Cyber Resilience Act

Od 11 grudnia 2027 r. na rynek Unii Europejskiej będą mogły być wprowadzane wyłącznie produkty spełniające wymagania Cyber Resilience Act (CRA). CRA określa wymagania dotyczące cyberbezpieczeństwa produktów zawierających elementy cyfrowe.

Jakie nowe wymogi wprowadza Cyber Resilience Act? Jakie produkty podlegają postanowieniom CRA? Jakie działania muszą podjąć firmy? Podsumowaliśmy dla Ciebie najważniejsze zagadnienia.

Czym jest Cyber Resilience Act?

Cyber Resilience Act (CRA) to rozporządzenie UE, w którym określono wymagania dotyczące cyberbezpieczeństwa przemysłowego w przypadku produktów zawierających elementy cyfrowe. Produkty, które podlegać będą CRA muszą zostać poddane wnikliwemu przeglądowi i ewentualnej modyfikacji. Jest to absolutnie konieczne, ponieważ od grudnia 2027 r. na rynek będą mogły być wprowadzane wyłącznie produkty spełniające wymagania CRA.

Kiedy Cyber Resilience Act wchodzi w życie?

CRA opublikowano w Dzienniku Urzędowym Unii Europejskiej 20 listopada 2024 r. Rozporządzenie weszło w życie 10 grudnia 2024 r. i zacznie obowiązywać w UE 11 grudnia 2027 r. Zgodnie z postanowieniami CRA obowiązek zgłaszania przez producentów słabych punktów w zabezpieczeniach zacznie obowiązywać już od 11 września 2026 r.

Czego dokładnie wymaga CRA?

Celem CRA jest zapewnienie konsumentom i przedsiębiorstwom lepszej ochrony przed cyberatakami. Przepisy CRA ustanawiają różne wymogi dla producentów, importerów i dystrybutorów produktów wyposażonych w elementy cyfrowe, które to produkty mogą komunikować się z innymi produktami. Dotyczy to zarówno sprzętu, jak i oprogramowania. Obejmuje cały cykl życia produktu: od projektu, przez tworzenie, produkcję, aż po dostawę i konserwację, a także cały okres jego użytkowania u klienta.

Czy Cyber Resilience Act jest rozporządzeniem, czy dyrektywą?

Cyber Resilience Act jest rozporządzeniem UE i jako takie obowiązuje we wszystkich państwach członkowskich Unii Europejskiej bez konieczności transpozycji do prawa krajowego.

Jakie produkty podlegają postanowieniom CRA?

CRA dotyczy komponentów, w szczególności produktów zawierających elementy cyfrowe, w przypadku których wymagane będzie przeprowadzenie kontroli zgodności.

Cyber Resilience Act (CRA) ma zastosowanie do wszystkich produktów zawierających komponenty cyfrowe – takich jak oprogramowanie lub systemy sztucznej inteligencji wysokiego ryzyka – oraz łączonych z sieciami lub innymi urządzeniami. W efekcie zakres obowiązywania CRA jest bardzo szeroki i obejmuje między innymi takie grupy produktów jak:

• Sprzęt i oprogramowanie przemysłowe, w tym urządzenia IoT, sterowniki programowalne (PLC) oraz czujniki
• Rozwiązania programowe, w tym aplikacje na komputery stacjonarne, aplikacje internetowe i aplikacje mobilne, a także systemy operacyjne
• Urządzenia inteligentne do użytku prywatnego, a także sprzęt i oprogramowanie

Produkty te przyporządkowywane są do różnych kategorii, w zależności od potencjalnego ryzyka. Do klas podwyższonego ryzyka zaliczane są w szczególności systemy wykorzystywane w infrastrukturze krytycznej, produkcji przemysłowej lub sektorach energetycznym i przemysłowym. W przypadku tych produktów wymagania w zakresie procedury oceny zgodności ulegają zmianie ze względu na ich potencjalnie istotny wpływ na bezpieczeństwo publiczne oraz stabilność gospodarczą.

Co możemy zrobić i jak możemy Ci pomóc? Jakie są wymagania wobec firm?

Producent wyrobów zawierających elementy cyfrowe musi spełnić wymogi bezpieczeństwa określone w CRA. Obejmuje to konieczność przeprowadzenia analizy ryzykaoraz zdefiniowania i wdrożenia środków zaradczych w celu ograniczenia ryzyka w każdej postaci. Obowiązkowe jest również stworzenie i zachowanie dokumentacji dotyczącej oceny ryzyka (a także środków zaradczych podjętych w celu ograniczenia zagrożenia dla bezpieczeństwa). Musi ona być przechowywana przez okres co najmniej 10 lat. Wymagane jest również ciągłe monitorowanie potencjalnych luk w zabezpieczeniach, bezpłatne udostępnianie aktualizacji zabezpieczeń przez cały typowy okres użytkowania produktu (co najmniej 5 lat) oraz zgłaszanie zidentyfikowanych luk w zabezpieczeniach w ciągu 24 godzin agencji ENISA, a w stosownych przypadkach – organom krajowym.

