«Закон о киберустойчивости»

Начиная с 11 декабря 2027 года, только изделия, соответствующие требованиям «Закона о киберустойчивости» (CRA), могут быть представлены на рынках в пределах Европейского Союза. «Закон о киберустойчивости» содержит требования к кибербезопасности изделий, в состав которых входят цифровые элементы.

Каковы новые требования, предусмотренные «Законом о киберустойчивости»? Какие изделия попадают в область применения «Закона о киберустойчивости»? Какие действия требуются от компаний? Мы приводим для вас общий обзор ключевых фактов.

Что такое «Закон о киберустойчивости»?

«Закон о киберустойчивости» (CRA) — это регламент ЕС, устанавливающий требования к информационной безопасности в промышленности в отношении изделий, в состав которых входят цифровые элементы. Подпадающие под его действие изделия должны пройти всеобъемлющий анализ и модификацию. Это имеет критическое значение, поколько только изделия, соответствующие требованиям CRA, могут быть представлены на рынках с декабря 2027 г. и далее в будущем.

Когда «Закон о киберустойчивости» вступает в силу?

«Закон о киберустойчивости» был опубликован в Официальном вестнике ЕС 20 ноября 2024 года. Он вступил в силу 10 декабря 2024 г., и его требования станут обязательными к исполнению в ЕС с 11 декабря 2027 г. Однако обязательства производителей сообщать об эксплуатируемых уязвимостях будут применяться уже с 11 сентября 2026 г. в соответствии с CRA.

Каковы конкретные требования «Закона о киберустойчивости»?

CRA нацелен на улучшение защиты пользователей и бизнесов от кибератак. «Закон о киберустойчивости» содержит ряд спецификаций для производителей, импортеров и дистрибьюторов изделий, в состав которых входят цифровые элементы, и которые способны обмениваться информацией с другими изделиями. Сюда входят как аппаратное, так и программное обеспечение. Это действует на протяжении всего жизненного цикла изделия, т. е. в ходе его проектирования, разработки, изготовления, поставки, обслуживания и всего срока его нахождения на объекте заказчика.

«Закон о киберустойчивости» — это регламент или директива?

Будучи регламентом ЕС, «Закон о киберустойчивости» применим во всех государствах-членах Европейского Союза без необходимости его адаптации в структуру национального законодательства.

Какие изделия попадают в область применения «Закона о киберустойчивости»?

CRA касается компонентов, а именно, изделий с цифровыми элементами, для которых будет необходима проверка на соответствие требованиям.

«Закон о киберустойчивости» (CRA) применим ко всем изделиям, содержащим цифровые компоненты, такие как программное обеспечение или ИИ-системы высокого риска, и подсоединенным к сетям или иным устройствам. В результате, область применения CRA крайне широка и включает, помимо прочего, следующие группы изделий:

• Промышленное аппаратное и программное обеспечение, такие как приборы IoT («Интернет вещей»), программируемые логические контроллеры и датчики.
• Программные решения, такие как компьютерные, сетевые и мобильные приложения, а также операционные системы
• Интеллектуальные устройства для частного использования, а также аппаратное и программное обеспечение

Эти изделия разделены на различные категории на основе потенциального риска. В частности, системы, использующиеся в важнейшей инфраструктуре, промышленном производстве или энергетике, расцениваются как имеющие повышенный риск. В отношении таких изделий требования к процедуре оценки соответствия меняются, так как они могут оказывать значительное воздействие на общественную безопасность и экономическую стабильность.

Что мы можем сделать? Каковы требования, предъявляемые к компаниям?

Производители изделий, в состав которых входят цифровые элементы, обязаны соблюдать требования к информационной безопасности, содержащиеся в CRA. Это подразумевает проведение анализа рисков и определение и внедрение контрмер по их снижению. Также обязательными являются разработка и ведение документации в отношении оценки рисков (а также в отношении контрмер, принятых для снижения рисков информационной безопасности). Такая документация должна храниться не менее 10 лет. Также обязательными являются непрерывный контроль потенциальных уязвимостей информационной безопасности, бесплатное предоставление обновлений систем безопасности в течение стандартного срока службы изделия (не менее 5 лет), а также передача информации о выявленных уязвимостях информационной безопасности в ENISA (Европейское агентство по сетевой и информационной безопасности) и, если применимо, государственные органы в течение 24 часов.

