Kapitoli 09 Effettiv: 11 ta’ Diċembru, 2027 (sħiħ)

Att dwar ir-Reżiljenza Ċibernetika

Att dwar ir-Reżiljenza Ċibernetika

Ħarsa Ġenerali

Att dwar ir-Reżiljenza Ċibernetika (CRA) jintroduċi rekwiżiti obbligatorji ta’ sigurtà ċibernetika għal prodotti ta’ hardware u software b’elementi diġitali. Jkopri l-ħajja kollha tal-prodott mill-ħolqien sa tmiem is-support u għandu l-għan li jindirizza l-proliferazzjoni ta’ prodotti IoT u software mhux sikuri.[1]

Il-CRA japplika għal prodotti mdaħħla fis-suq tal-UE irrispettivament minn fejn huma manifatturati.

Ħin ta’ Applikazzjoni

DataPassi Ewlenin
10 ta’ Diċembru, 2024Il-CRA jidħol fis-seħħ
11 ta’ Settembru, 2026Jibdew l-obbligi ta’ rapportar
11 ta’ Diċembru, 2027Applikazzjoni sħiħa ta’ kull rekwiżit

Prodotti fil-Qasam

Prodotti Koperti

Prodotti b’elementi diġitali li:

  • Għandhom konnessjoni diretta jew indiretta, loġika jew fiżika, ma’ apparat jew netwerk
  • Jinkludu komponenti ta’ hardware u software

Kategoriji

KategorijaRekwiżitiEżempji
DefaultAwvalutazzjoni personaliĦafna software, IoT bażiku
Klasse I ImportantiAwvalutazzjoni bbażata fuq standardsBrowsers, maniġers ta’ passwords, VPNs, ġestjoni tan-netwerk
Klasse II ImportantiAwvalutazzjoni minn parti terzaSistemi operattivi, firewalls, routers, hypervisors
KritikuAwvalutazzjoni minn parti terza + ċertifikazzjoniModuli ta’ sigurtà tal-hardware, metri intelliġenti, karti intelliġenti

Eżenzjonijiet

  • Software open source (żvilupp mhux kummerċjali)
  • SaaS (kopert taħt regolamenti oħra)
  • Prodotti diġà regolati (apparat mediku, vetturi, avjazzjoni)
  • Prodotti ta’ difiża u sigurtà nazzjonali

Rekwiżiti Essenzjali ta’ Sigurtà Ċibernetika[2]

Sigurtà bbażata fuq id-Disinn

Il-prodotti għandhom jiġu ddisinjati u żviluppati biex jiżguraw:

  1. Livell ta’ sigurtà xieraq: Ibbażat fuq ir-riskji prevedibbli
  2. L-ebda vulnerabbiltajiet magħrufa li jistgħu jintużaw: Fil-ħin tal-pożizzjonament fis-suq
  3. Konfigurazzjoni sikura default: Inkluża l-abbiltà ta’ reset tal-fabbrika
  4. Protezzjoni tal-kunfidenzjalità: Għall-informazzjoni maħżuna, trasmessa u pproċessata
  5. Protezzjoni tal-integrità: Kontra modifika mhux awtorizzata
  6. Disponibbiltà: Reżiljenti kontra denial of service
  7. Minimizzazzjoni tal-wiċċ ta’ attakk: Tnaqqis tal-vetturi potenzjali ta’ attakk
  8. Limitazzjoni tal-impatt ta’ inċident: Minimizza l-konsegwenzi ta’ ksur

Awtentikazzjoni u Kontroll tal-Aċċess

  • Ċredenzjali default b’saħħithom u uniċi jew stabbiliti mill-utent fl-użu għall-ewwel darba
  • Protezzjoni kontra attakki brute force
  • Mezzi ta’ awtentikazzjoni sikuri

Protezzjoni tad-Data

  • Ħażna enkritta għal data sensittiva
  • Trasmissjoni sikura tad-data
  • Ħassar jew anonimizza d-data meta ma tkunx meħtieġa aktar

Rekwiżiti dwar il-Ħidma mal-Vulnerabbiltajiet[3]

Il-manifatturi għandhom:

  1. Jidentifikaw il-vulnerabbiltajiet: Permezz ta’ testijiet u monitoraġġ
  2. Jiddokumentaw il-komponenti: Żomm bill of materials tas-software (SBOM)
  3. Jindirizzaw il-vulnerabbiltajiet: Jipprovdu aġġornamenti ta’ sigurtà mingħajr dewmien eċċessiv
  4. Jiddikjaraw il-vulnerabbiltajiet: Jikkordinaw ma’ partijiet affettwati
  5. Aġġornamenti ta’ sigurtà: Aġġornamenti b’xejn għal perjodu ta’ appoġġ definit (minimu 5 snin)

Rapportar ta’ Vulnerabbiltajiet

Mill-Settembru 2026, il-manifatturi għandhom jirrapportaw:

Tip ta’ RapportĦin
Vulnerabbiltà attivament sfruttata24 siegħa lil ENISA
Inċident b’impatt ta’ sigurtà24 siegħa lil ENISA/CSIRT
Notifika ta’ vulnerabbiltà72 siegħa lil ENISA

Valutazzjoni tal-Konformità

KategorijaProċedura
DefaultDikjarazzjoni personali jew eżami ta’ tip UE
Klasse I ImportantiStandards armonizzati JEW awvalutazzjoni minn parti terza
Klasse II ImportantiAwvalutazzjoni ta’ konformità minn parti terza
KritikuEżami ta’ tip UE + assigurazzjoni tal-kwalità tal-produzzjoni

Il-prodotti għandhom juru marka CE li tikkonferma l-konformità.

Penalitajiet

  • Nuqqas ta’ konformità: Sa €15 miljun jew 2.5% tal-fatturat globali
  • Ksur tar-rekwiżiti essenzjali: Sa €10 miljun jew 2% tal-fatturat
  • Oħrajn: Sa €5 miljun jew 1% tal-fatturat[4]

Oġġetti ta’ Azzjoni għall-Iżviluppaturi

Għal manifatturi ta’ software u hardware:

  1. Inventarju tal-prodotti: Iddetermina liema huma fil-qasam u l-kategorija tagħhom
  2. Sigurtà bbażata fuq id-disinn: Integra s-sigurtà fil-proċessi ta’ żvilupp
  3. Ġestjoni tal-vulnerabbiltajiet: Stabbilixxi proċeduri ta’ skoperta u ħidma
  4. Ħolqien ta’ SBOM: Id-dokumentazzjoni tal-komponenti u d-dipendenzi tas-software
  5. Pjanar tas-support: Definixxi u kkomunika l-perjodi ta’ appoġġ
  6. Mezzi ta’ aġġornament: Ibbena sistemi sikuri ta’ distribuzzjoni ta’ aġġornamenti
  7. Preparazzjoni għall-konformità: Ipprepara d-dokumentazzjoni teknika

Sorsi u Referenzi

[1]
Regolament (UE) 2024/2847 dwar rekwiżiti ta’ sigurtà ċibernetika għal prodotti. EUR-Lex: Test Uffiċjali tal-CRA
[2]
Anness I tal-CRA: Rekwiżiti essenzjali ta’ sigurtà ċibernetika. Portal tal-CRA: Anness I
[3]
Anness I Parti II tal-CRA: Rekwiżiti dwar il-ħidma mal-vulnerabbiltajiet. Portal tal-CRA: Ħidma mal-Vulnerabbiltajiet
[4]
Artikolu 64 tal-CRA: Penalitajiet. Portal tal-CRA: Penalitajiet