20 listopada w Dzienniku Urzędowym UE opublikowano tzw. Cyber Resilience Act (CRA), czyli unijne Rozporządzenie nr 2024/2847 ws. horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi.

Rozporządzenie CRA stosuje się od dnia 11 grudnia 2027 r. Przepisy obowiązuję bezpośrednio we wszystkich krajach UE. Polska musi jednak wdrożyć jeszcze przepisy pozwalające na egzekwowanie nowych obowiązków, w tym systemu kar.

Jakie produkty obejmuje CRA? Np. inteligentne urządzenia domowe (np. termostaty, inteligentne zamki do drzwi i inteligentne systemy oświetleniowe), smartfony, czy nadające się do noszenia monitory zdrowia i urządzenia do monitorowania kondycji, przemysłowe urządzenia IoT wykorzystywane w produkcji i logistyce.

Cyber Resilience Act (CRA) to inicjatywa legislacyjna Unii Europejskiej mająca na celu zwiększenie cyberbezpieczeństwa produktów z elementami cyfrowymi. CRA ustanawia jednolite ramy prawne w celu zapewnienia, że sprzęt i oprogramowanie są projektowane, opracowywane i utrzymywane przy użyciu solidnych środków cyberbezpieczeństwa przez cały cykl ich życia. Rozporządzenie to ma na celu ograniczenie ryzyka związanego z cyberatakami, które mogą mieć znaczący wpływ na gospodarkę, demokrację, bezpieczeństwo i zdrowie konsumentów. CRA zobowiązuje producentów do przestrzegania podstawowych wymogów cyberbezpieczeństwa, przeprowadzania ocen ryzyka i zapewniania aktualizacji zabezpieczeń, wspierając w ten sposób bezpieczniejsze środowisko cyfrowe w całej UE.

CRA obejmuje szeroką gamę produktów zawierających elementy cyfrowe, które są definiowane jako dowolne oprogramowanie lub sprzęt oraz jego rozwiązania do zdalnego przetwarzania danych, które obejmują bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych z urządzeniem lub siecią.

Kogo dotyczą wymogi ustawy o cyberodporności?

Wymagania te dotyczą różnych stron zaangażowanych w cykl życia tych produktów, od projektowania i rozwoju po dystrybucję i nadzór rynku.

Najbardziej rygorystyczne wymogi dotyczą producentów i obejmują m.in:

  • Projektowanie, opracowywanie i wytwarzanie produktów z elementami cyfrowymi zgodnie z zasadniczymi wymogami cyberbezpieczeństwa
  • Przeprowadzenie oceny ryzyka cyberbezpieczeństwa związanego z produktem z elementami cyfrowymi i uwzględnienie jej wyników na etapie planowania, projektowania, rozwoju, produkcji, dostawy i konserwacji.
  • Zapewniać aktualizacje zabezpieczeń w okresie wsparcia bezpłatnie i, w stosownych przypadkach, w sposób automatyczny.
  • sporządzenie dokumentacji technicznej i deklaracji zgodności UE.

W przypadku dystrybutorów i importerów obowiązują następujące zasady:

  • Wprowadzać do obrotu wyłącznie produkty z elementami cyfrowymi, które spełniają zasadnicze wymogi cyberbezpieczeństwa
  • sprawdzić, czy producent przeprowadził odpowiednie procedury oceny zgodności, sporządził dokumentację techniczną, umieścił oznakowanie CE i dostarczył deklarację zgodności UE oraz informacje i instrukcje dla użytkownika
  • Podjęcie środków naprawczych, wycofanie z obrotu lub odzyskanie produktu, jeżeli produkt lub procesy wdrożone przez producenta nie są zgodne z zasadniczymi wymaganiami, oraz poinformowanie producenta i odpowiednich organów nadzoru rynku.

CRA kategoryzuje produkty z elementami cyfrowymi na różne klasy w oparciu o ich ryzyko cyberbezpieczeństwa i funkcjonalność. Klasyfikacje te pomagają określić poziom kontroli, a także rodzaj oceny zgodności wymaganej dla każdego produktu.

1. Produkty krytyczne wymienione w załączniku IV

Produkty krytyczne to produkty, które mają istotną funkcjonalność związaną z cyberbezpieczeństwem i stwarzają wysokie ryzyko, jeśli zostaną naruszone. Produkty te mają zasadnicze znaczenie dla bezpieczeństwa innych systemów i usług, a ich awaria może prowadzić do poważnych zakłóceń.

