Capitole 09 În vigoare: 11 decembrie 2027 (complet)

Legea Rezilienței Cibernetice

Legea Rezilienței Cibernetice

Prezentare generală

Legea Rezilienței Cibernetice (CRA) introduce cerințe obligatorii de securitate cibernetică pentru produse hardware și software cu elemente digitale. Aceasta acoperă întregul ciclu de viață al produsului, de la proiectare până la sfârșitul suportului și are ca scop abordarea proliferării produselor IoT și software nesigure.[1]

CRA se aplică produselor puse pe piața UE, indiferent de locul în care sunt fabricate.

Calendarul aplicării

DataEtapă
10 decembrie 2024Intrarea în vigoare a CRA
11 septembrie 2026Începerea obligațiilor de raportare
11 decembrie 2027Aplicarea completă a tuturor cerințelor

Produse vizate

Produse acoperite

Produse cu elemente digitale care:

  • Au o conexiune logică sau fizică directă sau indirectă la un dispozitiv sau rețea
  • Include componente hardware și software

Categorii

CategoriaCerințeExemple
ImplicităAutoevaluareMajoritatea software-urilor, IoT de bază
Important Clasa IEchivalare bazată pe standardeBrowsere, manageri de parole, VPN-uri, management rețea
Important Clasa IIEchivalare de către terțiSisteme de operare, firewall-uri, routere, hipervizoare
CriticEchivalare de către terți + certificareModule hardware de securitate, contoare inteligente, carduri inteligente

Excepții

  • Software open source (dezvoltare non-comercială)
  • SaaS (acoperit de alte reglementări)
  • Produse deja reglementate (dispozitive medicale, vehicule, aviație)
  • Produse pentru apărare și securitate națională

Cerințe esențiale de securitate cibernetică[2]

Securitate prin proiectare

Produsele trebuie proiectate și dezvoltate pentru a asigura:

  1. Nivel adecvat de securitate: Bazat pe riscuri previzibile
  2. Fără vulnerabilități cunoscute exploatabile: La momentul punerii pe piață
  3. Configurare implicită sigură: Inclusiv capacitatea de resetare la setările din fabrică
  4. Protecția confidențialității: Pentru datele stocate, transmise și procesate
  5. Protecția integrității: Împotriva modificărilor neautorizate
  6. Disponibilitate: Reziliență împotriva atacurilor de tip denial of service
  7. Suprafață minimă de atac: Reducerea vectorilor potențiali de atac
  8. Limitarea impactului incidentelor: Minimizarea consecințelor breșelor

Autentificare și controlul accesului

  • Credențiale implicite puternice și unice sau setate de utilizator la prima utilizare
  • Protecție împotriva atacurilor brute force
  • Mecanisme de autentificare sigure

Protecția datelor

  • Stocare criptată pentru date sensibile
  • Transmitere securizată a datelor
  • Ștergerea sau anonimizarea datelor când nu mai sunt necesare

Cerințe privind gestionarea vulnerabilităților[3]

Producătorii trebuie să:

  1. Identifice vulnerabilitățile: Prin testare și monitorizare
  2. Documenteze componentele: Menținerea listei de materiale software (SBOM)
  3. Abordeze vulnerabilitățile: Oferirea de actualizări de securitate fără întârzieri nejustificate
  4. Dezvăluie vulnerabilitățile: Coordonare cu părțile afectate
  5. Actualizări de securitate: Actualizări gratuite pentru perioada definită de suport (minimum 5 ani)

Raportarea vulnerabilităților

Din septembrie 2026, producătorii trebuie să raporteze:

Tip raportTermen
Vulnerabilitate exploatată activ24 de ore către ENISA
Incident cu impact asupra securității24 de ore către ENISA/CSIRT
Notificare vulnerabilitate72 de ore către ENISA

Evaluarea conformității

CategoriaProcedura
ImplicităAutodeclarare sau examinare de tip UE
Important Clasa IStandardele armonizate SAU evaluare de către terți
Important Clasa IIEvaluare de conformitate de către terți
CriticExaminare de tip UE + asigurarea calității producției

Produsele trebuie să afișeze marcajul CE care confirmă conformitatea.

Sancțiuni

  • Nerespectare: Până la 15 milioane € sau 2,5% din cifra de afaceri globală
  • Încălcarea cerințelor esențiale: Până la 10 milioane € sau 2% din cifra de afaceri
  • Alte încălcări: Până la 5 milioane € sau 1% din cifra de afaceri[4]

Acțiuni pentru dezvoltatori

Pentru producătorii de software și hardware:

  1. Inventarierea produselor: Determinați care sunt în domeniul de aplicare și categoria lor
  2. Securitate prin proiectare: Integrați securitatea în procesele de dezvoltare
  3. Gestionarea vulnerabilităților: Stabiliți proceduri de detectare și gestionare
  4. Crearea SBOM: Documentați componentele software și dependențele
  5. Planificarea suportului: Definiți și comunicați perioadele de suport
  6. Mecanisme de actualizare: Construiți sisteme sigure de livrare a actualizărilor
  7. Pregătirea conformității: Pregătiți documentația tehnică

Surse și referințe

[1]
Regulamentul (UE) 2024/2847 privind cerințele de securitate cibernetică pentru produse. EUR-Lex: Textul oficial CRA
[2]
Anexa I CRA: Cerințe esențiale de securitate cibernetică. Portal CRA: Anexa I
[3]
Anexa I Partea II CRA: Cerințe privind gestionarea vulnerabilităților. Portal CRA: Gestionarea vulnerabilităților
[4]
Articolul 64 CRA: Sancțiuni. Portal CRA: Sancțiuni