Nodaļas 09 Stājies spēkā: 2027. gada 11. decembris (pilnībā)

Kibernoturības likums

Kibernoturības likums

Pārskats

Kibernoturības likums (CRA) ievieš obligātas kiberdrošības prasības aparatūras un programmatūras produktiem ar digitālām sastāvdaļām. Tas aptver visu produkta dzīves ciklu no izstrādes līdz atbalsta beigām un mērķē uz nedrošu IoT un programmatūras produktu izplatības risināšanu.[1]

CRA attiecas uz produktiem, kas tiek laisti tirgū ES, neatkarīgi no to ražošanas vietas.

Izpildes grafiks

DatumsNotikums
2024. gada 10. decembrisCRA stājas spēkā
2026. gada 11. septembrisSākas ziņošanas pienākumi
2027. gada 11. decembrisVisu prasību pilnīga piemērošana

Produkti, uz kuriem attiecas

Segtie produkti

Produkti ar digitālām sastāvdaļām, kas:

  • Ir tieša vai netieša loģiska vai fiziska datu savienojuma ar ierīci vai tīklu
  • Ietver aparatūras un programmatūras komponentes

Kategorijas

KategorijaPrasībasPiemēri
StandartaPašnovērtējumsLielākā daļa programmatūras, pamata IoT
Svarīga I klaseStandartu novērtējumsPārlūkprogrammas, paroļu pārvaldnieki, VPN, tīkla pārvaldība
Svarīga II klaseTrešās puses novērtējumsOperētājsistēmas, ugunsmūri, maršrutētāji, hipervizori
KritiskaTrešās puses novērtējums + sertifikācijaAparatūras drošības moduļi, viedskaitītāji, viedkartes

Atbrīvojumi

  • Atvērtā koda programmatūra (nekomerciāla izstrāde)
  • SaaS (aptver citas regulas)
  • Jau regulēti produkti (medicīnas ierīces, transportlīdzekļi, aviācija)
  • Aizsardzības un nacionālās drošības produkti

Galvenās kiberdrošības prasības[2]

Drošība pēc dizaina

Produkti jāizstrādā un jāizstrādā tā, lai nodrošinātu:

  1. Atbilstošs drošības līmenis: Balstīts uz paredzamajiem riskiem
  2. Nav zināmu izmantojamu ievainojamību: Tirgū izlaišanas brīdī
  3. Droša noklusējuma konfigurācija: Ieskaitot rūpnīcas atiestatīšanas iespēju
  4. Konfidencialitātes aizsardzība: Glabātiem, pārraidītiem un apstrādātiem datiem
  5. Integritātes aizsardzība: Pret nesankcionētām izmaiņām
  6. Pieejamība: Noturība pret pakalpojuma atteices uzbrukumiem
  7. Minimāla uzbrukuma virsma: Samazināt potenciālos uzbrukuma vektorus
  8. Incidentu ietekmes ierobežošana: Samazināt pārkāpuma sekas

Autentifikācija un piekļuves kontrole

  • Stipras, unikālas noklusējuma akreditācijas vai lietotāja iestatītas pirmajā lietošanā
  • Aizsardzība pret brutālas spēka uzbrukumiem
  • Droši autentifikācijas mehānismi

Datu aizsardzība

  • Šifrēta glabāšana sensitīviem datiem
  • Droša datu pārraide
  • Datu dzēšana vai anonimizēšana, kad tie vairs nav nepieciešami

Ievainojamību apstrādes prasības[3]

Ražotājiem jāveic:

  1. Ievainojamību identificēšana: Ar testēšanu un uzraudzību
  2. Komponentu dokumentēšana: Uzturēt programmatūras materiālu sarakstu (SBOM)
  3. Ievainojamību novēršana: Nodrošināt drošības atjauninājumus bez nepamatotas kavēšanās
  4. Ievainojamību atklāšana: Sadarboties ar skartajām pusēm
  5. Drošības atjauninājumi: Bezmaksas atjauninājumi definētā atbalsta periodā (vismaz 5 gadi)

Ievainojamību ziņošana

No 2026. gada septembra ražotājiem jāziņo:

Ziņojuma veidsTermiņš
Aktīvi izmantota ievainojamība24 stundas ENISA
Drošības ietekmes incidents24 stundas ENISA/CSIRT
Ievainojamības paziņojums72 stundas ENISA

Atbilstības novērtējums

KategorijaProcedūra
StandartaPašdeklarācija vai ES tipa pārbaude
Svarīga I klaseSaskaņoti standarti VAI trešās puses novērtējums
Svarīga II klaseTrešās puses atbilstības novērtējums
KritiskaES tipa pārbaude + ražošanas kvalitātes nodrošināšana

Produktam jābūt ar CE marķējumu, kas apliecina atbilstību.

Sodi

  • Neatbilstība: Līdz 15 miljoniem € vai 2,5% no globālā apgrozījuma
  • Galveno prasību pārkāpums: Līdz 10 miljoniem € vai 2% no apgrozījuma
  • Citi pārkāpumi: Līdz 5 miljoniem € vai 1% no apgrozījuma[4]

Izstrādātāja darbības

Programmatūras un aparatūras ražotājiem:

  1. Produktu inventarizācija: Noteikt, kuri ir attiecināmi un to kategoriju
  2. Drošība pēc dizaina: Iekļaut drošību izstrādes procesos
  3. Ievainojamību pārvaldība: Izveidot noteikumus to atklāšanai un apstrādei
  4. SBOM izveide: Dokumentēt programmatūras komponentes un atkarības
  5. Atbalsta plānošana: Definēt un paziņot atbalsta periodus
  6. Atjauninājumu mehānismi: Izveidot drošas atjauninājumu piegādes sistēmas
  7. Atbilstības sagatavošana: Sagatavot tehnisko dokumentāciju

Avoti un atsauces

[1]
Regula (ES) 2024/2847 par kiberdrošības prasībām produktiem. EUR-Lex: CRA oficiālais teksts
[2]
CRA I pielikums: Galvenās kiberdrošības prasības. CRA portāls: I pielikums
[3]
CRA I pielikuma II daļa: Ievainojamību apstrādes prasības. CRA portāls: Ievainojamību apstrāde
[4]
CRA 64. pants: Sodi. CRA portāls: Sodi