Cyber Resilience Act

Od 11. prosince 2027 budou mít na trh Evropské unie přístup pouze produkty, které splní požadavky Cyber Resilience Act (CRA). CRA obsahuje požadavky na kyberbezpečnost produktů s digitálními prvky.

Jaké nové požadavky Cyber Resilience Act přináší? Jaké produkty musí požadavky CRA splňovat? Co musí podniky udělat? Shromáždili jsme pro Vás ta nejdůležitější fakta.

Co je Cyber Resilience Act?

Cyber Resilience Act (CRA) je nařízení EU, které definuje požadavky na produkty s digitálními prvky z hlediska kybernetické bezpečnosti v průmyslu. Dotčené produkty je nutné důkladně posoudit a případně upravit. Je to naléhavě nutné, protože od prosince 2027 budou na trh připuštěny pouze produkty splňující požadavky CRA.

Kdy vstupuje Cyber Resilience Act v platnost?

Nařízení CRA bylo zveřejněno v Úředním listu EU 20. listopadu 2024. Platí od 10. prosince 2024 a od 11. prosince 2027 bude v EU závazné. Oznamovací povinnost zneužití napadnutelných míst pro výrobce platí však podle CRA již od 11. záři 2026.

Co přesně CRA požaduje?

Cílem CRA je lépe chránit spotřebitele a podniky před kyberútoky. Cyber Resilience Act (CRA) míří přímo na výrobce, dovozce a prodejce produktů s digitálními prvky, které jsou schopny komunikovat s jinými produkty. To zahrnuje i hardware a software. Požadavky platí pro celý životní cyklus produktu, tedy od konceptu a vývoje přes výrobu, dodávku zákazníkovi až po celou následující dobu provozu a údržby u zákazníka.

Je Cyber Resilience Act nařízení nebo směrnice?

Cyber Resilience Act je nařízení EU, a proto platí ve všech členských zemích Evropské unie, aniž by je bylo nutné implementovat do národní legislativy.

Které produkty spadají do působnosti CRA?

CRA platí pro komponenty, zejména pro produkty s digitálními prvky, pro které je povinné posouzení shody.

Cyber Resilience Act (CRA) platí pro všechny produkty, jejichž součástí jsou digitální prvky – jako software nebo vysoce rizikové systémy AI – a které jsou propojeny se sítěmi nebo jinými zařízeními. Rozsah platnosti CRA je velmi široký a kromě jiného zahrnuje následující skupiny produktů:

• Průmyslový hardware a software jako přístroje IoT, programovatelné řídicí systémy (PLC) a snímače
• Softwarová řešení jako desktopové, webové a mobilní aplikace a operační systémy
• Inteligentní přístroje pro soukromé užívání a rovněž takový hardware a software

Tyto produkty jsou v závislosti na jejich potenciálním riziku roztříděny do různých kategorií. Do vyšší tříd rizika patří zejména systémy, které jsou používány v kritické infrastruktuře, průmyslové výrobě, energetickém a průmyslovém sektoru. Pro tyto produkty se požadavky na proces posuzování shody mění, protože mohou mít významn dopady na veřejnou bezpečnost a ekonomickou stabilitu.

Co tedy dělat? Jaké požadavky jsou na firmy kladeny?

Výrobce produktů s digitálními prvky musí dodržovat požadavky na kybernetickou bezpečnost obsažené v CRA. Jeho úkolem je zpracovat analýzu rizik, definovat a zavést opatření, která budou veškerá rizika redukovat. Dále musí zpracovat a spravovat dokumentaci týkající se posouzení rizik (včetně provedených opatření pro snížení rizik kybernetické bezpečnosti v průmyslu) a tuto dokumentaci archivovat po dobu 10 let. Závazným úkolem je rovněž průběžná kontrola možných míst napadení z hlediska kybernetické bezpečnosti v průmyslu, bezplatné poskytování příslušných aktualizací po dobu typickou pro používání produktu (min. 5 let) a hlášení zjištěných napadnutelných míst v oblasti kybernetické bezpečnosti v průmyslu do 24 hodin agentuře ENISA a příp. příslušným národním orgánům.

