Zgodność z przepisami Ustawa o cyberodporności
(Cyber Resilience Act)

Cyber Resilience Act (CRA) to proponowane w Unii Europejskiej rozporządzenie, które ma na celu zwiększenie bezpieczeństwa iodporności na cyberataki. Ustawa określa wytyczne dla firm i organizacji dotyczące zarządzania ich cyberbezpieczeństwem, w tym środki zapobiegania cyberatakom, ich wykrywania i zarządzania nimi.

Bezpieczny sprzęt i oprogramowanie

Pierwszy tego rodzaju akt prawny w całej UE to Ustawa o cyberodporności, która wprowadza obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla sprzętu i oprogramowania przez cały cykl ich życia.

Zakres wniosku obejmuje 2 główne cele służące zapewnieniu prawidłowego funkcjonowania rynku wewnętrznego:

  • Stworzenie warunków dla rozwoju bezpiecznych produktów z elementami cyfrowymi przez zapewnienie, aby sprzęt i oprogramowanie były wprowadzane do obrotu z mniejszą liczbą podatności, a także aby producenci poważnie traktowali bezpieczeństwo w całym cyklu życia produktu
  • Stworzenie warunków umożliwiających użytkownikom uwzględnianie cyberbezpieczeństwa przy wyborze produktów z elementami cyfrowymi i korzystaniu z nich.

Wyznaczono także 4 cele szczegółowe:

  • Zapewnienie, aby producenci poprawiali bezpieczeństwo produktów z elementami cyfrowymi, począwszy od etapu projektowania i opracowywania przez cały cykl życia.
  • Zapewnienie spójnych ram cyberbezpieczeństwa, ułatwiających producentom sprzętu i oprogramowania przestrzeganie przepisów.
  • Zwiększenie przejrzystości zabezpieczeń produktów z elementami cyfrowymi.
  • Umożliwienie przedsiębiorstwom i konsumentom bezpiecznego korzystania z produktów z elementami cyfrowymi.

Przegląd regulacji

Rozporządzenie UE

Zapewnienie, że produkty z elementami cyfrowymi wprowadzane na rynek UE mają mniej podatności w zabezpieczeniach i że producenci pozostają odpowiedzialni za cyberbezpieczeństwo przez cały cykl życia produktu.

Ramy czasowe

Parlament Europejski i Rada przeanalizują proponowany Akt o cyberodporności. Po jego przyjęciu podmioty gospodarcze i państwa członkowskie będą miały dwa lata na dostosowanie się do nowego wymogu

Bezpieczeństwo według projektu

Ustawa o cyberodporności nakazuje przedsiębiorcom uwzględnienie środków bezpieczeństwa informacji i cyberbezpieczeństwa na etapie projektowania i rozwoju produktu, tzw. security-by-design.

Nie czekaj, aż będzie za późno. Pomożemy Ci zachować zgodność z unijną ustawą o cyberodporności

Unijna ustawa o odporności cybernetycznej: Szczegółowa analiza

EU Cyber Resilience Act jest świadectwem zaangażowania Unii Europejskiej w ochronę jej cyfrowego krajobrazu. Podkreśla nie tylko rolę producentów i przedsiębiorstw, ale także znaczenie świadomych użytkowników. Dla firm w UE zrozumienie i przestrzeganie tych wymogów to nie tylko zgodność z przepisami, ale także budowanie zaufania i zapewnienie bezpieczniejszej cyfrowej przyszłości dla wszystkich.

EU Cyber Resilience Act wprowadza obowiązkowe wymogi cyberbezpieczeństwa dla produktów w całym ich cyklu życia i nakłada szereg obowiązków na przedsiębiorstwa działające w UE. Wymogi te obejmują:

