
5 rzeczy, które każda firma produkcyjna musi wiedzieć przed wejściem w życie Aktu w sprawie cyberodporności UE
Akt w sprawie cyberodporności UE (Cyber Resilience Act, CRA) to pierwsza wiążąca unijna regulacja, która zobowiązuje producentów do projektowania urządzeń i programów z uwzględnieniem domyślnych zabezpieczeń oraz przeprowadzania ocen ryzyka już od pierwszego dnia. Czym jest CRA, kogo i czego dotyczy oraz dlaczego SBOM ma kluczowe znaczenie? Przygotowaliśmy kompendium wiedzy w pigułce dla producentów sprzętu przemysłowego.
Przez wiele lat producenci mogli sprzedawać połączone produkty, nie mając praktycznie żadnych prawnych zobowiązań w zakresie zapewnienia ich bezpieczeństwa. Aspekt cyberodporności traktowano jako opcję, funkcję możliwą do dodania w późniejszym terminie albo po prostu go ignorowano. W tym samym czasie liczba cyberataków na połączone produkty gwałtownie rosła.
W odpowiedzi na to, UE opracowała Akt w sprawie cyberodporności. Dla firm produkujących sprzęt przemysłowy oznacza to fundamentalne zmiany w sposobie projektowania, dokumentowania, serwisowania i sprzedaży produktów na rynku unijnym.
Akt w sprawie cyberodporności 2024/2847 wszedł w życie 10 grudnia 2024 roku z trzyletnim okresem przejściowym. Jednak już od 11 września 2026 roku producenci będą musieli zgłaszać aktywnie wykorzystane podatności w ciągu 24 godzin, w tym te dotyczące produktów już dostępnych na rynku. Po nadejściu ostatecznego terminu pełnego wejścia w życie CRA (10 grudnia 2027 roku) zapewnienie pełnej zgodności będzie obowiązkiem.
1. CRA dotyczy produktów z elementami cyfrowymi
CRA obejmuje wszystkie produkty z elementami cyfrowymi, wprowadzane na rynek unijny, które mogą łączyć się - bezpośrednio lub pośrednio - z urządzeniem lub siecią. Dotyczy to sprzętu, takiego jak napędy, sterowniki PLC, roboty i czujniki, a także samodzielnego oprogramowania, np. systemy SCADA i narzędzia konfiguracyjne. Regulacje CRA dotyczą też rozwiązań do zdalnego przetwarzania danych, takich jak usługi chmurowe.
Akt w sprawie cyberodporności nakłada obowiązki nie tylko na producentów, ale też ich upoważnionych przedstawicieli spoza UE, importerów i dystrybutorów. Wszyscy muszą weryfikować, czy produkt odpowiada na zawarte regulacje w CRA. Bez udokumentowanej zgodności umieszczenie oznakowania CE nie jest dozwolone, a tym samym produkt nie może trafić na rynek unijny do sprzedaży.
2. Zgodność z Aktem w sprawie cyberodporności zaczyna się już na etapie projektowania produktu
CRA opiera się na podstawowej zasadzie uwzględnienia bezpieczeństwa już w fazie projektowania. Na tym etapie producenci muszą ocenić ryzyka bezpieczeństwa i zaprojektować produkt w taki sposób, aby minimalizować ich wystąpienie.
Gdy produkt opuszcza fabrykę, musi być skonfigurowany tak, aby klient nie musiał podejmować dodatkowych kroków w celu zapewnienia jego bezpieczeństwa. Producenci zostali zobowiązani do zagwarantowania aktualizacji przez co najmniej pięć lat od sprzedaży produktu lub dłużej, jeśli urządzenie jest nadal użytkowane.
3. Firmy produkujące sprzęt przemysłowy stają przed poważnymi wyzwaniami
Podczas gdy typowe produkty konsumenckie są wymieniane co kilka lat, wiele produktów przemysłowych ma cykle życia sięgające kilkudziesięciu lat. Zmusza to producentów do długoterminowego wsparcia bezpieczeństwa, nawet dla starszego sprzętu. To zasadnicza zmiana w stosunku do dotychczasowych praktyk.
Złożone wbudowane oprogramowanie i zależności w łańcuchu dostaw dodatkowo komplikują to zadanie. Produkty wysokiego ryzyka, takie jak te stosowane w infrastrukturze krytycznej, mogą wymagać audytów przeprowadzanych przez podmioty trzecie.
4. Zgodność z CRA wymaga dokumentacji
Wszystkie produkty muszą spełniać około dwunastu wymagań bezpieczeństwa, a zgodność ma być udokumentowana. Przeprowadzenie oceny ryzyka cyberbezpieczeństwa przez producentów stała się koniecznością tak, jak tworzenie i utrzymanie dokumentacji technicznej projektu i architektury bezpieczeństwa przez co najmniej 10 lat.
Kluczowe jest skupienie się na SBOM (wykazach składników oprogramowania) dla każdego produktu. Są one niezbędne do weryfikacji regulacyjnej, a ich tworzenie wstecznie jest czasochłonne. Muszą być w formacie czytelnym zarówno maszynowo, jak i powszechnie stosowanym. Mają także zasadnicze znaczenie dla utrzymania systemów raportowania podatności w czasie rzeczywistym, które mogą porównywać publiczne bazy danych podatności z SBOM.
5. Kary za naruszenie CRA mogą być dotkliwe
Niezgodność z zapisami prawnymi grozi karami finansowymi, wykluczeniem z rynku i uszczerbkiem na reputacji producenta, jak i produktu.
Jeśli firma nie spełni zasadniczych wymogów cyberbezpieczeństwa, kara może wynieść 15 milionów euro lub 2,5% globalnego rocznego obrotu - w zależności od tego, która kwota jest wyższa. Kara za zbyt późne zgłoszenie wykorzystanych podatności może sięgnąć 10 milionów euro. UE może również zakazać sprzedaży produktów, nakazać ich wycofanie z rynku i publicznie ogłosić naruszenia.
Jakie kolejne kroki powinni podjąć producenci?
- Rozpocznij od analizy luk, aby określić, jakie zmiany są potrzebne.
- Wdróż procesy zapewniające, że nowe produkty od początku spełniają wymagane standardy.
- Ustanów systemy monitorowania podatności w czasie rzeczywistym i raportowania incydentów.
Agentyczna AI może przyspieszyć osiągnięcie zgodności poprzez automatyzację tworzenia SBOM i dokumentacji, wspomaganie modelowania zagrożeń oraz wspieranie testów penetracyjnych.
Jednak sama technologia nie wystarczy. Najszybszą i najlepszą drogą do osiągnięcia sukcesu jest partnerstwo z firmą, która rozumie zarówno CRA, jak i inżynierię przemysłową. Czas działać.
Przygotowujesz się do wdrożenia unijnej ustawy o odporności cybernetycznej? Etteplan pomaga producentom ocenić luki w zgodności, wzmocnić procesy cyberbezpieczeństwa i przyspieszyć osiągnięcie gotowości.

Zadaj pytanie
Head SES Poland
