Pilz tarjoaa tietoa ja vinkkejä toteutukseen - oikeudellisesti sitovasti: Näin yritykset voivat valmistautua kyberkestävyyssäädökseen nyt

Kyberkestävyyssäädös (CRA) julkaistiin äskettäin EU:n virallisessa lehdessä. Säädös sisältää vaatimuksia digitaalisia elementtejä sisältävien tuotteiden kyberturvallisuudelle. Asianomaisilla yrityksillä on nyt 36 kuukautta aikaa panna täytäntöön CRA:n vaatimukset. Tietyt raportointivelvoitteet on täytettävä seuraavien 21 kuukauden aikana. Kuka tarkalleen ottaen on velvollinen? Ja mitä CRA:ssa vaaditaan?

EU:n Kyberkestävyyssäädös: CRA:n tavoitteena on suojella kuluttajia ja yrityksiä paremmin kyberhyökkäyksiltä. Kyberkestävyyssäädös sisältää siksi suuren määrän vaatimuksia sellaisten tuotteiden valmistajille, maahantuojille ja vähittäismyyjille, joissa on digitaalisia elementtejä, jotka pystyvät kommunikoimaan muiden tuotteiden kanssa. Tämä koskee sekä ohjelmistoja että laitteita. Tämä vaikuttaa sekä B2C-sektorin tuotteisiin, kuten älypuhelimiin tai robotti-imureihin, että B2B-sektorin tuotteisiin, kuten ohjausjärjestelmiin ja antureihin, sekä puhtaisiin ohjelmistotuotteisiin, kuten käyttöjärjestelmiin. Kyberkestävyyssäädös julkaistiin Euroopan unionin virallisessa lehdessä 20.11.2024. Säädöksenä tätä lakia sovelletaan suoraan EU:n jäsenvaltioissa.

Tärkeimmät vaatimukset koneenvalmistajille

• Riskinarviointi ja -takuu: Valmistajien on suunniteltava ja kehitettävä tuotteet siten, että kyberturvallisuuden asianmukainen taso taataan koko tuotteen elinkaaren ajan.
• Haavoittuvuuksien hallinta: Valmistajan olisi poistettava tunnetut haavoittuvuudet ilmaisilla tietoturvapäivityksillä, elleivät valmistaja ja kaupallinen käyttäjä toisin sovi.
• Dokumentointi: Valmistajien on tunnistettava ja dokumentoitava tuotteidensa haavoittuvuudet ja komponentit.
• Raportointivelvoitteet: Valmistajan on ilmoitettava haavoittuvuudesta 24 tunnin kuluessa siitä, kun hän on saanut tietää sen käytöstä, Euroopan unionin kyberturvallisuusviraston (ENISA) raportointialustan kautta.

Mitä konevalmistajat voivat tehdä nyt

Turvallisen automaation asiantuntijana Pilz suosittelee, että kaikki konevalmistajat käsittelevät CRA:n vaatimukset nopeasti ja kehittävät yhteistyökonsepteja yhdessä komponenttivalmistajien ja käyttäjien kanssa. Millä verkkovyöhykkeellä konetta pitäisi käyttää? Miten ohjelmistopäivityksiä tulisi käsitellä? Jos nämä kysymykset selvitetään etukäteen, jokainen toimija voi täyttää uudet organisatoriset ja tekniset velvoitteensa. Pilz on jo vuosikymmeniä tukenut koneenrakentajia ja -käyttäjiä laitosten ja koneiden turvallisuudessa - myös Industrial Securityn uusien vaatimusten osalta. Koska ilman Securityä kone on tehdyistä Safety-toimenpiteistä huolimatta haavoittuva ja suojaamaton. Tässä yhteydessä on ryhdyttävä varotoimenpiteisiin.

Kaksi käytännön vinkkiä CRA-vaatimusten täyttämiseen

1. Aina ajan tasalla: eur-lex.europa.eu-sivuston uutiskirjeiden ja RSS-syötteiden tilaukset pitävät sinut ajan tasalla EU:n tason lainsäädäntömuutoksista.
2. Common Security Advisory Framework (CSAF) on standardoitu ja avoimen lähdekoodin kehys koneellisesti käsiteltävien haavoittuvuus- ja lieventämistietojen, niin sanottujen Security Advisories eli tietoturvaohjeiden, välittämistä ja automaattista jakelua varten.

• Lisätietoa Industrial Securitystä löydät täältä