Skyriai 09 Įsigaliojęs: 2027 m. gruodžio 11 d. (pilnas taikymas)

Kibernetinio atsparumo įstatymas

Kibernetinio atsparumo įstatymas

Apžvalga

Kibernetinio atsparumo įstatymas (CRA) įveda privalomus kibernetinio saugumo reikalavimus aparatūros ir programinės įrangos produktams su skaitmeniniais elementais. Jis apima visą produkto gyvavimo ciklą nuo projektavimo iki palaikymo pabaigos ir siekia spręsti nesaugių daiktų interneto (IoT) ir programinės įrangos produktų plitimą.[1]

CRA taikomas produktams, pateikiamiems ES rinkoje, nepriklausomai nuo jų gamybos vietos.

Taikymo laiko grafikas

DataĮvykis
2024 m. gruodžio 10 d.CRA įsigaliojimas
2026 m. rugsėjo 11 d.Pradeda galioti ataskaitų teikimo prievolės
2027 m. gruodžio 11 d.Visų reikalavimų pilnas taikymas

Produktai, kuriems taikoma

Apimami produktai

Produktai su skaitmeniniais elementais, kurie:

  • Turi tiesioginį arba netiesioginį loginį ar fizinį duomenų ryšį su įrenginiu ar tinklu
  • Apima aparatūros ir programinės įrangos komponentus

Kategorijos

KategorijaReikalavimaiPavyzdžiai
NumatytojiSavarankiškas vertinimasDauguma programinės įrangos, pagrindinis IoT
Svarbi I klasėVertinimas pagal standartusNaršyklės, slaptažodžių tvarkyklės, VPN, tinklo valdymas
Svarbi II klasėTrečiųjų šalių vertinimasOperacinės sistemos, ugniasienės, maršrutizatoriai, hipervizoriai
KritinėTrečiųjų šalių vertinimas + sertifikavimasAparatūros saugumo moduliai, išmanieji skaitikliai, išmaniosios kortelės

Atleidimai

  • Atvirojo kodo programinė įranga (nekomercinis vystymas)
  • SaaS (apimta kitų reglamentų)
  • Produktai, jau reguliuojami (medicinos prietaisai, transporto priemonės, aviacija)
  • Gynybos ir nacionalinio saugumo produktai

Esminiai kibernetinio saugumo reikalavimai[2]

Saugumas pagal dizainą

Produktai turi būti sukurti ir išvystyti taip, kad užtikrintų:

  1. Tinkamą saugumo lygį: Remiantis numatomomis rizikomis
  2. Nėra žinomų išnaudojamų pažeidžiamumų: Rinkai pateikiant
  3. Saugi numatytoji konfigūracija: Įskaitant gamyklinį atstatymą
  4. Konfidencialumo apsauga: Saugojamų, perduodamų ir apdorojamų duomenų
  5. Integralumo apsauga: Nuo neteisėtos modifikacijos
  6. Prieinamumas: Atsparumas paslaugos atmetimui
  7. Minimalus atakos paviršius: Sumažinti galimus atakos vektorius
  8. Incidentų poveikio ribojimas: Sumažinti pažeidimų pasekmes

Autentifikacija ir prieigos kontrolė

  • Stiprūs, unikalūs numatytieji prisijungimo duomenys arba vartotojo nustatyti pirmojo naudojimo metu
  • Apsauga nuo bruteforce atakų
  • Saugios autentifikacijos priemonės

Duomenų apsauga

  • Užšifruotas jautrių duomenų saugojimas
  • Saugus duomenų perdavimas
  • Duomenų ištrynimas arba anonimizavimas, kai jų nebereikia

Pažeidžiamumų tvarkymo reikalavimai[3]

Gamintojai privalo:

  1. Nustatyti pažeidžiamumus: Atliekant testavimą ir stebėjimą
  2. Dokumentuoti komponentus: Palaikyti programinės įrangos medžiagų sąrašą (SBOM)
  3. Spręsti pažeidžiamumus: Teikti saugumo atnaujinimus be nepagrįsto delsimo
  4. Atskleisti pažeidžiamumus: Koordinuoti su suinteresuotomis šalimis
  5. Saugumo atnaujinimai: Nemokami atnaujinimai apibrėžtą palaikymo laikotarpį (ne mažiau kaip 5 metai)

Pažeidžiamumų ataskaitų teikimas

Nuo 2026 m. rugsėjo gamintojai privalo teikti ataskaitas:

Ataskaitos tipasLaiko riba
Aktyviai išnaudojamas pažeidžiamumas24 valandos ENISA
Incidentas su saugumo poveikiu24 valandos ENISA/CSIRT
Pažeidžiamumo pranešimas72 valandos ENISA

Atitikties vertinimas

KategorijaProcedūra
NumatytojiSavarankiška deklaracija arba ES tipo tyrimas
Svarbi I klasėHarmonizuoti standartai ARBA trečiųjų šalių vertinimas
Svarbi II klasėTrečiųjų šalių atitikties vertinimas
KritinėES tipo tyrimas + gamybos kokybės užtikrinimas

Produktai privalo turėti CE ženklinimą, patvirtinantį atitiktį.

Baudos

  • Nesilaikymas: Iki 15 mln. EUR arba 2,5 % pasaulinio apyvartos
  • Esminių reikalavimų pažeidimas: Iki 10 mln. EUR arba 2 % apyvartos
  • Kiti pažeidimai: Iki 5 mln. EUR arba 1 % apyvartos[4]

Vystymo veiksmų sąrašas

Programinės įrangos ir aparatūros gamintojams:

  1. Inventorizuoti produktus: Nustatyti, kurie yra taikymo srityje ir jų kategoriją
  2. Saugumas pagal dizainą: Integruoti saugumą į vystymo procesus
  3. Pažeidžiamumų valdymas: Įdiegti aptikimo ir tvarkymo procedūras
  4. SBOM kūrimas: Dokumentuoti programinės įrangos komponentus ir priklausomybes
  5. Palaikymo planavimas: Apibrėžti ir komunikuoti palaikymo laikotarpius
  6. Atnaujinimų mechanizmai: Sukurti saugius atnaujinimų pristatymo sprendimus
  7. Atitikties paruošimas: Paruošti techninę dokumentaciją

Šaltiniai ir nuorodos

[1]
Reglamentas (ES) 2024/2847 dėl kibernetinio saugumo reikalavimų produktams. EUR-Lex: CRA oficialus tekstas
[2]
CRA I priedas: Esminiai kibernetinio saugumo reikalavimai. CRA portalas: I priedas
[3]
CRA I priedo II dalis: Pažeidžiamumų tvarkymo reikalavimai. CRA portalas: Pažeidžiamumų tvarkymas
[4]
CRA 64 straipsnis: Baudos. CRA portalas: Baudos