Zakon o kibernetski odpornosti
Zakon o kibernetski odpornosti
Pregled
Zakon o kibernetski odpornosti (CRA) uvaja obvezne zahteve za kibernetsko varnost strojne in programske opreme z digitalnimi elementi. Pokriva celoten življenjski cikel izdelka od zasnove do konca podpore in si prizadeva rešiti problem razširjenosti negotovih IoT in programskih izdelkov.[1]
CRA velja za izdelke, ki so dani na trg EU, ne glede na kraj njihove proizvodnje.
Časovni načrt uporabe
| Datum | Mejniki |
|---|---|
| 10. december 2024 | Uveljavitev CRA |
| 11. september 2026 | Začetek obveznosti poročanja |
| 11. december 2027 | Popolna uporaba vseh zahtev |
Izdelki v obsegu
Pokriti izdelki
Izdelki z digitalnimi elementi, ki:
- Imajo neposredno ali posredno logično ali fizično podatkovno povezavo z napravo ali omrežjem
- Vključujejo strojne in programske komponente
Kategorije
| Kategorija | Zahteve | Primeri |
|---|---|---|
| Privzeto | Samoocena | Večina programske opreme, osnovni IoT |
| Pomembno razred I | Ocena na podlagi standardov | Brskalniki, upravljalci gesel, VPN, upravljanje omrežja |
| Pomembno razred II | Ocena s strani tretje osebe | Operacijski sistemi, požarni zidovi, usmerjevalniki, hipervizorji |
| Kritično | Ocena s strani tretje osebe + certifikacija | Strojni varnostni moduli, pametni merilniki, pametne kartice |
Oprostitev
- Programska oprema z odprto kodo (nekomercialni razvoj)
- SaaS (pokriva druge uredbe)
- Izdelki, ki so že regulirani (zdravstvene naprave, vozila, letalstvo)
- Izdelki za obrambo in nacionalno varnost
Ključne zahteve za kibernetsko varnost[2]
Varnost po zasnovi
Izdelki morajo biti zasnovani in razviti tako, da zagotavljajo:
- Ustrezno raven varnosti: Glede na predvidene tveganja
- Ni znanih izkoriščljivih ranljivosti: Ob času dajanja na trg
- Varnostna privzeta konfiguracija: Vključno z možnostjo tovarniške ponastavitve
- Zaščita zaupnosti: Za shranjene, prenašane in obdelane podatke
- Zaščita integritete: Proti nepooblaščenim spremembam
- Razpoložljivost: Odpornost proti zavrnitvi storitve
- Minimalna površina napada: Zmanjšanje potencialnih vektorjev napada
- Omejitev vpliva incidentov: Zmanjšanje posledic kršitev
Avtentikacija in nadzor dostopa
- Močna, edinstvena privzeta poverilnica ali nastavljena s strani uporabnika ob prvi uporabi
- Zaščita pred napadi z grobo silo
- Varnostni mehanizmi za avtentikacijo
Zaščita podatkov
- Šifrirano shranjevanje občutljivih podatkov
- Varen prenos podatkov
- Brisanje ali anonimizacija podatkov, ko niso več potrebni
Zahteve za ravnanje z ranljivostmi[3]
Proizvajalci morajo:
- Prepoznati ranljivosti: S testiranjem in spremljanjem
- Dokumentirati komponente: Vzdrževati seznam programske opreme (SBOM)
- Odpraviti ranljivosti: Zagotoviti varnostne posodobitve brez nepotrebnih zamud
- Razkriti ranljivosti: Koordinirati z zadevnim stranmi
- Varnostne posodobitve: Brezplačne posodobitve za določen podporni čas (najmanj 5 let)
Poročanje o ranljivostih
Od septembra 2026 morajo proizvajalci poročati o:
| Vrsta poročila | Časovni okvir |
|---|---|
| Aktivno izkoriščena ranljivost | 24 ur do ENISA |
| Incident z varnostnim vplivom | 24 ur do ENISA/CSIRT |
| Obvestilo o ranljivosti | 72 ur do ENISA |
Presoja skladnosti
| Kategorija | Postopek |
|---|---|
| Privzeto | Samoizjava ali EU-tipni pregled |
| Pomembno razred I | Harmonizirani standardi ALI ocena s strani tretje osebe |
| Pomembno razred II | Presoja skladnosti s strani tretje osebe |
| Kritično | EU-tipni pregled + zagotavljanje kakovosti proizvodnje |
Izdelki morajo imeti označbo CE, ki potrjuje skladnost.
Kazni
- Neizpolnjevanje: Do 15 milijonov € ali 2,5 % svetovnega prometa
- Kršitev ključnih zahtev: Do 10 milijonov € ali 2 % prometa
- Druge kršitve: Do 5 milijonov € ali 1 % prometa[4]
Dejanja za razvijalce
Za proizvajalce programske in strojne opreme:
- Inventar izdelkov: Določite, kateri so v obsegu in njihovo kategorijo
- Varnost po zasnovi: Vključite varnost v razvojne procese
- Upravljanje ranljivosti: Ustanovite postopke zaznavanja in obravnave
- Ustvarjanje SBOM: Dokumentirajte programske komponente in odvisnosti
- Načrtovanje podpore: Določite in sporočite podporna obdobja
- Mehanizmi posodobitev: Zgradite varne sisteme za dostavo posodobitev
- Priprava skladnosti: Pripravite tehnično dokumentacijo
Viri in reference
[1]
Uredba (EU) 2024/2847 o zahtevah za kibernetsko varnost izdelkov. EUR-Lex: Uradno besedilo CRA
[2]
Priloga I CRA: Ključne zahteve za kibernetsko varnost. Portal CRA: Priloga I
[3]
Priloga I CRA, del II: Zahteve za ravnanje z ranljivostmi. Portal CRA: Ravnanje z ranljivostmi
[4]
Člen 64 CRA: Kazni. Portal CRA: Kazni