Akt o kybernetickej odolnosti
Cieľom Cyber Resilience Act (CRA) je v prvom rade zvýšiť kybernetickú bezpečnosť produktov s digitálnymi prvkami v rámci EÚ s tým, aby boli softvér aj hardvér bezpečnejšie počas celého ich životného cyklu.
Legislatíva má tiež posilniť kybernetickú bezpečnosť v celej EÚ, chrániť spotrebiteľov, aj výrobcov. Zavádza sa jeden súbor pravidiel pre celú EÚ. Bezpečnosť už nebude len doplnkom, ale povinnou súčasťou vývoja a údržby produktov. Produkty musia byť navrhnuté a udržiavané v súlade s princípmi “security by design” a “by default.” Zavádzajú sa nové právne záväzky, vrátane analýzy rizík, bezpečného vývoja, či riadenia zraniteľností. Posilňujú sa povinnosti oznamovania incidentov a zavádza sa robustnejší systém dohľadu nad trhom.
CRA sa tak stáva dôležitou legislatívou aj pre menšie a stredné firmy, ktoré sú častým terčom útočníkov.
Na koho sa regulácia vzťahuje?
Hlavné povinnosti sa vzťahujú na výrobcov, ale týkajú sa aj dovozcov a distribútorov, ktorí budú musieť overovať, či výrobcovia tieto povinnosti splnili.
CRA sa vzťahuje na všetky produkty s digitálnymi prvkami*, ktoré sú priamo alebo nepriamo pripojiteľné k inému zariadeniu alebo sieti, vrátane softvéru (operačný systém, aplikácie, hry a pod.) ako aj hardvéru (počítače, smartfóny, inteligentné domáce spotrebiče, IoT zariadenia a pod.) Existujú aj výnimky, a teda nie všetky subjekty a produkty podliehajú regulácii v plnom rozsahu.
Pri vývoji slobodného softvéru a softvéru s otvoreným zdrojovým kódom (open source):
◾výnimka platí pre vývoj, ktorý nie je komerčný, a regulácia sa uplatní, ak je open-source softvér poskytovaný v rámci obchodnej činnosti, čiže ak je speňažený, je k nemu platená technická podpora alebo je vyvíjaný re komerčné využitie,
◾osobitný režim platí pre správcov softvéru s otvoreným zdrojovým kódom**, napríklad nadácie, ktoré majú zjednodušené povinnosti zamerané na zavedenie bezpečnostných politík a spoluprácu s úradmi.
Ďalšími výnimkami sú produkty, ktoré už podliehajú špecifickým pravidlám s podobnými požiadavkami, ako napríklad zdravotnícke pomôcky, produkty a pravidlá v oblasti letectva, či automobilového priemyslu, produkty vyvinuté pre národnú bezpečnosť. Výnimkou sú aj služby typu Software-as-a-Service (SaaS), pokiaľ nespadajú pod definíciu “spracovania údajov na diaľku”, ktoré je nevyhnutné pre funkčnosť lokálneho produktu. Týmto pojmom sa rozumie také spracovanie údajov na diaľku, pre ktoré je softvér navrhnutý a vyvinutý výrobcom alebo na zodpovednosť výrobcu a ktorého neexistencia by bránila produktu s digitálnymi prvkami plniť jednu z jeho funkcií.
* pod pojmom “produkt s digitálnymi prvkami” je v rámci vymedzenia pojmov označený softvérový alebo hardvérový produkt a jeho riešenia spracovania údajov na diaľku vrátane softvérových alebo hardvérových komponentov, ktoré sa uvádzajú na trh samostatne
** “správca softvéru s otvoreným zdrojovým kódom” je právnická osoba iná ako výrobca, ktorej účelom a cieľom je systematicky a trvalo podporovať vývoj špecifických produktov s digitálnymi prvkami považovaných za slobodný softvér a softvér s otvoreným zdrojovým kódom a určených na obchodné činnosti, a ktorá zabezpečuje životaschopnosť týchto produktov.
Ako zistím, či spadám pod CRA?