  • Bezpieczeństwo już na etapie projektowania: Kwestie cyberbezpieczeństwa muszą być zintegrowane z fazami planowania, projektowania, rozwoju, produkcji, dostawy i konserwacji wszystkich produktów.
  • Dokumentacja: Kompleksowa dokumentacja wszystkich zagrożeń cyberbezpieczeństwa związanych z produktem jest obowiązkowa.
  • Postępowanie z podatnościami w zabezpieczeniach: Producenci są zobowiązani do zapewnienia skutecznej obsługi luk w zabezpieczeniach przez cały oczekiwany okres użytkowania produktu lub przez co najmniej pięć lat, w zależności od tego, który z tych okresów jest krótszy, od momentu sprzedaży produktu.
  • Wskazówki dla użytkownika: Należy zapewnić jasne i przyjazne dla użytkownika instrukcje bezpiecznego użytkowania produktu, zwłaszcza w przypadku produktów z elementami cyfrowymi.
  • Aktualizacje zabezpieczeń: Producenci są zobowiązani do udostępniania aktualizacji zabezpieczeń przez co najmniej pięć lat.
  • Zgłaszanie incydentów: Firmy są zobowiązane do aktywnego zgłaszania wykorzystanych podatności w zabezpieczeniach i istotnych incydentów odpowiednim organom. Obejmuje to zdarzenia takie jak naruszenia danych i ataki ransomware, które mają znaczący wpływ na działalność firmy.

Zgłaszanie incydentów

Jeśli producent produktu z elementami cyfrowymi dowie się o aktywnie wykorzystywanej luce w zabezpieczeniach produktu, musi niezwłocznie zgłosić ją do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Zgłoszenia należy dokonać w ciągu 24 godzin od wykrycia podatności. Jeśli producent dowie się o incydencie mającym wpływ na bezpieczeństwo produktu, musi to również zgłosić ENISA w ciągu 24 godzin. Producent jest również zobowiązany do poinformowania użytkowników produktu o incydencie i, jeśli to możliwe, zaproponowania środków łagodzących.

Często zadawane pytania FAQ

Tutaj znajdziesz odpowiedzi na najczęściej zadawane pytania dotyczące ustawy o cyberodporności

Czym są produkty klasy I w Ustawie o odporności cybernetycznej?

Produkty klasy I charakteryzują się niższym poziomem cyberryzyka niż produkty klasy II, ale wyższym poziomem ryzyka niż produkty niesklasyfikowane lub domyślne. Lista produktów klasy I znajduje się w załączniku III do ustawy i obejmuje:

  • Oprogramowanie do zarządzania tożsamością i dostępem
  • Przeglądarki
  • Menedżery haseł
  • Wykrywanie złośliwego oprogramowania
  • Produkty wykorzystujące wirtualne sieci prywatne
  • Narzędzia do zarządzania siecią, konfiguracją, monitorowaniem i zasobami
  • Systemy zarządzania informacjami i zdarzeniami bezpieczeństwa
  • Narzędzia do zarządzania aktualizacjami i poprawkami
  • Oprogramowanie do zarządzania urządzeniami mobilnymi i aplikacjami
  • Oprogramowanie zdalnego dostępu
  • Fizyczne interfejsy sieciowe
  • Mikrokontrolery
  • Układy scalone i tablice bramek przeznaczone do użytku przez istotne podmioty opisane w dyrektywie NIS2
  • Systemy operacyjne, zapory sieciowe, routery, modemy, mikroprocesory, systemy automatyki przemysłowej i sterowania oraz przemysłowy IoT, które nie są objęte klasą II ustawy o odporności cybernetycznej.

Czym są produkty klasy II w Ustawie o cyberodporności?

  • Systemy operacyjne
  • Hiperwizory i systemy uruchomieniowe kontenerów
  • Infrastruktura klucza publicznego i wystawcy certyfikatów cyfrowych
  • Zapory sieciowe do zastosowań przemysłowych
  • Przemysłowe systemy wykrywania i zapobiegania włamaniom
  • Mikroprocesory ogólnego przeznaczenia
  • Mikroprocesory do programowalnych sterowników logicznych i bezpiecznych elementów
  • Routery do zastosowań przemysłowych
  • Modemy do zastosowań przemysłowych
  • Przełączniki przemysłowe
  • Bezpieczne elementy
  • Sprzętowe moduły bezpieczeństwa
  • Bezpieczne kryptoprocesory
  • Karty inteligentne, czytniki i tokeny
  • Systemy automatyki przemysłowej i sterowania przeznaczone do użytku przez istotne podmioty opisane w NIS2
  • Urządzenia przemysłowego internetu rzeczy przeznaczone do użytku przez istotne podmioty opisane w NIS2
  • Elementy czujników i siłowników robotów oraz sterowniki robotów
  • Inteligentne liczniki

Jakie są podstawowe wymogi bezpieczeństwa dla urządzeń połączonych?

