27 maja 2025

CRA - czego dotyczy i jak to się ma do NIS/NIS2

Ustawa o odporności cybernetycznej - Cyber Resilience Act jest pierwszą z pierwszych tego typu regulacją na świecie, wprowadzającą obowiązek zapewnienia cyberbezpieczeństwa produktów cyfrowych. W przeciwieństwie do dyrektywy NIS2, która musi zostać przełożona na prawo krajowe na poziomie państw członkowskich, CRA jest aktem prawnym Unii Europejskiej i ma bezpośrednie zastosowanie we wszystkich państwach członkowskich.

10 grudnia UE przyjęła nowe prawo, rozporządzenie o Cyber Resilience Act (CRA), które będzie obowiązywało od 11 grudnia 2027 r. dla wszystkich produktów z elementami cyfrowymi. Podobnie jak wiele innych przepisów, CRA koncentruje się na systematycznej analizie ryzyka, czyli na proaktywnym podejściu do unikania incydentów.

Oto niektóre z wymogów CRA:

Bezpieczne projektowanie i rozwój produktów

  • Zabezpieczanie w fazie projektowania
    Organizacje muszą zapewnić, że zabezpieczenia są zintegrowane z całym cyklem życia produktu — od projektu po rozwój, wdrożenie i nie tylko. Obejmuje to identyfikację potencjalnych zagrożeń bezpieczeństwa już na etapie projektowania i tworzenie strategii ograniczania ryzyka.
  • Bezpieczeństwo oparte na analizie ryzyka
    Wdrożone środki bezpieczeństwa powinny być proporcjonalne do ryzyka stwarzanego przez produkt. Organizacje powinny oceniać wpływ podatności w oparciu o potencjalne szkody dla użytkowników, firm lub infrastruktury krytycznej.
  • Minimalna ekspozycja na luki w zabezpieczeniach
    Producenci muszą ograniczyć niepotrzebne narażenie danych i upewnić się, że produkty nie posiadają podatności. CRA zachęca do ograniczenia powierzchni ataku połączonych produktów.

Łatanie i konserwacja zabezpieczeń

  • Zarządzanie podatnościami
    Organizacje są zobowiązane do posiadania mechanizmów identyfikacji, oceny i naprawiania podatności w swoich produktach. Obejmuje to publikowanie poprawek i aktualizację zabezpieczeń.
  • Terminowa aktualizacja
    Producenci muszą dostarczać aktualizacje zabezpieczeń przez określony czas po wydaniu produktu, a aktualizacje te powinny być wdrażane niezwłocznie w celu wyeliminowania krytycznych luk w zabezpieczeniach.
  • Powiadamianie o podatnościach
    W przypadku wykrycia krytycznej luki w zabezpieczeniach, organizacje muszą powiadomić o tym swoich użytkowników i zapewnić wskazówki lub aktualizacje w celu naprawienia problemu. Konieczne może być również poinformowanie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o krytycznych podatnościach.

Więcej na stronie Rady Europejskiej: TUTAJ

Jaka jest różnica między CRA a NIS/NIS2?

Krótko mówiąc, Cyber Resilience Act (CRA) i dyrektywa NIS2 różnią się przede wszystkim przedmiotem i zakresem:

  • CRA
    Ustawa koncentruje się na cyberbezpieczeństwie produktów z komponentami cyfrowymi, takimi jak oprogramowanie i sprzęt. Zapewnia, że produkty sprzedawane w Unii Europejskiej są bezpieczne przez cały cykl ich życia, dzięki wymogom dotyczącym bezpiecznego projektowania, regularnych aktualizacji i zarządzania podatnościami. Skierowany jest głównie do producentów, deweloperów i dystrybutorów produktów cyfrowych.
  • NIS/NIS2
    NIS i NIS2 koncentrują się na cyberbezpieczeństwie infrastruktury krytycznej i podstawowych usług, takich jak energia, opieka zdrowotna i transport. Nakazują one stosowanie bardziej rygorystycznych praktyk w zakresie bezpieczeństwa, zgłaszania incydentów i zarządzania ryzykiem dla organizacji świadczących podstawowe usługi.

Podsumowując, CRA zajmuje się bezpieczeństwem produktów, podczas gdy NIS2 dotyczy bezpieczeństwa krytycznych sektorów i usług.

Czy zgodność z przepisami CRA brzmi jak wyzwanie?

Skontaktuj się z nami, a pomożemy Ci podjąć kroki w kierunku zapewnienia zgodności z przepisami CRA dzięki rozwiązaniu Holm Secuirty Next-Gen Vulnerability Management.

Jak możemy Ci pomóc? | Holm Security

 

Artykuł przetłumaczony z angielskiego artykułu napisanego przez Stefana Thelberg

Stefan Thelberg - Współzałożyciel i CEO Holm Security
Stefan jest jednym z najbardziej znanych europejskich przedsiębiorców zajmujących się cyberbezpieczeństwem, a wcześniej założył szwedzką grupę Webhosting Group i Stay Secure.

Mateusz Piątek

Mateusz Piątek
senior product manager Safetica / Holm Security / Segura

Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255

Polecane wydarzenia: