Cyber Resilience Act (CRA): Sigiliu de securitate pentru produsele digitale

Prin Cyber Resilience Act, UE tratează cu maximă seriozitate securitatea produselor digitale, ▶️ „Secure by design” devine obligatoriu pentru producători începând cu decembrie 2027.

În octombrie 2024, odată cu adoptarea Cyber Resilience Act (CRA), a început o nouă eră în ceea ce privește siguranța produselor pentru toate statele membre ale UE. Această reglementare stabilește un nivel minim de securitate cibernetică pentru produsele conectate de pe piața europeană.

Producătorii au la dispoziție 36 de luni pentru a-și adapta produsele la noile cerințe. Începând cu 11 decembrie 2027, toate produsele noi vor trebui să respecte integral aceste reguli

Înainte de a analiza conținutul reglementării, este utilă o scurtă introducere în context.

De ce reglementarea este calea corectă spre securitatea cibernetică

Să fim sinceri: când auzim expresia „reglementare UE”, mulți dintre noi reacționează cu scepticism. După RGPD, NIS2 și alte cerințe, CRA pare doar un alt obstacol birocratic.

Totuși, se poate susține, așa cum s-a afirmat și în cazul NIS2, CRA reprezintă un pas benefic pentru securitatea infrastructurii digitale, care continuă să se confrunte cu amenințări serioase.

Companiile care reacționează din timp la noile cerințe pot beneficia de avantaje competitive semnificative. La momentul adoptării CRA, au existat multe voci sceptice. Totuși, există motive convingătoare care arată clar de ce această reglementare este necesară:

1. Problema securității nu se rezolvă de la sine. Piața, de una singură, nu asigură standarde de securitate suficiente. CRA conduce la o îmbunătățire clară și măsurabilă a calității securității în cazul produselor noi.
2. Fără standarde nu există încredere. Clienții noștri vor să știe că dispozitivele și aplicațiile lor sunt sigure. CRA stabilește standarde minime obligatorii, care consolidează încrederea în produsele digitale. Produsele conforme cu CRA se bucură de un grad mai ridicat de încredere din partea utilizatorilor.
3. Europa își asumă responsabilitatea: Prin CRA, Europa se poziționează ca un lider în domeniul infrastructurilor digitale sigure. Tot mai mulți producători internaționali își aliniază standardele globale la cerințele impuse de Uniunea Europeană.

Un regulament, nu o directivă: CRA în contextul NIS2

Prin NIS2 s-a făcut deja un pas important către un mediu digital mai sigur.Datorită abordării sale cuprinzătoare, care include măsuri coerente și bine fundamentate, a fost stabilit pentru prima dată un nivel unitar de protecție pentru sectoarele critice din întreaga Europă, precum și responsabilități clar definite.

Cyber Resilience Act face un pas consecvent înainte: spre deosebire de NIS2, care este o directivă și trebuie mai întâi transpusă în legislația națională, CRA este un regulament, ceea ce înseamnă că se aplică direct și creează imediat claritate.

Producătorii știu acum exact ce măsuri de securitate trebuie să implementeze pentru ca produsele lor să fie conforme cu normele Uniunii Europene.

Ce înseamnă concret Cyber Resilience Act

Cyber Resilience Act se adresează producătorilor, comercianților și importatorilor de produse conectate, adică hardware, software, dispozitive IoT, sisteme de control inteligente și, practic, orice echipament care comunică sau procesează informații în format digital.

Până acum, produsele fizice din Europa erau supuse unui număr mare de cerințe de siguranță, cum ar fi marcajul CE pentru utilaje sau echipamente electronice. În schimb, produsele digitale erau adesea slab reglementate: o sonerie inteligentă din China sau India, cu vulnerabilități grave de securitate, putea ajunge fără probleme pe piața europeană.

