket: Együttműködés az érintettekkel
  5. Biztonsági frissítések: Ingyenes frissítések a meghatározott támogatási időszak alatt (minimum 5 év)

Sebezhetőség-jelentés

2026 szeptemberétől a gyártóknak jelenteniük kell:

Jelentés típusaHatáridő
Aktívan kihasznált sebezhetőség24 óra az ENISA felé
Biztonsági hatású incidens24 óra az ENISA/CSIRT felé
Sebezhetőség értesítés72 óra az ENISA felé

Megfelelőség értékelés

KategóriaEljárás
AlapértelmezettÖnbevallás vagy EU-típusvizsgálat
Fontos I. osztályHarmonizált szabványok VAGY harmadik fél általi értékelés
Fontos II. osztályHarmadik fél általi megfelelőségértékelés
KritikusEU-típusvizsgálat + gyártási minőségbiztosítás

A termékeken CE jelölést kell feltüntetni, amely igazolja a megfelelést.

Büntetések

  • Meg nem felelés: Akár 15 millió euró vagy a globális árbevétel 2,5%-a
  • Alapvető követelmények megsértése: Akár 10 millió euró vagy az árbevétel 2%-a
  • Egyéb jogsértések: Akár 5 millió euró vagy az árbevétel 1%-a[4]

Fejlesztői teendők

Szoftver- és hardvergyártók számára:

  1. Termékek leltározása: Meghatározni, melyek tartoznak a hatály alá és mely kategóriába
  2. Biztonság tervezés során: Integrálni a biztonságot a fejlesztési folyamatokba
  3. Sebezhetőségkezelés: Felismerési és kezelési eljárások kialakítása
  4. SBOM készítése: Dokumentálni a szoftverkomponenseket és függőségeket
  5. Támogatási tervezés: Meghatározni és kommunikálni a támogatási időszakokat
  6. Frissítési mechanizmusok: Biztonságos frissítéskézbesítési rendszerek kiépítése
  7. Megfelelőség előkészítése: Műszaki dokumentáció előkészítése

Források és hivatkozások

[1]
2024/2847/EU rendelet a termékek kiberbiztonsági követelményeiről. EUR-Lex: CRA hivatalos szöveg
[2]
CRA I. melléklet: Alapvető kiberbiztonsági követelmények. CRA portál: I. melléklet
[3]
CRA I. melléklet II. rész: Sebezhetőségkezelési követelmények. CRA portál: Sebezhetőségkezelés
[4]
CRA 64. cikk: Büntetések. CRA portál: Büntetések