Cyber Resilience Act (CRA):
Kybernetická bezpečnost pro připojené produkty
Cyber Resilience Act (CRA):
Zákonem o kybernetické odolnosti (CRA) vstoupí od prosince 2027 v platnost v celé EU závazné požadavky na kybernetickou bezpečnost pro „produkty s digitálními prvky“. Nové požadavky jsou navrženy tak, aby zajistily kybernetickou bezpečnost po celou dobu životního cyklu produktu, podporovaly šíření bezpečných technologií, chránily spotřebitele a posilovaly důvěru v digitální produkty. INSYS icom podporuje společnosti v brzké a udržitelné implementaci regulačních požadavků.
Zákonem o kybernetické odolnosti (CRA) vytváří Evropská unie svou první horizontálně použitelnou bezpečnostní regulaci pro digitální produkty. Cílem je stanovit jednotnou minimální úroveň kybernetické bezpečnosti v celém vnitřním trhu. Týká se to téměř všech síťově propojených produktů, od průmyslových routerů až po IoT komponenty. V budoucnu budou výrobci povinni splnit komplexní požadavky na bezpečný vývoj produktů, řízení zranitelností a poskytování bezpečnostních aktualizací. Do regulační odpovědnosti budou zahrnuti také dovozci a distributoři.
Co je Cyber Resilience Act?
Zákon o kybernetické odolnosti (CRA) rozšiřuje stávající značku CE, která se dříve zaměřovala primárně na funkční bezpečnost, o povinné požadavky na kybernetickou bezpečnost. V budoucnu nebudou produkty posuzovány pouze z hlediska mechanických nebo elektrických rizik, ale také z hlediska, zda jsou dostatečně chráněny proti kybernetickým útokům.
Nařízení platí pro všechny síťově propojené produkty s digitálními prvky. To zahrnuje jak hardware se síťovými funkcemi, jako jsou průmyslové routery, tak i čistě softwarové produkty. Cílem CRA je zvýšit kybernetickou bezpečnost hardwarových a softwarových řešení, vytvořit větší transparentnost ohledně implementovaných bezpečnostních mechanismů a učinit výrobce více odpovědnými za průběžné řízení zranitelností.
Koho se to týká?
Požadavky zákona o kybernetické odolnosti se týkají široké skupiny aktérů v celém životním cyklu digitálních produktů. Zejména následující cílové skupiny se musí přizpůsobit novým požadavkům na kybernetickou bezpečnost:
Relevantní sektory: kritické infrastruktury, průmyslová komunikační technologie, technologie dálkového ovládání, veřejné služby, veřejné instituce a strojírenství a výroba zařízení.
Bezpečně splňte požadavky CRA s INSYS icom
Kyberneticky bezpečná řešení a portfolio produktů kompatibilních s CRA pro vaše požadavky.
Požádat o cenovou nabídku
Co znamená CRA v praxi?
Zákon o kybernetické odolnosti vyžaduje, aby výrobci zajistili minimální úroveň kybernetické bezpečnosti pro všechny připojené produkty s digitálními prvky. Implementace těchto požadavků musí být jasně zdokumentována a prokázána. Konkrétně to znamená:
Security by Design
Propojené produkty musí být navrženy tak, aby byly kyberneticky bezpečné již od počátku, např. prostřednictvím šifrovaného firmwaru.
Security by Default
Jsou povinná bezpečná výchozí nastavení, jako jsou automatické bezpečnostní aktualizace nebo zamezení používání výchozích hesel.
Declaration of conformity
Výrobci musí prokázat, že jejich produkt splňuje všechny požadavky CRA, například prostřednictvím harmonizovaných norem nebo ekvivalentních interních postupů s odpovídající auditovatelností.
Vulnerability management
Zjištěné zranitelnosti musí být hlášeny, dokumentovány a odstraňovány po celou dobu životního cyklu produktu.
Software Bill of Materials (SBOM)
Během fáze vývoje musí být vytvořen SBOM („seznam složek“ všech softwarových komponent). Zveřejnění není vyžadováno.
Security Updates
Bezpečnostní aktualizace musí být poskytovány po celou dobu podpory.
Co je třeba udělat a do kdy?
Nařízení vstoupilo v platnost v prosinci 2024 a musí být implementováno do 11. prosince 2027. Nové produkty uvedené na trh musí do tohoto data splňovat všechny požadavky.
Vzhledem ke složitosti požadavků je nutné jednat včas. Společnosti v kritických infrastrukturách a průmyslových aplikacích by již nyní měly sladit svou produktovou strategii, bezpečnostní architekturu a procesy údržby s požadavky zákona o kybernetické odolnosti, aby se vyhnuly následným nákladům na konverzi, zpoždění dodávek a regulačním rizikům.
Časová osa Cyber Resilience Act
11 prosince 2024
CRA vstupuje v platnost
11 června 2026
CAB (conformity assessment bodies) může posuzovat soulad s požadavky CRA
11 září 2026
Povinné hlášení zranitelností a incidentů
11 prosince 2027
Datum účinnosti požadavků CRA
*CAB = subjekty pro posuzování shody
Jaké jsou sankce?