Даже изделия, которые уже отвечают требованиям CRA и не подлежат модификации, должны пройти испытания и оценку в соответствии с четко изложенными правилами. Документация по результатам таких инспекций должна храниться десять лет. Также подлежит созданию ведомость программных материалов, и необходимо доказать, что их разработка и испытания проводились в соответствии со стандартами информационной безопасности в промышленности.

Что означает декларация соответствия требованиям ЕС в контексте «Закона о киберустойчивости»?

Производитель продолжит выпускать декларацию о соответствии требованиям ЕС, удостоверяющую соответствие основополагающим требованиям кибербезопасности. Для производителей это означает, что соответствие требованиям в сфере оценки рисков, управления уязвимостями и документации необходимо будеть удостоверить в ходе оценки соответствия требованиям. Если все требования удовлетворены, выпускается декларация соответствия. 

Действует ли единая декларация соответствия ЕС в отношении всех законодательных норм ЕС?

Если изделие с цифровыми элементами подпадает под действие нескольких законодательных актов Европейского Союза, каждый из которых требует наличия декларации соответствия ЕС, выпускается единая декларация соответствия ЕС, охватывающая требования всех этих норм. В такой декларации указываются соответствующие законодательные акты и ссылки на них в Официальном вестнике ЕС.

На какой срок должна иметься действующая декларация соответствия ЕС?

Изготовитель составляет письменную декларацию соответствия на каждую модель изделия и хранит ее, обеспечивая при этом доступ государственным органам, на протяжении десяти лет после вывода изделия с цифровыми элементами на рынок или на протяжении периода поддержки изделия, в зависимости от того, какой из этих временных интервалов будет длинее. В декларации соответствия должна быть указана модель изделия, на которую она распространяется. Копия декларации соответствия предоставляется уполномоченным органам по запросу.

В чем разница между NIS 2 и «Законом о киберустойчивости»?

• В CRA содержатся базовые требования по кибербезопасности в контексте проектирования, разработки и производства изделий с цифровыми элементами, а также обязательства ведущих хозяйственную деятельность лиц в отношении кибербезопасности таких изделий.
• Директива NIS 2 нацелена на компании и требует от них принятия организационно-технических мер по снижению рисков информационной безопасности в промышленности, имеющихся внутри компании.
• Укрепление кибербезопасности в ЕС: Два пакета законодательных норм – CRA и директива NIS 2 – дополняют друг друга, будучи нацеленными на разные уровни кибербезопасности, где CRA фокусируется на безопасности изделий, а NIS 2 нацелена на безопасность инфраструктуры и служб жизнеобеспечения. В комбинации они вносят важный вклад в общий процесс укрепления кибербезопасности в пределах Европейского Союза.

Компания Pilz уже несколько лет выстраивает свои процессы разработки в соответствии со стандартом МЭК 62443-4-1. Будучи «основополагающим стандартом в сфере информационной безопасности в промышленности», он устанавливает требования к защищенному процессу разработки изделий, так называемому «Процессу обеспечения защищенности разработок на протяжении всего жизненного цикла изделия». В ходе аудита организация TÜV Süd удостоверила соответствие процессов разработки Pilz требованиям. Разработки Pilz обеспечивают не только безопасность машин, но и защиту данных!

Это важно для наших заказчиков, так как с Регламентом (ЕС) 2024/2847 — «Законом о киберустойчивости» (CRA) появляется еще один связанный с информационной безопасностью регламент, становящийся обязательным в 2027 г., наряду с новым «Регламентом о машинном оборудовании» (MR) (Регламент (ЕС) 2023/1230).

В частности, это означает, что имеющиеся изделия будут модифицированы по мере необходимости, а новые изделия будут разрабатываться в соответствии с требованиями CRA, и знак соответствия (маркировка CE) будет адаптирован в соответствии с применимыми требованиями. Изделия, которые более не соответствуют требованиям, будут либо сняты с производства, либо останутся в наличии в качестве запасных частей. Однако в последнем случае их нельзя будет использовать при внедрении новых установок.