Відповідність Закону ЄС про захист від кібернетичної інформації: комплексний підхід для OEM-виробників

14 листопада 2025 р

Блог

Це законодавство знаменує значну зміну вимог до всіх OEM-виробників. Законодавство поширюється на всі продукти з цифровими елементами (PDE), які продаються в ЄС. Законодавство не тільки складено таким чином, щоб воно застосовувалося до дуже широкого діапазону як апаратних, так і програмних продуктів, але також вимагає комплексного підходу до кібербезпеки для цих продуктів. Простого додавання кількох заходів безпеки до існуючого продукту недостатньо.

Мабуть, ще більшого значення набувають покарання, встановлені законодавством. Штрафи за недотримання CRA можуть становити до 15 мільйонів євро, або 2,5% світового обороту, залежно від того, що більше. У результаті кібербезпека більше не є приємною функцією для команди інженерів. Зараз це критичне бізнес-питання для генерального директора.

CRA було створено з трьома основними цілями:

1. Підвищення безпеки продукту, вимагаючи вбудованих у продукти надійних функцій кібербезпеки та вимагаючи від виробників підтримувати свої продукти протягом усього життєвого циклу продукту.
2. Підвищення прозорості, вимагаючи від виробників надавати клієнтам чітку та детальну інформацію про функції безпеки їхніх продуктів.
3. Гармонізація правил і спрощення відповідності в країнах-членах ЄС для забезпечення узгодженості безпеки цифрових продуктів у всьому ЄС.

CRA вимагає посилених рівнів кібербезпеки для всіх «продуктів з цифровими елементами» або PDE, які продаються в ЄС, незалежно від того, де продукт був розроблений і виготовлений. Як наслідок, будь-яка компанія, що продає електронні вироби в ЄС, незалежно від місця розташування компанії, повинна відповідати CRA.

Крім того, концепція PDE в широкому сенсі визначається як «будь-який програмний або апаратний продукт і його рішення для віддаленої обробки даних, включаючи програмні та апаратні компоненти, які розміщуються на ринку окремо». Охоплено практично будь-який електронний пристрій із програмним забезпеченням, процесором або мережевими можливостями. Сфера застосування досить широка і включає:

• пристрої IoT
• Настільні та мобільні програми (включаючи ті, що використовуються для керування пристроями Інтернету речей)
• Пристрій, який безпосередньо не підключений до мережі, але який можна підключити до іншого пристрою

Сфера застосування CRA не обмежується кінцевими пристроями. Це також стосується апаратних і програмних компонентів, які використовуються для створення цілей, таких як мікропроцесори, бібліотеки програмного забезпечення, операційні системи тощо. Навіть програмне забезпечення з відкритим кодом, якщо воно використовується в комерційному продукті, має відповідати CRA.

CRA класифікує продукти на чотири групи залежно від їхнього ризику та впливу на кібербезпеку. Загальні продукти включають більшість цифрового обладнання та програмного забезпечення зі стандартними вимогами до кібербезпеки, як-от споживча електроніка чи офісні програми. Важливі продукти класу I – це продукти, які становлять підвищений ризик у разі зламу, наприклад інструменти керування мережею або системи керування ідентифікацією. Ці продукти повинні пройти більш сувору оцінку безпеки. Важливі продукти, клас II включає продукти з ще більшим потенційним впливом на критичну інфраструктуру або конфіденційні дані. Приклади включають промислові системи керування, операційні системи або платформи хмарних обчислень, які потребують оцінки відповідності третьої сторони. Вимоги найвищого рівня безпеки застосовуються до критично важливих продуктів, збій яких може мати серйозні соціальні чи економічні наслідки. Це включає рішення кібербезпеки, що використовуються в критичних секторах, таких як брандмауери, системи виявлення вторгнень або криптографічні модулі. Критичні продукти підлягають найсуворішим вимогам безпеки та нагляду відповідно до CRA.

CRA визначає кілька категорій продуктів на основі їх передбачуваного використання з більш суворими вимогами до продуктів, які виконують важливіші функції.

CRA було прийнято в жовтні 2024 року та набуло чинності в грудні 2024 року. Початкові вимоги відповідності починаються в червні 2026 року з багатоетапним розгортанням примусового виконання. Зобов’язання щодо звітності для МНВ починаються з вересня 2026 року. Тоді виробники оригінального обладнання мають почати звітувати про всі вразливості та серйозні інциденти. Щоб досягти цього, OEM-виробники повинні мати можливість створювати SBOM, що дозволяє перевіряти наявність вразливостей. Вони також повинні мати можливість контролювати розгорнуті системи для виявлення інцидентів.

