Cyber Resilience Act (CRA) byl před nedávnem zveřejněn v Úředním listu EU. Nařízení obsahuje požadavky na kyberbezpečnost produktů s digitálními prvky. Podniky, kterých se to týká, budou mít nyní 36 měsíců na to, aby požadavky popsané v CRA dokázali implementovat do svých provozů. Některé z ohlašovacích povinností musí být však plněny již během následujících 21 měsíců. Koho přesně se povinnosti týkají? Co CRA požaduje?
Ostfildern , 20. 11. 2024
Pilz nabízí informace a rady pro realizaci – právně závazné: Jak se podniky mohou nyní připravit na Cyber Resilience Act
Právní akt EU o kybernetické odolnosti: Cílem CRA je lépe chránit spotřebitele a podniky před kyberútoky. Cyber Resilience Act (CRA) míří přímo na výrobce, dovozce a prodejce produktů s digitálními prvky, které jsou schopny komunikovat s jinými produkty. To zahrnuje i hardware a software. Týká se to tedy produktů jak z oblasti B2C, tedy smartphonů nebo robotických vysavačů prachu, tak i z oblasti B2B, tedy řídicích systémů a snímačů, ale i čistě softwarových produktů jako jsou operační systémy. CRA byl zveřejněn v Úředním listu Evropské unie dne 20.11.2024. Jako nařízení nabývá tento zákon okamžité platnosti ve všech členských státech EU.
Nejdůležitější požadavky na výrobce strojních zařízení
- Posuzování rizik a záruky: Výrobci musí produkty navrhovat a vyvíjet tak, aby během celého jejich životního cyklu byla zaručena přiměřená míra kybernetické odolnosti.
- Management napadnutelných míst: Pokud mezi výrobcem a průmyslovým uživatelem nebyla uzavřena jiná dohoda, měl by výrobce známá napadnutelná místa bezpečně odstranit bezplatnou aktualizací.
- Dokumentace: Výrobci musí napadnutelná místa a komponenty svých produktů identifikovat a dokumentovat.
- Ohlašovací povinnost: Výrobce musí využívané napadnutelné místo oznámit během 24 hodin po jeho zjištění prostřednictvím platformy ENISA (European Union Agency for Cybersecurity).
Co mohou výrobci strojních zařízení udělat již nyní
Pilz jako expert na bezpečnou automatizaci doporučuje všem výrobcům strojních zařízení, aby se co nejdříve s požadavky CRA seznámili a společně s výrobci komponent a provozovateli začali pracovat na koncepci spolupráce. V jaké síťové zóně by mělo být strojní zařízení provozováno? Jak je třeba zacházet s aktualizacemi softwaru? Pokud tyto otázky budou vyjasněny předem, může každý účastník řetězce bez problémů plnit své organizační a technické povinnosti. Pilz již dlouhá desetiletí podporuje výrobce a uživatele strojů a zařízení v otázkách bezpečnosti – to platí i pro nové požadavky v oblasti Industrial Security. Protože bez Security zůstává strojní zařízení napadnutelné a nechráněné, i kdyby byla přijata ta nejlepší opatření z oblasti Safety. Je proto nutné pojistit se preventivními opatřeními.
2 praktické tipy pro plnění požadavků CRA
- Nutná znalost aktuální situace: předplacené zpravodaje a RSS-Feeds na stránkách eur-lex.europa.eu zajistí informace o změnách zákonů na úrovni EU.
- Common Security Advisory Framework (CSAF) je standardizovaná a otevřená platforma pro komunikaci a automatizovatelné šíření strojově zpracovatelných informací o napadnutelných místech a zmírnění škodlivých účinků, tzv. Security Advisories.
Pilz Czech s.r.o.
Jeremenkova 1160/90a
140 00 Praha 4
Czech Republic
Telefon: +420 222 135353
E-Mail: info@pilz.cz
Telefon: +49 711 3409 - 0
E-Mail: publicrelations@pilz.com