I u produktů, u kterých již byla shoda s CRA prokázána, bude nutné provést prověření a posouzení podle nově platných pravidel. Výsledek těchto prověrek musí být dokumentován a archivován po dobu 10 let. Kromě toho musí být zpracován Software Bill of Materials – softwarový kusovník (SBOM) – a je nutné prokázat, že vývoj a testy probíhaly přesně v souladu se zásadami kybernetické bezpečnosti v průmyslu.

Jaký význam má EU prohlášení o shodě v souvislosti s CRA?

Výrobci budou EU prohlášení o shodě vystavovat i nadále, protože je dokladem o splnění základních požadavků na kybernetickou bezpečnost v průmyslu. Z hlediska výrobce tedy posouzení shody ověřuje a potvrzuje splnění požadavků týkajících se posouzení rizik, řízení napadnutelných míst a dokumentace. Prohlášení o shodě se vystavuje teprve tehdy, když jsou všechny požadavky splněny. 

Bude i nadále existovat EU prohlášení o shodě zahrnující všechny právní předpisy Unie?

Jestliže produkt s digitálními prvky podléhá více právním předpisům Evropské unie, které požadují EU prohlášení o shodě, vystavuje se jediné takové prohlášení, které bude zahrnovat všechny související unijní předpisy. Toto prohlášení musí obsahovat odkaz na všechny dotčené právní akty Evropské unie včetně údajů o jejich publikaci v Úředním listu EU.

Jak dlouho musí být EU prohlášení o shodě k dispozici?

Výrobce vystavuje písemné prohlášení o shodě pro každý model produktu. Toto prohlášení musí být národním úřadům k dispozici po dobu deseti let po uvedení produktu s digitálními prvky na trh nebo po dobu přechodného období podle toho, které z těchto období je delší. Z prohlášení o shodě musí vyplývat, pro jaký model produktu bylo vystaveno. Jeden exemplář prohlášení o shodě se vždy na žádost předává příslušným úřadům.

Jaký je rozdíl mezi Cyber Resilience Act a NIS 2?

• CRA obsahuje základní požadavky kybernetické bezpečnosti v průmyslu na koncept, vývoj a výrobu produktů s digitálními prvky a povinnosti hospodářských subjektů vztahující se na tyto produkty z hlediska kybernetické bezpečnosti.
• Směrnice NIS 2 je určena firmám a požaduje od nich organizační a technická opatření pro snížení rizika kybernetické bezpečnosti v průmyslových podnicích.
• Posílení kybernetické bezpečnosti v průmyslu v EU: Oba právní akty – CRA a směrnice NIS 2 – se navzájem doplňují tím, že cílí na různé úrovně kybernetické bezpečnosti: CRA se zaměřuje na bezpečnost produktů, NIS 2 na bezpečnost infrastruktury a základních služeb. Společně pak představují důležitý příspěvek ke komplexnímu zlepšení kybernetické bezpečnosti Evropské unie.

Pilz svůj proces vývoje již před několika lety přizpůsobil normě IEC 62443-4-1. Tato norma definuje jako „základní norma pro kybernetickou bezpečnost v průmyslu“ bezpečný vývoj produktů, tj. „Security Development Lifecycle Prozess“. Shoda našich vývojových procesů je potvrzena auditem TÜV Süd. Pilz vyvíjí nejen safe, ale i secure!

To je pro naše zákazníky velmi důležité, protože společně s nařízením (EU) 2024/2847 – Cyber Resilience Act (CRA) bude od roku 2027 nutné kromě nového nařízení o strojních zařízeních (nařízení (EU) 2023/1230) používat další nařízení zaměřená na kybernetickou bezpečnost v průmyslu.

Konkrétně to znamená: Současné produkty budou podle potřeby patřičně doplněny, nové produkty budou vyvíjeny s dodržením shody s CRA a samotná shoda (označení CE) bude v souladu s platnými požadavky. Produkty, které novým požadavkům nevyhoví, budou buď vyřazeny z výroby, nebo budou nadále k dispozici jako náhradní díly. Jako náhradní díly je ovšem nebude možné používat v nových zařízeních.