Kľúčovým vstupom pri analýze, či produkt spadá pod CRA je zamyslieť sa nad definíciou “produktu,” jeho hlavnými vlastnosťami, zamýšľaným použitím produktu, prevádzkovom prostredí, ako aj druhom spracovania dát, a vzdialených dát.
Aké sú hlavné povinnosti výrobcov?
Výrobcovia musia dbať na bezpečnostné požiadavky počas celého životného cyklu produktov, aby bola zabezpečená dôvernosť a integrita dát.
Produkty musia:
◾byť dodávané bez známych zneužiteľných zraniteľností,
◾mať štandardne bezpečnú konfiguráciu,
◾chrániť pred neoprávneným prístupom,
◾spracúvať len nevyhnutné dáta.
Medzi ďalšie povinnosti výrobcov patrí:
◾jasne určiť a komunikovať ako dlho bude poskytovať bezpečnostné aktualizácie, pričom minimálna dĺžka je 5 rokov, pokiaľ povaha produktu neodôvodňuje kratší čas,
◾zaviesť proces na identifikáciu a riešenie zraniteľností,
◾poskytovať bezplatné a bezodkladné bezpečnostné aktualizácie, a to oddelene od funkčných aktualizácií,
◾identifikovať a dokumentovať všetky komponenty, z ktorých sa daný produkt skladá,
◾zriadiť ľahko dostupný kanál, tzv. kontaktné miesto na nahlasovanie zraniteľností.
Štyri kategórie produktov:
Produkty sú rozdelené do niekoľkých kategórií podľa rizika. V rámci týchto kategórií majú výrobcovia rôznu úroveň požiadaviek na posudzovanie zhody. Tieto sú špecifikované v jednotlivých prílohách.
◾pri štandardných “neklasifikovaných” produktoch výrobca sám vyhlási, že spĺňa požiadavky, a na základe samohodnotenia vydá EÚ vyhlásenie o zhode. Musí tiež splniť základné požiadavky z Prílohy 1.
◾dôležité produkty “trieda I” sú produkty so zvýšeným rizikom podľa Prílohy 3 a posúdenie zhody prebieha buď samohodnotením alebo posúdením treťou stranou.
◾dôležité produkty “trieda II” sú taktiež definované Prílohou 3, a nakoľko predstavujú produkty s vysokým rizikom, zhoda sa povinne posudzuje treťou stranou.
◾kritické produkty s najvyšším rizikom sú definované v Prílohe 4 a majú definovanú povinnú certifikáciu kybernetickej bezpečnosti v rámci európskej schémy EUCC.
Čo ak si povinnosti nesplním?
Medzi kľúčové riziká nesúladu patria najmä:
◾obmedzenie prístupu na trh,
◾pokuty do výšky 15 mil eur alebo 2,5% celosvetového ročného obratu podľa toho, čo je vyššie,
◾dopad na povesť firmy a jej prevádzku,
Každý členský štát EÚ si určí orgán dozoru nad trhom.
Aké sú ďalšie špecifiká CRA?
◾Označenie CE - výrobcovia deklarujú zodpovednosť za zhodu produktu a dodržiavanie noriem označením CE.
◾Oznamovacie povinnosti - výrobcovia musia do 24 hodín od zistenia nahlásiť aktívne zneužívanú zraniteľnosť agentúre ENISA. Musia tiež hlásiť závažné bezpečnostné incidenty, ktoré majú vplyv na bezpečnosť ich produktu.
◾Dokumentácia - výrobca je povinný vytvoriť a uchovávať technickú dokumentáciu preukazujúcu zhodu a poskytnúť používateľom jasné informácie o bezpečnom používaní produktu.
◾Časový harmonogram - momentálne sme v trojročnom prechodnom období (11. december 2024 - 11. december 2027).
11.9.2026 je dátum, od kedy sa aktivuje článok 14 nariadenia, ktorý rieši nahlasovanie aktívne zneužívaných zraniteľností a závažných incidentov. Tie je až nemožné splniť, ak výrobca nezačne pracovať so svojim SBOM (software bill of materials).
Autor: Lucia Katriňáková
