Przejdź do treści

Akt w sprawie cyberodporności: Dlaczego producenci muszą działać już teraz?

Firmy często postrzegają przestrzeganie i dostosowanie do regulacji jako uciążliwą przeszkodę, która zatrzymuje rozwój ich biznesu. Jednak każdy producent powinien dostrzec biznesową wartość zgodności z Aktem w Sprawie Cyberodporności (CRA). Już teraz odpowiedzenie na nią daje przewagę pierwszego gracza, która nie zniknie prędko. Czym jest CRA, jak łączy się ze sztuczną inteligencją i jak Etteplan może pomóc Twojej firmie?

Sygnał alarmowy dla producentów: jak szybkie zapewnienie zgodności z CRA buduje przewagę pierwszego gracza

Wyobraź sobie firmę, która kupuje wózki widłowe do nowego, w pełni zautomatyzowanego magazynu. Dotychczasowy dostawca zakłada, że i tym razem dostarczy zamówienie. Jednak klient wymaga raportu z audytu potwierdzającego zgodność z nadchodzącym Aktem w Sprawie Cyberodporności (CRA). Stały dostawca nie dostarcza raportu w terminie i prosi o przedłużenie - bezskutecznie. Kontrakt trafia do zgodnego z przepisami konkurenta.

Projektowanie produktów z myślą o bezpieczeństwie i przyszłościowe wbudowane AI w świetle CRA

Jednym z kluczowych powodów, dla których uchwalono unijny Akt w Sprawie Cyberodporności, jest ograniczenie luk mogących prowadzić do ataków i wycieków danych. CRA wprowadza rygorystyczne wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi - w tym sprzętu, oprogramowania i usług chmurowych sprzedawanych na terenie UE.

Kładąc nacisk na solidne zabezpieczenia, CRA zasadniczo zmienia podejście do badań i rozwoju produktów cyfrowych. Wymusza proaktywne zarządzanie ryzykiem i projektowanie produktów z myślą o bezpieczeństwie. Wkrótce praktycznie wszystkie produkty fizyczne z komponentami cyfrowymi będą zawierać jakąś formę AI. CRA zobowiązuje do tego, by komponenty AI, modele i agenci wbudowani w urządzenia były zabezpieczone równie rygorystycznie, jak każde inne oprogramowanie.

Wbudowana AI musi być chroniona przed zewnętrzną manipulacją, która może prowadzić do awarii, wycieków danych, a nawet zagrożeń bezpieczeństwa. Dla producentów oznacza to konieczność przeprowadzenia gruntownych testów, przygotowania przejrzystej dokumentacji technicznej i mechanizmów aktualizacji systemów AI po wdrożeniu.

Jak zgodność z CRA pomaga wygrywać kontrakty?

Spełnienie wymagań może wydawać się trudne i pracochłonne, ale patrząc szerzej z biznesowej perspektywy, można znaleźć pewne zalety. CRA to szansa na wyprzedzenie konkurencji, wyróżnienie się, wygrywanie przetargów i zdobywanie udziałów w rynku. Jak to możliwe?

Znaczenie CRA wykracza daleko poza unikanie kar. Kluczowe jest to, jak szybko osiągniesz wymagany poziom zgodności.

Coraz więcej klientów korporacyjnych i instytucji publicznych już teraz uwzględnia wymogi CRA w umowach z dostawcami. Zapewnienie zgodności na wczesnym etapie, zaraz po wejściu przepisów w życie, buduje zaufanie i pomaga zdobywać kontrakty, zwłaszcza z klientami, którzy wymagają spełnienia CRA. Wybierany na partnera biznesowego jest ten producent produktów, który oferuje asortyment spełniający wysokie standardy cyberbezpieczeństwa, a tym samym zmniejsza ryzyko ataków czy wystąpienia zagrożenia.

Wczesne zaangażowanie w zapewnienie wysokich standardów bezpieczeństwa trwale wpływa na klientów. Nawet nabywcy spoza UE będą wyżej cenić producentów, którzy działają zgodnie z CRA niż tych, którzy regulacji nie spełniają.

Niezgodność z CRA może oznaczać utratę reputacji, wysokie kary i zakaz sprzedaży produktów

Lekceważenie CRA grozi poważnym uszczerbkiem na reputacji. W najgorszym wypadku UE może zakazać sprzedaży produktów, nakazać ich wycofanie z rynku i publicznie ogłosić naruszenia.

CRA będzie wdrażana etapami, zaczynając od września 2026 roku. Pełna zgodność będzie obowiązkowa od grudnia 2027 roku. Nie wiesz, jak podejść do tematu spełnienia wymogów regulacyjnych CRA? Przeczytaj również: 5 rzeczy, które każda firma produkcyjna musi wiedzieć przed wejściem w życie Aktu w sprawie cyberodporności UE.

Niezgodność może sporo kosztować. Lokalne organy ds. cyberbezpieczeństwa nadzorujące wdrożenie mogą pojawić się z niezapowiedzianą kontrolą i zażądać wykazu komponentów, czyli SBOM. Brak dokumentacji grozi karą do 5 milionów euro.

Jeszcze surowsze sankcje grożą firmom, które opieszale reagują na incydenty bezpieczeństwa. Producenci urządzeń mają obowiązek zgłosić wykorzystaną podatność w ciągu 24 godzin od jej wykrycia i dostarczyć pełne informacje w ciągu 72 godzin.

Najszybszą drogą do zgodności z CRA jest partnerstwo

Kluczem do szybkiego i skutecznego osiągnięcia zgodności, która staje się przewagą konkurencyjną, jest współpraca z doświadczonym partnerem - kimś, kto rozumie zarówno techniczny, jak i biznesowy wymiar CRA.

Agramkow nie posiadało wewnętrznego doświadczenia w zakresie regulacji i potrzebowało potwierdzenia, że prawidłowo rozumie i stosuje się do zapisów prawnych. Etteplan zapewnił szybki dostęp do wiedzy dotyczącej CRA, łącząc doradztwo z praktycznym wsparciem. Zweryfikował podejście Agramkow i zapewnił zgodność bez zakłócania wewnętrznych prac rozwojowych. Przeczytaj więcej o współpracy z Agramkow. Dowiedz się więcej, jak pomogliśmy firmie Agramkow.

Przygotowujesz się do wdrożenia unijnego Aktu w Sprawie Cyberodporności? Możemy przyspieszyć Twoją drogę do zgodności, ograniczyć ryzyko i pomóc Ci dostarczać klientom bezpieczne produkty. Skontaktuj się z nami, aby omówić, jak przekształcić zgodność z CRA w strategiczną przewagę.

  • 5 rzeczy, które każda firma produkcyjna musi wiedzieć przed wejściem w życie Aktu w sprawie cyberodporności UE

Zadaj pytanie

Artur Mroczkowski

Head SES Poland