Закон про кіберстійкість (Cyber Resilience Act або CRA)

Cyber Resilience Act (CRA) — це новий законодавчий акт Європейського Союзу, який встановлює єдині правила кібербезпеки для всіх цифрових продуктів (як апаратного, так і програмного забезпечення), що продаються на ринку ЄС.

Якщо раніше вимоги CE-маркування стосувалися переважно фізичної безпеки (щоб верстат не вдарив струмом або не відірвав руку), то CRA додає обов’язкову вимогу: захист від хакерів та вразливостей.

Закон про кіберстійкість (Cyber Resilience Act або CRA) представляє собою докорінну зміну парадигми для виробників обладнання, оскільки визначає кібербезпеку як фундаментальну вимогу безпеки. Він поширюється на будь-який «продукт із цифровими елементами», підключений до пристрою або мережі.  Це означає, що якщо ваша машина має датчик IoT, модуль Wi-Fi або навіть простий порт для віддаленої діагностики, вона тепер підпадає під дію цього регламенту. Ви більше не можете обмежуватися лише фізичною безпекою машини; ви повинні захистити її цифровий слід.

Згідно з CRA, кібербезпека має бути інтегрована ще на етапі проєктування — ця концепція відома як «безпека за задумом» (security by design). Ваш Технічний файл тепер повинен містити оцінку ризиків кібербезпеки та Специфікацію програмного забезпечення (SBOM) для відстеження вразливостей. Крім того, виробники зобов’язані надавати оновлення безпеки та повідомляти про активні вразливості протягом очікуваного терміну служби продукту (часто до 5 років).

Відповідність безпосередньо пов’язана з маркуванням CE. Без відповідності стандартам CRA ви не можете на законних підставах наносити маркування CE або складати Декларацію про відповідність (DoC). Хоча для більшості стандартного обладнання допускається самосертифікація, критично важливі цифрові компоненти можуть потребувати оцінки з боку Нотифікованого органу (Notified Body). Недотримання вимог може призвести до величезних штрафів та негайного вилучення вашої продукції з ринку ЄС.

Кого це стосується?

Під дію CRA потрапляють майже всі «продукти з цифровими елементами»:

• Побутова техніка: смарт-телевізори, холодильники з Wi-Fi, дитячі відеоняні.

• Промислове обладнання: датчики IoT, програмовані логічні контролери (PLC), системи віддаленого моніторингу.

• Програмне забезпечення: як вбудоване (firmware), так і окремі додатки.

Ключові вимоги CRA

1. Security by Design (Безпека за задумом): Виробник має думати про захист не після того, як продукт готовий, а ще на етапі креслень. Це включає захист від несанкціонованого доступу, шифрування даних тощо.

2. Обов’язкові оновлення: Виробники зобов’язані випускати оновлення безпеки протягом усього життєвого циклу продукту (зазвичай до 5 років або протягом очікуваного терміну служби).

3. Software Bill of Materials (SBOM): Виробник повинен мати «склад інгредієнтів» свого софту — перелік усіх сторонніх бібліотек і компонентів, щоб швидко зрозуміти, чи зачепила їх нова знайдена вразливість.

4. Звітування про вразливості: Якщо виробник виявив діру в безпеці, якою вже користуються хакери, він має повідомити про це агентство ENISA (агентство ЄС з кібербезпеки) протягом 24 годин.

Як це впливає на CE-маркування?

Це найважливіший момент для бізнесу: CRA стає частиною процесу отримання CE-маркування.

• Якщо ваш продукт має цифровий модуль, ви не маєте права підписати Декларацію про відповідність (DoC) і поставити знак CE, поки не підтвердите відповідність вимогам кібербезпеки.

• Для товарів з низьким ризиком (наприклад, розумний будильник) дозволено самодекларування.

• Для критичних продуктів (наприклад, промислові маршрутизатори, операційні системи, мікропроцесори) потрібна перевірка сторонньою лабораторією (Notified Body).

Закон було остаточно прийнято нещодавно, і він передбачає перехідний період. Проте виробникам потрібно готуватися вже зараз, оскільки переробка архітектури складного обладнання під нові вимоги безпеки може тривати роки.

Простий приклад: Якщо ви виробляєте насосну станцію, яка просто качає воду — це Machinery Directive. Але якщо ви додали в неї модуль для управління через додаток у смартфоні— ви підпадаєте під Cyber Resilience Act, і ваша Декларація про відповідність має це враховувати.