Odată cu CRA, principiile „Security by Design” și „Security by Default” au devenit obligatorii, încă din faza de proiectare. Cerințele concrete includ:

• Dezvoltare și producție securizată: Producătorii trebuie să demonstreze că produsele sunt protejate în mod adecvat împotriva riscurilor cibernetice încă din faza de dezvoltare. Asta presupune, printre altele, cod software sigur, evitarea vulnerabilităților cunoscute și configurații sigure prestabilite.
• Actualizări de securitate și managementul ciclului de viață: Pe întreaga durată de viață a produselor, producătorii sunt obligați să furnizeze actualizări de securitate, să raporteze vulnerabilitățile și să asigure că actualizările sunt disponibile rapid, în siguranță și gratuit.
• Listă de componente software (SBOM): Pentru multe produse se solicită o listă detaliată a tuturor componentelor software utilizate, astfel încât utilizatorii să poată verifica dacă acestea conțin vulnerabilități cunoscute.
• Obligații de raportare a incidentelor de securitate: În caz de vulnerabilități grave sau atacuri reușite, producătorii trebuie să informeze autoritățile în termen de 24 de ore. Această obligație de raportare intră în vigoare începând cu septembrie 2026.
• Responsabilitate extinsă: Nu doar producătorii sunt vizați ci și comercianții și importatorii trebuie să se asigure că produsele pe care le vând respectă cerințele legale. În caz contrar, și ei pot fi trași la răspundere.

Impactul în practică – exemplul „Smart Lock”

Un producător de yale inteligente ar putea atinge conformitatea cu CRA prin mai multe măsuri bine direcționate: implementarea unei transmisii de date complet criptate, livrarea produselor cu parole individuale în locul celor standard, configurarea unui mecanism automat de actualizare, realizarea unei liste complete a componentelor software (SBOM) și formarea unei echipe de răspuns la incidente pentru reacții rapide în cazul apariției unor vulnerabilități.

Dacă un cercetător în securitate descoperă o potențială vulnerabilitate, compania poate reacționa rapid: autoritățile sunt informate, se dezvoltă și se lansează un update, iar utilizatorii afectați sunt notificați.

✅ Rezultatul: În locul unui prejudiciu de imagine, compania primește aprecieri pentru reacția sa rapidă și transparentă. Investițiile în conformitatea cu CRA se amortizează prin evitarea costurilor asociate crizelor și prin fidelizarea clienților.

O reglementare complexă pentru o securitate digitală solidă

Cyber Resilience Act nu vine izolat, ci face parte dintr-un cadru mai larg de reglementări, menit să asigure un nivel mai ridicat de securitate în spațiul digital:

▶️ NIS2 stabilește standarde de securitate cibernetică la nivel intersectorial

▶️ DORA reglementează în mod specific reziliența digitală în sectorul financiar

▶️ Cyber Resilience Act vizează securitatea hardware-ului și software-ului

▶️ AI Act aduce cerințe suplimentare, mai ales pentru produse cu funcționalități bazate pe inteligență artificială

Aceste reglementări se completează reciproc și se susțin una pe cealaltă. În calitate de furnizor de servicii IT certificat ISO 27001, putem oferi clienților noștri un sprijin valoros în implementare, deoarece multe principii de bază, precum evaluarea riscurilor, gestionarea incidentelor și îmbunătățirea continuă, sunt deja integrate în procesele noastre.

Companiile care abordează conformitatea într-un mod integrat, și nu ca pe un set de reguli separate, pot reduce semnificativ costurile de implementare.

Privind spre viitor: Siguranța produselor în era digitală

În calitate de furnizor de servicii în domeniul securității cibernetice, vedem Cyber Resilience Act (CRA) ca pe o oportunitate de a contribui activ la construirea unui viitor digital mai sigur. Într-o lume în care încrederea a devenit cea mai valoroasă monedă, la final nu câștigă nici prețul cel mai mic, nici soluția cea mai rapidă, ci cel care oferă securitate, își asumă responsabilitatea și poate demonstra stabilitate.

Formular de contact

Hai să folosim timpul rămas până la implementarea completă a CRA pentru a face produsele digitale mai sigure chiar de la bază. Reglementarea UE reprezintă un pas esențial în direcția corectă, de care vom beneficia cu toții.

Luați legătura cu noi acum prin intermediul formularului de contact. Împreună cu dumneavoastră, vom identifica lacunele existente printr-o analiză de tip Gap, vom transforma cerințele abstracte în măsuri concrete și vă vom sprijini pe tot parcursul implementării.