Blog, Cyberbezpieczeństwo i Prawo

Czy poznałeś już CRA?

Cyber Resilience Act, najnowszy produkt UE? Ma sprawić, aby nasz cyfrowy świat był mniej „O nie!, zostaliśmy zhakowani”, a bardziej „Spokojnie, mamy to pod kontrolą.”

Jeszcze nie opadł kurz po NIS2, eIDAS 2.0 i AI Act, a już za rogiem czai się CRA.

Wyobraź sobie, że jesteś dostawcą oprogramowania, szczęśliwie dostarczasz swój produkt, a potem BAM! wkracza CRA i pyta: – „Pokaż mi jaka jest twoja historia cyberbezpieczeństwa?” Jeśli twoja odpowiedź brzmi: – „Emm… pracuję nad tym, odezwę się do ciebie w tej sprawie.”, kary mogą nadejść szybciej niż atak bota z netu. 

Gdyby CRA była osobą, prawdopodobnie nosiłaby długi, szeleszczący płaszcz, fajkę i miała surowy wyraz twarzy, który mówiłaby: „Nie, nie, nie! Nie jestem zły, jestem po prostu rozczarowany twoją strategią łatania”. 

Zgodnie z CRA, producenci i sprzedawcy muszą zapewnić, że ich oprogramowanie spełnialo rygorystyczne standardy bezpieczeństwa „przed” wejściem na rynek. A wisienka na torcie? Nie kończy się na wdrożeniu – obowiązek usuwania luk trwa przez cały cykl życia produktu. Tak, podobnie jak w przypadku członkostwa w siłowni, za które płacisz, ale z którego nigdy nie korzystasz. 

Przykłady produktów z elementami cyfrowymi

  • Urządzenia końcowe:  min.: laptopy, smartfony, czujniki i kamery, inteligentne roboty, inteligentne karty, inteligentne głośniki, routery, przełączniki, przemysłowe systemy sterowania.
  • Oprogramowanie: firmware, systemy operacyjne, aplikacje mobilne, aplikacje desktopowe, gry wideo.
  • Komponenty (zarówno sprzętowe, jak i programowe): karty graficzne, biblioteki oprogramowania.

Cel regulacji?

  • Zmniejszenie liczby luk w zabezpieczeniach produktów cyfrowych na etapie projektowania i rozwoju.
  • Wymuszenie odpowiedzialności na producentach i sprzedawcach za zarządzanie ryzykiem w całym cyklu życia produktu.
  • Zwiększenie zaufania konsumentów poprzez zapewnienie bezpieczniejszego środowiska cyfrowego.

Główny obowiązek?

Konieczność sporządzania dokumentacji dołączanej do tych produktów. Informacje i instrukcje powinny być sporządzone w języku łatwo zrozumiałym dla użytkowników. Muszą być one jasne, zrozumiałe, przystępne i czytelne. Umożliwiając bezpieczną instalację, obsługę i bezpieczne użytkowanie produktów z elementami cyfrowymi. Dokumentacja musi być aktualizowana w cyklu życia produktu.

Oznakowanie CE.

Kary za nieprzestrzeganie przepisów?

Niemała. Do 15 milionów EUR lub 2,5% globalnego rocznego obrotu, w zależności od tego, która z tych kwot jest wyższa.

Producenci, importerzy i dystrybutorzy będą mieli 36 miesięcy na dostosowanie się do nowych wymogów po oficjalnym wejściu w życie CRA. Oczekuje się, że nastąpi to między kwietniem a czerwcem 2027 roku. Warto się przyjrzeć swoim partnerom w łańcuchu dostaw i być może przeprowadzić stosowne audyty bezpieczeństwa.

Potrzebujesz przygotować swoje umowy i procedury na wymogi CRA? Skontaktuj się ze mną. 

Czy zgodność z CRA stanie się nową przewagą konkurencyjną? Czy kolejną senną marą w świecie IT?.