Przepisy Cyber Resilience Act (CRA) zostały opublikowane niedawno w Dzienniku Urzędowym Unii Europejskiej. Rozporządzenie zawiera specyfikacje dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Przedsiębiorstwa podlegające wymogom przepisów CRA mają teraz 36 miesięcy na ich spełnienie. Niektóre obowiązki sprawozdawcze będą musiały zostać spełnione już w ciągu najbliższych 21 miesięcy. Kto dokładnie ponosi odpowiedzialność? Jakie wymagania wprowadzają przepisy CRA?
Ostfildern , 20 lis 2024
Firma Pilz dostarcza informacji i wskazówek dotyczących wdrażania nowych przepisów: Jak firmy mogą przygotować się już teraz na wejście w życie Cyber Resilience Act
Przepisy UE dotyczące cyberodporności: Celem przepisów CRA (Cyber Resilience Act) jest zapewnienie konsumentom i przedsiębiorstwom lepszej ochrony przed cyberatakami. Przepisy CRA ustanawiają różne wymogi dla producentów, importerów i dystrybutorów produktów wyposażonych elementy cyfrowe, które mogą komunikować się z innymi produktami. Dotyczy to zarówno sprzętu, jak i oprogramowania. Innymi słowy, przepisy dotyczą zarówno produktów z segmentu B2C, takich jak smartfony czy odkurzacze automatyczne, jak i produktów z segmentu B2B, takich jak sterowniki i czujniki, a także produktów programistycznych, takich jak systemy operacyjne. Przepisy CRA zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej 20.11.2024. Mają one charakter rozporządzenia i obowiązują od razu we wszystkich państwach członkowskich UE.
Kluczowe wymogi wobec producentów maszyn
- Ocena ryzyka i gwarancja: Producenci muszą projektować i rozwijać swoje produkty w sposób gwarantujący zapewnienie odpowiedniego poziomu cyberbezpieczeństwa w całym cyklu życia produktu.
- Zarządzanie lukami w zabezpieczeniach: Producent ma obowiązek eliminować luki w zabezpieczeniach za pomocą bezpłatnych aktualizacji urządzeń, chyba że producent i użytkownik komercyjny uzgodnili inaczej.
- Dokumentacja: Producenci muszą identyfikować i dokumentować luki w zabezpieczeniach swoich produktów.
- Obowiązek zgłaszania: W ciągu 24 godzin od momentu wykrycia luki w zabezpieczeniach producent ma obowiązek zgłosić ten fakt za pośrednictwem platformy zgłoszeniowej ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa).
Co producenci maszyn mogą zrobić już teraz?
Firma Pilz zaleca, aby wszyscy producenci maszyn niezwłocznie wyszli naprzeciw przepisom CRA oraz nawiązali współpracę z producentami podzespołów i operatorami w celu opracowania koncepcji współpracy. W której strefie sieciowej powinna być eksploatowana maszyna? W jaki sposób należy przeprowadzać aktualizacje oprogramowania? Jeżeli wątpliwości te zostaną wyjaśnione odpowiednio wcześnie, każdy podmiot poradzi sobie z wywiązaniem się ze swoich nowych obowiązków organizacyjnych i technicznych. Od dziesięcioleci firma Pilz wspiera producentów i użytkowników maszyn w zakresie bezpieczeństwa instalacji i maszyn. Nie inaczej jest w przypadku nowych wymagań dotyczących bezpieczeństwa przemysłowego. Ponieważ niezabezpieczona maszyna, pomimo wszystkich zastosowanych środków bezpieczeństwa, jest nadal podatna na ataki. Zapewnienie odpowiednich środków ostrożności jest koniecznością.
2 praktyczne wskazówki dotyczące wdrażania wymogów przepisów CRA
- Bądź zawsze na bieżąco: Subskrypcje newsletterów i kanałów RSS na stronie eur-lex.europa.eu pozwolą Ci śledzić zmiany w przepisach UE.
- Common Security Advisory Framework (CSAF) to otwarta platforma komunikacji i zautomatyzowanej dystrybucji przetwarzanych maszynowo informacji o lukach w zabezpieczeniach i środkach zaradczych, czyli tzw. Security Advisories.
Pilz Polska Sp. z o.o.
ul. Ruchliwa 15
02-182 Warszawa
Polska
Telefon: +48 22 884 71 00
E-mail: info@pilz.pl