Aby spełnić zasadnicze wymogi bezpieczeństwa, podłączone urządzenia lub ich producenci muszą:

  • Być zaprojektowane, opracowane i wyprodukowane z zachowaniem odpowiedniego poziomu cyberbezpieczeństwa.
  • Być dostarczane bez znanych podatności w zabezpieczeniach, które można wykorzystać.
  • Posiadać bezpieczną konfigurację domyślną.
  • Chronić przed nieautoryzowanym dostępem za pomocą narzędzi takich jak uwierzytelnianie i zarządzanie tożsamością.
  • Chronić poufność danych poprzez przetwarzanie i szyfrowanie odpowiednich danych.
  • Chronić integralność przechowywanych, przesyłanych lub przetwarzanych danych.
  • Zminimalizować gromadzenie danych tylko do przetwarzania tego, co jest odpowiednie do zamierzonego zastosowania.
  • Ograniczyć odmowę podstawowych funkcji lub usług.
  • Ograniczyć brak dostępności usług świadczonych przez inne urządzenia.
  • Ograniczyć powierzchnię ataku.
  • Ograniczyć skutki wykorzystania i wpływu incydentu związanego z cyberbezpieczeństwem.
  • Rejestrować lub monitorować istotne informacje związane z bezpieczeństwem.
  • Usuwać przyszłe luki w zabezpieczeniach poprzez (najlepiej automatyczne) aktualizacje zabezpieczeń, które powiadamiają użytkowników.

Jakie są podstawowe wymagania dotyczące podatności na zagrożenia dla producentów IoT?

Aby spełnić zasadnicze wymagania dotyczące podatności, producenci muszą podjąć następujące działania:

  • Dokumentować wszystkie luki w zabezpieczeniach i komponentach produktu.
  • Natychmiastowo usuwać i naprawiać luki w zabezpieczeniach.
  • Regularne testować i sprawdzać bezpieczeństwo produktów.
  • Publicznie ujawniać informacje o usuniętych podatnościach.
  • Ustanowić i egzekwować skoordynowane zasady ujawniania luk w zabezpieczeniach.
  • Zachęcać do dzielenia się informacjami na temat luk w zabezpieczeniach i zapewnić kontakt w celu ich zgłaszania.
  • Ustanowić mechanizmy dystrybucji aktualizacji, które w bezpieczny sposób minimalizują możliwe do wykorzystania luki w zabezpieczeniach.
  • Szybko i bezpłatnie dostarczać poprawki bezpieczeństwa wraz z jasnym wyjaśnieniem ich przeznaczenia dla użytkowników.

Czym jest unijna Ustawa o cyberodporności i co ma na celu?

Unijny Akt o odporności cybernetycznej to ramy prawne mające na celu zwiększenie cyberbezpieczeństwa i odporności infrastruktury krytycznej i usług cyfrowych w całej Unii Europejskiej. Jego główne cele obejmują ustanowienie standardów środków cyberbezpieczeństwa, promowanie zgłaszania incydentów oraz zapewnienie skoordynowanej reakcji na zagrożenia cybernetyczne na poziomie UE.

Których organizacji i podmiotów dotyczy Ustawa o cyberodporności?

Ustawa o odporności cybernetycznej ma zastosowanie przede wszystkim wobec operatorów usług kluczowych (OES) i dostawców usług cyfrowych (DSP) działających w Unii Europejskiej. OES i DSP są zobowiązani do przestrzegania konkretnych obowiązków w zakresie cyberbezpieczeństwa określonych w ustawie. Zakres i wymagania mogą się różnić w zależności od sektora i wielkości organizacji.

Jakie są kary za nieprzestrzeganie unijnej Ustawy o odporności cybernetycznej?

Nieprzestrzeganie ustawy może skutkować karami, które mogą się różnić w zależności od powagi naruszenia i stopnia zaniedbania. Kary mogą obejmować grzywny, publiczne nagany lub środki naprawcze. Ważne jest, aby organizacje, których to dotyczy, upewniły się, że spełniają obowiązki w zakresie cyberbezpieczeństwa, dzięki czemu unikną potencjalnych konsekwencji prawnych.