Nawet produkty, które są już zgodne z wymogami CRA i nie zostały zmodyfikowane, muszą zostać zbadane i ocenione zgodnie z przejrzystymi zasadami. Dokumentację z wyników kontroli należy przechowywać przez okres dziesięciu lat. Należy również utworzyć zestawienie składników oprogramowania, aby wykazać, że prace rozwojowe i testowe przeprowadzono zgodnie ze standardami bezpieczeństwa przemysłowego.

Co oznacza deklaracja zgodności UE w kontekście CRA?

Producent będzie nadal wydawał deklarację zgodności UE jako potwierdzenie, że wykazano zgodność z zasadniczymi wymogami w zakresie cyberbezpieczeństwa. Z punktu widzenia producentów oznacza to, że zgodność z wymogami w zakresie oceny ryzyka, zarządzania słabymi punktami i dokumentacji będzie weryfikowana na podstawie oceny zgodności. Jeżeli wszystkie wymagania zostaną spełnione, wydana zostanie deklaracja zgodności. 

Czy nadal obowiązuje jedna deklaracja zgodności UE dla wszystkich prawodawstw w UE?

Jeżeli produkt zawierający elementy cyfrowe podlega kilku prawodawstwom na terenie Unii Europejskiej, z których każde wymaga deklaracji zgodności UE, wydawana jest jedna deklaracja zgodności UE dla wszystkich prawodawstw w UE. Deklaracja wskazuje odpowiednie akty UE oraz odwołania do nich w Dzienniku Urzędowym.

Jak długo deklaracja zgodności UE musi być dostępna?

Producent sporządza pisemną deklarację zgodności dla każdego modelu produktu i przechowuje ją do wglądu właściwym organom krajowym przez okres dziesięciu lat od momentu wprowadzenia produktu zawierającego elementy cyfrowe na rynek lub przez okres wsparcia technicznego, w zależności od tego, który okres jest dłuższy. Deklaracja zgodności musi wskazywać model produktu, dla którego została wydana. Jej kopię należy udostępnić na każde żądanie uprawnionych organów

Na czym polega różnica między Cyber Resilience Act a Dyrektywą NIS 2?

• CRA określa podstawowe wymogi w zakresie cyberbezpieczeństwa w odniesieniu do projektowania, opracowywania i produkcji produktów zawierających elementy cyfrowe, a także obowiązki podmiotów gospodarczych w odniesieniu do tych produktów w zakresie cyberbezpieczeństwa.
• Dyrektywa NIS 2 jest skierowana do przedsiębiorstw i nakłada na nie obowiązek podjęcia środków organizacyjnych i technicznych w celu ograniczenia ryzyka związanego z cyberbezpieczeństwem przemysłowym w firmie.
• Wzmocnienie cyberbezpieczeństwa w UE: Oba przepisy, zarówno CRA, jak i Dyrektywa NIS 2 uzupełniają się wzajemnie, ponieważ dotyczą różnych poziomów cyberbezpieczeństwa: CRA koncentruje się na bezpieczeństwie produktów, podczas gdy Dyrektywa NIS 2 dotyczy bezpieczeństwa infrastruktury i podstawowych usług. Razem wnoszą one istotny wkład w ogólną poprawę cyberbezpieczeństwa na terenie Unii Europejskiej.

Firma Pilz już od wielu lat dostosowuje swój proces opracowywania produktów zgodnie z normą IEC 62443-4-1. Dotyczy ona cyberbezpieczeństwa w systemach automatyki przemysłowej i sterowania (IACS) i określa wymagania dla bezpiecznego cyklu życia rozwoju produktu. TÜV Süd przeprowadził audyt, który potwierdził, że procesy opracowywania produktów w firmie Pilz są zgodne z jej wymogami. Proces wytwarzania produktów w firmie Pilz jest nie tylko bezpieczny, ale również odpowiednio chroniony!

Jest to ważne dla naszych klientów, ponieważ Rozporządzenie (UE) 2024/2847 – Cyber Resilience Act (CRA) – to kolejne rozporządzenie dotyczące ochrony, które zacznie obowiązywać w 2027 r. obok Rozporządzenia UE w sprawie maszyn 2023/1230.

W praktyce oznacza to, że istniejące produkty zostaną w razie potrzeby zmodyfikowane, nowe produkty będą opracowywane zgodnie z wytycznymi CRA, a zgodność (oznakowanie CE) zostanie dostosowana do obowiązujących wymogów. Produkty, które nie spełnią wymagań nowych przepisów, zostaną wycofane ze sprzedaży lub będą dostępne jako części zamienne. W drugim przypadku nie będzie można ich już zastosować w nowych instalacjach.