Przykłady produktów krytycznych z załącznika IV obejmują:

  • Urządzenia sprzętowe ze skrzynkami bezpieczeństwa: są to specjalistyczne urządzenia sprzętowe zaprojektowane w celu zapewnienia bezpiecznego środowiska dla wrażliwych operacji.
  • Bramy inteligentnych liczników: używane w inteligentnych systemach pomiarowych, urządzenia te zapewniają bezpieczną transmisję i przetwarzanie danych.
  • Karty inteligentne i podobne urządzenia, w tym bezpieczne elementy: są one wykorzystywane do bezpiecznych transakcji i przechowywania danych.

Ocena zgodności: Produkty krytyczne muszą przejść rygorystyczną ocenę zgodności. Jeśli dostępny jest europejski program certyfikacji cyberbezpieczeństwa, produkty te muszą uzyskać europejski certyfikat cyberbezpieczeństwa. Jeśli taki program nie jest dostępny, muszą one podlegać tym samym procedurom, co ważne produkty klasy II, które obejmują ocenę przez stronę trzecią.

2. Ważny produkt klasy II

Ważne produkty klasy II to produkty, które wykonują krytyczne funkcje cyberbezpieczeństwa lub mają wysoki potencjał negatywnych skutków w przypadku ich naruszenia. Produkty te mają kluczowe znaczenie dla utrzymania bezpieczeństwa innych systemów i usług. Przykłady ważnych produktów klasy II obejmują

  • Hiperwizory i systemy uruchomieniowe kontenerów: wspierają one zwirtualizowane wykonywanie systemów operacyjnych i podobnych środowisk.
  • Zapory sieciowe i systemy wykrywania/ zapobiegania włamaniom: są one niezbędne do ochrony sieci przed nieautoryzowanym dostępem i zagrożeniami cybernetycznymi.
  • Mikroprocesory i mikrokontrolery odporne na manipulacje: są one zaprojektowane tak, aby były odporne na manipulacje fizyczne i logiczne, zapewniając integralność systemów, których są częścią.

Ocena zgodności: Ważne produkty klasy II wymagają zewnętrznej oceny zgodności. Można to zrobić za pomocą procedury badania typu UE (moduł B), a następnie zgodności z typem UE w oparciu o wewnętrzną kontrolę produkcji (moduł C) lub ocenę zgodności w oparciu o pełne zapewnienie jakości (moduł H).

3. Ważny produkt klasy I

Ważne produkty klasy I również pełnią istotne funkcje w zakresie cyberbezpieczeństwa, ale są uważane za obarczone niższym ryzykiem w porównaniu z produktami klasy II. Produkty te nadal mają kluczowe znaczenie dla bezpieczeństwa systemów i usług, ale nie stanowią tak wysokiego ryzyka w przypadku ich naruszenia. Przykłady ważnych produktów klasy I obejmują

  • Systemy zarządzania tożsamością: Obejmują one oprogramowanie i sprzęt do zarządzania uprzywilejowanym dostępem, takie jak czytniki uwierzytelniania i kontroli dostępu.
  • Samodzielne i wbudowane przeglądarki: Są one używane do uzyskiwania dostępu do Internetu i innych usług sieciowych.
  • Menedżery haseł: Pomagają użytkownikom bezpiecznie przechowywać hasła i zarządzać nimi.
  • VPN i systemy zarządzania siecią: Zapewniają bezpieczną komunikację i zarządzanie zasobami sieciowymi.
  • Oprogramowanie wyszukujące, usuwające lub poddające kwarantannie złośliwe oprogramowanie
  • Systemy zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM)
  • Menedżery rozruchu
  • Infrastruktura klucza publicznego i oprogramowanie do wydawania certyfikatów cyfrowych
  • Fizyczne i wirtualne interfejsy sieciowe
  • Mikroprocesory i mikrokontrolery z funkcjami związanymi z bezpieczeństwem
  • Systemy operacyjne

Ocena zgodności: Jeśli dostępna jest zharmonizowana norma, Ważna Klasa I musi być z nią zgodna. Jeśli normy te nie są w pełni dostępne, wymagana jest ocena przez stronę trzecią, podobnie jak w przypadku ważnych produktów klasy II.

4. Domyślne produkty z elementem cyfrowym

Produkty domyślne to te, które nie należą do kategorii krytycznych lub ważnych. Produkty te nadal podlegają CRA, ale mogą mieć inne wymagania dotyczące zgodności. Zazwyczaj przechodzą one wewnętrzną ocenę producenta, aby upewnić się, że spełniają podstawowe wymogi cyberbezpieczeństwa.