Yasal olarak bağlayıcı - Pilz bilgi ve uygulama ipuçları sağlar: Şu anda şirketler Siber Dayanıklılık Yasasına nasıl hazırlanabilir?

Siber Dayanıklılık Yasası (CRA), yakın zamanda Avrupa Birliği Resmi Gazetesi’nde yayınlanmıştır. Regülasyon, dijital bileşenlere sahip ürünlerin siber güvenliğine yönelik spesifikasyonlar içermektedir. Etkilenen şirketlerin CRA'da yer alan gereklilikleri uygulamak için şu anda 36 ay süresi vardır. Belirli raporlama yükümlülüklerinin önümüzdeki 21 ay içinde yerine getirilmesi gerekmektedir. Tam olarak kim sorumludur? Peki CRA neleri gerektirir?

AB siber dayanıklılık yasası: CRA'nın amacı, tüketiciler ve işletmeler için siber saldırılara karşı daha iyi koruma sağlamaktır. Bu CRA, diğer ürünlerle iletişim kurabilen dijital elemanları olan ürünlerin üreticilerine, ithalatçılarına ve distribütörlerine yönelik çeşitli spesifikasyonlar içermektedir. Bunlar donanım ve yazılım ürünlerini içerir. Diğer bir deyişle, akıllı telefonlar veya robotik elektrikli süpürgeler gibi B2C segmentindeki ürünler, kontrol sistemleri ve sensörler gibi B2B segmentindeki ürünlerin yanı sıra işletim sistemleri gibi saf yazılım ürünleri de bundan etkilenir. CRA, 20.11.2024 tarihinde Avrupa Birliği Resmi Gazetesi'nde yayınlanmıştır. Bu yasa, AB üye ülkelerinde derhal bir regülasyon olarak yürürlüğe girmiştir.

Makine üreticileri için temel gereksinimler

• Risk değerlendirmesi ve garanti: Üreticiler, ürün yaşam döngüsü boyunca uygun bir siber güvenlik seviyesini garanti edecek şekilde ürünlerini tasarlamalı ve geliştirmelidir.
• Güvenlik açığı yönetimi: Üretici ile ticari kullanıcı arasında aksi yönde bir karar alınmadığı sürece, üretici, bilinen güvenlik açıklarını ücretsiz güvenlik güncellemeleri yoluyla ortadan kaldırmalıdır.
• Dokümantasyon: Üreticiler ürünlerindeki güvenlik açıklarını ve bileşenleri tanımlamalı ve belgelemelidir.
• Raporlama yükümlülükleri: Üretici, herhangi bir güvenlik açığının istismar edildiğini öğrendiği andan itibaren 24 saat içinde bunu ENISA (Avrupa Birliği Siber Güvenlik Ajansı) raporlama platformu aracılığıyla bildirmelidir.

Makine üreticileri şu anda ne yapabilir?

Emniyetli ve Güvenli otomasyon alanında uzman olan Pilz, tüm makine üreticilerine CRA'nın gerekliliklerini derhal yerine getirmelerini ve iş birliği konseptleri geliştirmek üzere bileşen üreticileri ve operatörlerle birlikte çalışmalarını önermektedir. Bir makine hangi ağ bölgesinde çalıştırılmalıdır? Yazılım güncellemeleri nasıl gerçekleştirilmelidir? Bu gibi sorulara önceden yanıt verebilirse, her ekonomik operatör, yeni organizasyonel ve teknik yükümlülüklerini yerine getirebilir. Pilz, on yıllardır makine üreticilerini ve kullanıcılarını tesislerinin ve makinelerinin Emniyeti konusunda desteklemektedir ve buna Endüstriyel Güvenlik ile ilgili yeni gereksinimler de dahildir. Çünkü tüm Emniyet önlemlerine sahip bir makine Güvenlik olmadan savunmasız ve korumasızdır. Koruyucu tedbirler bir zorunluluktur.

CRA spesifikasyonlarının uygulanması için 2 pratik ipucu

1. Her zaman güncel bilgi sahibi olun: eur-lex.europa.eu adresindeki haber bültenlerine ve RSS akışlarına abone olmanız, AB düzeyindeki mevzuat değişiklikleri hakkında bilgi sahibi olmanızı sağlayacaktır.
2. Ortak Güvenlik Danışmanlığı Çerçevesi (CSAF); Güvenlik Danışmanlıkları adı verilen, makine tarafından işlenebilir güvenlik açığı ve hafifletme bilgilerinin iletişimi ve otomatik dağıtımı için kullanılan standartlaştırılmış ve açık kaynaklı bir çerçevedir.

• Endüstriyel Güvenlik konusunda daha fazla bilgiye buradan ulaşabilirsiniz