27 maja 2025
CRA - czego dotyczy i jak to się ma do NIS/NIS2
Ustawa o odporności cybernetycznej - Cyber Resilience Act jest pierwszą z pierwszych tego typu regulacją na świecie, wprowadzającą obowiązek zapewnienia cyberbezpieczeństwa produktów cyfrowych. W przeciwieństwie do dyrektywy NIS2, która musi zostać przełożona na prawo krajowe na poziomie państw członkowskich, CRA jest aktem prawnym Unii Europejskiej i ma bezpośrednie zastosowanie we wszystkich państwach członkowskich.
10 grudnia UE przyjęła nowe prawo, rozporządzenie o Cyber Resilience Act (CRA), które będzie obowiązywało od 11 grudnia 2027 r. dla wszystkich produktów z elementami cyfrowymi. Podobnie jak wiele innych przepisów, CRA koncentruje się na systematycznej analizie ryzyka, czyli na proaktywnym podejściu do unikania incydentów.
Oto niektóre z wymogów CRA:
Bezpieczne projektowanie i rozwój produktów
- Zabezpieczanie w fazie projektowania
Organizacje muszą zapewnić, że zabezpieczenia są zintegrowane z całym cyklem życia produktu — od projektu po rozwój, wdrożenie i nie tylko. Obejmuje to identyfikację potencjalnych zagrożeń bezpieczeństwa już na etapie projektowania i tworzenie strategii ograniczania ryzyka.
- Bezpieczeństwo oparte na analizie ryzyka
Wdrożone środki bezpieczeństwa powinny być proporcjonalne do ryzyka stwarzanego przez produkt. Organizacje powinny oceniać wpływ podatności w oparciu o potencjalne szkody dla użytkowników, firm lub infrastruktury krytycznej.
- Minimalna ekspozycja na luki w zabezpieczeniach
Producenci muszą ograniczyć niepotrzebne narażenie danych i upewnić się, że produkty nie posiadają podatności. CRA zachęca do ograniczenia powierzchni ataku połączonych produktów.
Łatanie i konserwacja zabezpieczeń
- Zarządzanie podatnościami
Organizacje są zobowiązane do posiadania mechanizmów identyfikacji, oceny i naprawiania podatności w swoich produktach. Obejmuje to publikowanie poprawek i aktualizację zabezpieczeń.
- Terminowa aktualizacja
Producenci muszą dostarczać aktualizacje zabezpieczeń przez określony czas po wydaniu produktu, a aktualizacje te powinny być wdrażane niezwłocznie w celu wyeliminowania krytycznych luk w zabezpieczeniach.
- Powiadamianie o podatnościach
W przypadku wykrycia krytycznej luki w zabezpieczeniach, organizacje muszą powiadomić o tym swoich użytkowników i zapewnić wskazówki lub aktualizacje w celu naprawienia problemu. Konieczne może być również poinformowanie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o krytycznych podatnościach.
Więcej na stronie Rady Europejskiej: TUTAJ
Jaka jest różnica między CRA a NIS/NIS2?
Krótko mówiąc, Cyber Resilience Act (CRA) i dyrektywa NIS2 różnią się przede wszystkim przedmiotem i zakresem:
- CRA
Ustawa koncentruje się na cyberbezpieczeństwie produktów z komponentami cyfrowymi, takimi jak oprogramowanie i sprzęt. Zapewnia, że produkty sprzedawane w Unii Europejskiej są bezpieczne przez cały cykl ich życia, dzięki wymogom dotyczącym bezpiecznego projektowania, regularnych aktualizacji i zarządzania podatnościami. Skierowany jest głównie do producentów, deweloperów i dystrybutorów produktów cyfrowych.
- NIS/NIS2
NIS i NIS2 koncentrują się na cyberbezpieczeństwie infrastruktury krytycznej i podstawowych usług, takich jak energia, opieka zdrowotna i transport. Nakazują one stosowanie bardziej rygorystycznych praktyk w zakresie bezpieczeństwa, zgłaszania incydentów i zarządzania ryzykiem dla organizacji świadczących podstawowe usługi.
Podsumowując, CRA zajmuje się bezpieczeństwem produktów, podczas gdy NIS2 dotyczy bezpieczeństwa krytycznych sektorów i usług.
Czy zgodność z przepisami CRA brzmi jak wyzwanie?
Skontaktuj się z nami, a pomożemy Ci podjąć kroki w kierunku zapewnienia zgodności z przepisami CRA dzięki rozwiązaniu Holm Secuirty Next-Gen Vulnerability Management.
Jak możemy Ci pomóc? | Holm Security
Artykuł przetłumaczony z angielskiego artykułu napisanego przez Stefana Thelberg
Stefan Thelberg - Współzałożyciel i CEO Holm Security
Stefan jest jednym z najbardziej znanych europejskich przedsiębiorców zajmujących się cyberbezpieczeństwem, a wcześniej założył szwedzką grupę Webhosting Group i Stay Secure.

Mateusz Piątek
senior product manager Safetica / Holm Security / Segura
Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255
Polecane wydarzenia: