Skaitmeninis pasaulis vis labiau susijęs, nes daiktų interneto įrenginių svarba ir toliau auga. Viskas nuo išmaniųjų namų įrenginių iki ypatingos svarbos infrastruktūros yra internete, todėl kibernetinis saugumas yra visuotinis prioritetas žmonių ir tarptautinės infrastruktūros saugai ir saugumui užtikrinti.

Didėjantis prijungtų įrenginių skaičius kyla dėl kibernetinių nusikaltimų kainos. Dabartiniais skaičiavimais, kibernetinių nusikaltimų kaina iki 2026 m. viršys 20 trilijonų JAV dolerių, o tai yra 150 procentų daugiau nei 2022 m.

Siekdama kovoti su šiandieninėmis kibernetinėmis grėsmėmis, Europos Sąjunga (ES) priėmė Kibernetinio atsparumo aktą (CRA) – platų teisės aktą, kuriuo siekiama sustiprinti ES parduodamų gaminių su skaitmeniniais elementais (PDE) kibernetinį saugumą.

Kibernetinio atsparumo įstatymas apima įvairius PDE, su įvairiais atitikties reikalavimais ir didelėmis teisinėmis bei finansinėmis nuobaudomis. Atitikties užtikrinimas bus labai svarbus gamintojų sėkmei visame pasaulyje, kai CRA pradės galioti.

Kas yra ES kibernetinio atsparumo aktas (CRA)?

Europos Parlamentas 2024 m. kovo mėn. patvirtino ES kibernetinio atsparumo įstatymą, o 2024 m. spalį priėmė jį, įgyvendindamas ataskaitų teikimo mandatus. Iki 2027 m., po 36 mėnesių privalomo ataskaitų teikimo, kredito reitingų agentūra pradės veikti visoje Europos Sąjungoje.

CRA nustato nuoseklius kibernetinio saugumo reikalavimus PDE, įskaitant aparatinę programinę įrangą ir tik programinės įrangos produktus, užtikrindama saugumą per visą gyvavimo ciklą.

CRA plačiai veikia visus skaitmeninius produktus ES, išskyrus tokius sektorius kaip medicina, karinė, automobilių, aviacija ir jūra.

Pagrindiniai CRA tikslai yra sumažinti skaitmeninių produktų pažeidžiamumą, sumažinti kibernetinių atakų riziką ir užtikrinti aukštą visų rinkoje esančių produktų kibernetinio saugumo lygį.

Jei nesilaikysite CRA, gali būti skiriamos nemažos baudos iki 15 milijonų eurų arba 2,5 procento įmonės pasaulinės apyvartos (pajamų), atsižvelgiant į tai, kuri suma didesnė. CRA veiksmingai uždraudžia pardavinėti ES reikalavimų neatitinkančius gaminius ir gali panaikinti jiems reikalingą CE ženklą.

Kodėl kibernetinio atsparumo įstatymas yra svarbus?

CRA tiesiogiai reaguoja į didėjantį ES susirūpinimą dėl kibernetinio saugumo. Didėjantis prijungtų įrenginių skaičius – nuo ​​vartotojų įtaisų iki pramoninių valdymo sistemų – padarė kraštovaizdį labiau pažeidžiamą kibernetinių atakų.

CRA siekia užpildyti dabartinių kibernetinio saugumo sistemų ir praktikos spragas užtikrindama, kad produktai būtų saugūs pagal dizainą, visiškai atskleistų programinės įrangos priklausomybes ir prireikus galėtų būti iš naujo nustatyti į saugią numatytąją konfigūraciją.

ES kibernetinio atsparumo aktas užtikrina, kad saugumas yra neatsiejama plėtros dalis, apimanti platų produktų ir pramonės šakų spektrą.

Taikydama griežtesnius standartus ir didindama atskaitomybę, ES aktyviai saugo piliečius, įmones ir svarbiausią infrastruktūrą nuo nuolat besikeičiančios kibernetinės grėsmės.

Ar CRA galioja jums?

Jei jūsų įmonė kuria, gamina arba platina gaminius su skaitmeniniais elementais ES, greičiausiai bus taikoma CRA. CRA taikoma visiems naujiems produktams su skaitmeniniais elementais (PDE), kurie tiesiogiai arba netiesiogiai jungiasi prie įrenginio ar tinklo, įskaitant:

  • Išmanieji namų įrenginiai (pvz., apsaugos kameros, išmaniosios durų spynos, prietaisai)
  • VPN programinė įranga
  • Antivirusinės programos
  • Operacinės sistemos
  • Ugniasienės ir įsibrovimų prevencijos sistemos

Be bendrųjų PDE, CRA skirsto „kibernetinio saugumo ir tinklo valdymo produktus“ į I ir II klases, kuriems keliami griežtesni reikalavimai. Jei jūsų produktai atlieka esmines kibernetinio saugumo funkcijas, tikėtina, kad priklausote vienai iš šių klasių ir turite laikytis patobulintų atitikties priemonių.

Tik programinės įrangos produktai pagal CRA

ES kibernetinio atsparumo įstatymas apima tik programinės įrangos produktus pagal PDE, daugelis pagal paskirtį priskiriami I arba II klasei.

  • Operacinės sistemos: CRA reikalauja, kad tokios platformos kaip „Linux“, valdančios aparatinę įrangą ir sistemos išteklius, įtrauktų tvirtas saugos priemones.
  • Antivirusinės ir saugos priemonės: Antivirusinė programinė įranga, kaip kritinė apsauga nuo kenkėjiškų programų ir kitų grėsmių, turi atitikti griežtus CRA standartus, kad užtikrintų veiksmingą skaitmeninės aplinkos apsaugą.
  • VPN: CRA visiškai apima VPN, užtikrindama, kad jie užšifruotų ryšius ir apsaugotų vartotojo duomenis pagal aukščiausius saugumo standartus.

Ką apie nemokamą ir atvirojo kodo programinę įrangą (FOSS)?

Vienas dažnas klausimas yra susijęs su nemokama ir atvirojo kodo programine įranga (FOSS). Iš esmės FOSS nepatenka į CRA reglamentų taikymo sritį, nebent tai yra komercinės veiklos dalis. Pavyzdžiui, jei atvirojo kodo programinė įranga naudojama pelno siekiančiame arba pajamų gaunančiame produkte, jai taikoma CRA. Net jei programinė įranga yra laisvai prieinama, integruojant ją į komercinį produktą, ji patenka į akto kompetenciją.

CRA: pagrindiniai atitikties reikalavimai

Kibernetinio atsparumo įstatymas nustato griežtus standartus, kad būtų užtikrintas kibernetinis saugumas nuo produkto kūrimo iki eksploatavimo pabaigos etapų. Kad atitiktų standartus, PDE turi atsižvelgti į kibernetinį saugumą per visą gyvavimo ciklą, o gamintojas turi atsižvelgti į daugybę dalykų.

Reikalavimai yra skirti sustiprinti saugumą ir yra griežtai baudžiami siekiant užtikrinti, kad būtų laikomasi:

  1. Saugus pagal dizainą: Produktai turi būti kuriami atsižvelgiant į saugumą, įskaitant konfigūracijas, kurios sumažina pažeidžiamumą.
  2. Programinės įrangos medžiagų sąrašas (SBOM): Gamintojai turi turėti SBOM – išsamų gaminyje naudojamų programinės įrangos komponentų sąrašą, kad būtų lengviau nustatyti pažeidžiamumą ir juos pašalinti.
  3. Pažeidžiamumo valdymas: Gamintojai turi nuolat tikrinti ir vertinti, ar jų gaminiuose nėra pažeidžiamumų. Gamintojai turi greitai ištaisyti pažeidžiamumą ir pateikti saugius atnaujinimus, geriausia naudojant automatinius pasirinkimo mechanizmus.
  4. Skaidrumas ir atskleidimas: Gamintojai turi atskleisti ištaisytas spragas visuomenei, užtikrindami, kad vartotojai būtų informuoti ir galėtų imtis veiksmų.
  5. Baudos už reikalavimų nesilaikymą: Gamintojams, kurie nesilaiko CRA reikalavimų, gresia didelės baudos ir galimi nuostoliai. CE sertifikataso tai reiškia, kad jų produktai nebegali būti parduodami ES.

Kaip pasiruošti ES kibernetinio atsparumo įstatymo laikymuisi

Gamintojai turi imtis veiksmų dabar, kad užtikrintų atitiktį KRA, kol ji visapusiškai įsigalios. Teisės akte reikalaujama atlikti išsamius žingsnius ir svarstymus, o pagrindiniai parengiamieji darbai yra šie:

  1. Atlikite rizikos vertinimą: Įvertinkite savo dabartinius produktus, kad suprastumėte, ar ir kaip taikoma CRA. Atsižvelkite į jų rizikos lygį, ypač jei jie priklauso I arba II klasei.
  2. Į kūrimo procesą įtraukite saugumą: Priimti a saugumas pagal dizainą požiūrio, kai saugumo sumetimai įterpiami iš pat pradžių, o ne pridedami vėliau.
  3. Palaikykite SBOM: sukurkite ir atnaujinkite išsamų produkto programinės įrangos komponentų sąrašą. Įsitikinkite, kad ši informacija yra mašininiu būdu nuskaitoma, lengvai randama ir, jei reikia, pasirengusi bendrinti su suinteresuotosiomis šalimis.
  4. Pažeidžiamumo valdymo planas: sukurkite patikimą procesą, skirtą produkto pažeidžiamumui nustatyti, ištaisyti ir atskleisti. Procesas turėtų apimti planus, kaip greitai ir efektyviai išleisti saugius programinės įrangos atnaujinimus naudojant vartotojo ryšį arba valdymą (priėmimą).
  5. Įgalinkite visapusiškas OTA galimybes: Įdiekite patikimą naujinimo belaidžiu būdu sistemą, kad užtikrintumėte nuoseklius, laiku atliekamus pataisymus, kad būtų nuolat laikomasi reikalavimų.
  6. Bendradarbiaukite su ekspertais: Dėl sudėtingų kredito reitingų agentūrų reikalavimų būtina dirbti su kibernetinio saugumo, teisinės ir reguliavimo atitikties ekspertais.

Kibernetinio atsparumo įstatymas įpareigoja prijungtų produktų saugumą, kad būtų galima kovoti su didėjančiomis kibernetinėmis grėsmėmis. Tai užtikrina, kad gamintojai pirmenybę teikia saugumui per visą produkto gyvavimo ciklą.

ES įmonėms būtina laikytis KRA – ne tik teisiškai, bet ir norint išlikti konkurencingiems reguliuojamoje rinkoje.

Kredito reitingų agentūrai taikomos didžiausios piniginės baudos ir visų saugumo taisyklių taikymo sritis, o visi surinkti duomenys bus visiškai peržiūrėti iki 2027 m. Gamintojai turi veikti dabar, kad užtikrintų, jog produktai atitiktų CRA standartus ir išvengtų brangių neatitikimo pasekmių.

Kibernetinio saugumo įdiegimas ir CRA atitikties užtikrinimas padeda sumažinti riziką ir suteikia konkurencinį pranašumą naudojant saugius, atsparius produktus.





Source link

By admin

Draugai: - Marketingo paslaugos - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Karščiausios naujienos - Ultragarsinis tyrimas - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai -  Padelio treniruotės - Pranešimai spaudai -