Nedodržení požadavků zákona o kybernetické odolnosti může vést k vážným důsledkům:
Bezplatný whitepaper:
„Bezpečné zavedení vzdálené údržby založené na VPN:
Jak INSYS icom podporuje výrobce strojů
se zákonem o kybernetické odolnosti“
» Secure introduction of VPN-based remote maintenance: How INSYS icom supports machine manufacturers with the Cyber Resilience Act «
Contents
- Secure remote maintenance in an increasingly networked industry
- Cyber Resilience Act
- Future viability through secure connectivity
- Increasing requirements due to regulations and their implementation
- Effects of the CRA for machine manufacturers
- Practical measures and investments in cyber security
- Secure solutions for CRA compliance
- Increased network security with icom OS
- Secure remote access with icom Connectivity Suite (iCS)
- Centralised device management with icom Router Management (iRM)
- Cyber Resilience Act – an opportunity for secure machine connectivity and new remote maintenance solutions
Request whitepaper now!
INSYS icom solution expertise
Bezpečná architektura zařízení
Architektury routerů kompatibilní s CRA s bezpečným firmwarem.
Bezpečnostní aktualizace
Automatizované bezpečnostní aktualizace s protokolováním odolným vůči auditu prostřednictvím icom Router Management.
Protokolování
Centrální dokumentace všech změn konfigurace a přístupů.
VPN služba
VPN služba se silným ověřováním a šifrovaným přenosem dat.
Bezpečný vývoj
Aplikace procesů souvisejících s bezpečností podle IEC 62443-4-1 při vývoji a údržbě softwaru.
Monitorování CVE
Podpora správy zranitelností prostřednictvím systematického monitorování CVE.
Řešení INSYS icom nabízejí technicky bezpečnou produktovou architekturu a automatizované procesy pro aktualizaci, protokolování a ověřování. To vytváří jasné výhody z hlediska auditovatelnosti, provozní spolehlivosti a souladu s předpisy na evropském jednotném trhu.
Bezpečnost a dodržování předpisů
Zde naleznete relevantní důkazy a dokumenty týkající se dodržování předpisů CRA, certifikovaných vývojových procesů a bezpečnostních opatření IT ve společnosti INSYS icom.
Zákon o kybernetické odolnosti – Často kladené otázky
Které produkty jsou ovlivněny zákonem o kybernetické odolnosti (CRA)?
Zákon CRA se týká téměř všech digitálních produktů s přímým nebo nepřímým síťovým připojením. Patří mezi ně síťové průmyslové komponenty, softwarové produkty, zařízení internetu věcí (IoT) a komunikační hardware. Rozhodujícím faktorem je, že produkt obsahuje digitální prvky a může nějakou formou komunikovat s jinými systémy nebo sítěmi.
Jak INSYS icom podporuje implementaci zákona o kybernetické odolnosti (Cyber Resilience Act)?
INSYS icom nabízí bezpečné architektury zařízení, automatizovanou správu aktualizací a dokumentaci technických bezpečnostních funkcí odolnou vůči auditu. To poskytuje společnostem solidní základ pro plnění požadavků CRA během probíhajícího provozu.
Jaké povinnosti mají provozovatelé kritické infrastruktury podle zákona CRA?
Ačkoli je CRA primárně zaměřen na výrobce, provozovatelé kritické infrastruktury jsou povinni používat pouze kompatibilní zařízení. Musí také zajistit, aby dostupné bezpečnostní aktualizace a záplaty byly neprodleně instalovány, aby byly splněny požadavky na provozní bezpečnost a právní požadavky.
Vztahuje se nařízení CRA také na softwarová řešení bez fyzického produktu?
Ano, na samostatný software, který je přímo či nepřímo kompatibilní se sítí, se nařízení vztahuje také.
Jakou roli hraje správa zranitelností v zákoně o kybernetické odolnosti?
Zákon CRA vyžaduje, aby výrobci průběžně identifikovali, posuzovali a odstraňovali zranitelnosti. Kromě toho musí být bezpečnostní zranitelnosti hlášeny centrálním platformám EU. Správa zranitelností se tak stává ústřední součástí bezpečnostního procesu v průběhu celého životního cyklu produktu.
Jaký je význam zákona o kybernetické odolnosti (Cyber Resilience Act) při posuzování bezpečnosti IT v úzké souvislosti s bezpečností provozních technologií (OT)?
Toto průlomové nařízení EU si klade za cíl zlepšit kybernetickou bezpečnost pro širokou škálu připojených zařízení a odstranit zranitelnosti ve stále více digitalizovaném a propojeném průmyslovém prostředí. V této souvislosti zákon o kybernetické odolnosti vyžaduje, aby výrobci zohledňovali požadavky na kybernetickou bezpečnost již ve fázi vývoje a dodržovali je po celou dobu životního cyklu produktu. Společnost INSYS icom to dokazuje mimo jiné certifikací podle mezinárodní normy IEC 62443-4-1.
Další opatření a především příležitosti v souvislosti se standardem kybernetické bezpečnosti jsme shrnuli v naší bílé knize „Bezpečné zavedení vzdálené údržby založené na VPN: Jak INSYS icom podporuje výrobce strojů se zákonem o kybernetické odolnosti“.
INSYS icom splňuje i tyto požadavky kybernetické bezpečnosti
NIS 2
Směrnice NIS 2 (Network and Information Security) stanoví závazné požadavky na kybernetickou bezpečnost pro kritické infrastruktury.
Směrnice o rádiových zařízeních (RED)
Rozšířená směrnice RED stanoví závazné požadavky na kybernetickou bezpečnost pro rádiová zařízení připojená k internetu, jako jsou routery a IoT zařízení.
Další informace o našich zabezpečených produktech
Správa zařízení
Šifrovaný, chráněný proti neoprávněné
manipulaci vzdálený přístup
Služba VPN
Centralizovaná správa aktualizací,
konfigurací a dokumentace
Máte ještě nějaké dotazy? Rádi vám pomůžeme!