Повне застосування всіх положень CRA почнеться в грудні 2027 року. Враховуючи тривалий життєвий цикл багатьох пристроїв IoT, це означає, що більшість продуктів, які зараз розробляються, повинні відповідати всім положенням CRA.

CRA містить дуже широкий набір вимог, які повинні бути виконані, щоб відповідати законодавству. Деякі з основних моментів включають:

• Необхідно надати документацію щодо засобів безпеки та зберігати її протягом 10 років
• Функції безпеки повинні підтримуватися щонайменше 5 років
• Потрібне ведення журналу безпеки та моніторинг
• Необхідно надати SBOM
• У випущених продуктах не допускаються жодні відомі вразливості, які можна використовувати
• Необхідно розкрити будь-які відомі, але непридатні для використання вразливості
• Повідомлення про будь-які щойно виявлені вразливості або експлойти мають бути оприлюднені протягом 24 годин або відкриття

Щоб досягти відповідності вимогам CRA, команди інженерів повинні використовувати цілісний підхід до кібербезпеки. Це включає забезпечення дотримання відповідних процесів кібербезпеки, включаючи принципи безпеки за проектом, оцінки кібербезпеки та тестування продуктів на проникнення перед їх випуском. Це, звичайно, після забезпечення відповідних функцій кібербезпеки, включаючи шифрування, автентифікацію, контроль доступу, безпечне завантаження, безпечні оновлення тощо. Нарешті, потрібне постійне керування, включаючи моніторинг уразливостей і виправлення вразливостей. Для досягнення цього потрібен операційний центр кібербезпеки.

Досягнення відповідності вимогам CRA вимагає рішень у трьох сферах рішень IoT: Edge, мобільних додатків і хмарних систем.

Кожен домен IoT потребує унікальних знань:

Для Edge Security потрібні рішення, налаштовані на вбудовані системи, включаючи такі функції, як безпечне завантаження, безпечні оновлення мікропрограми, захист завантажувача, безпечний зв’язок та інтеграція з мікросхемами безпечних елементів.

Безпека мобільних додатків потребує підтримки обфускації, закріплення SSL, токенізації, виявлення проксі-сервера та виявлення загроз OWASP Mobile Top 10.

Cloud Security вимагає підтримки таких функцій, як захист мережі, брандмауери веб-додатків, DevSecOps і постійний моніторинг,

Ці функції мають підтримуватися безпечними процесами розробки, оцінками безпеки, тестуванням на проникнення та рішеннями центру безпеки, щоб забезпечити повний наскрізний захист і забезпечити дотримання нормативних актів, таких як CRA.

З прийняттям CRA кібербезпека стала обов’язковою функцією для кожного, хто створює пристрій IoT для ринку ЄС. Команди інженерів повинні надавати пріоритет кібербезпеці, починаючи з бюджетів і персоналу. Групи науково-дослідних розробок мають бути укомплектовані, навчені та надані їм можливість належним чином запроваджувати кібербезпеку. З цієї початкової точки кібербезпека повинна розглядатися під час створення графіків розробки продукту, визначення циклів тестування та вибору партнерів. Для багатьох клієнтів ключовим фактором успіху стане вибір партнера, який може допомогти надати рекомендації, зовнішнє тестування, інструменти та підтримувати операційний центр кібербезпеки.

CRA наразі введено в дію, але воно містить графік впровадження функцій, необхідних для відповідності. Хоча досягнення відповідності вимогам CRA буде серйозною проблемою для багатьох компаній, є час для компаній, які починають зараз і активно впроваджують можливості безпеки.

CyberWhiz надає рішення наступного покоління IoT Cyber ​​Security, що охоплює три домени систем IoT: периферійні пристрої, мобільні додатки та хмарні додатки. CyberWhiz допомагає виробникам Інтернету речей досягти відповідності нормам безпеки, включаючи CRA, за допомогою оцінки безпеки, тестування на проникнення, рішень безпеки кінцевих точок і постійного моніторингу, будучи універсальним центром для виробників пристроїв. Вони вже захищають мільйони пристроїв IoT і їхніх мобільних додатків у Європі.