Регламент (ЕС) 2024/2847 – Законодателен акт за киберустойчивостта (CRA)

Регламент (ЕС) 2024/2847 – Актът за киберустойчивост (Cyber Resilience Act, CRA) е нов регламент на ЕС, който въвежда хоризонтални изисквания за киберсигурност за „продукти с цифрови елементи“. Той беше приет през октомври 2024 г. и след преходните периоди ще започне да се прилага пряко във всички държави от ЕС от края на 2027 г. Ако сте мениджър в индустриалния сектор – независимо дали отговаряте за поддръжката, снабдяването или compliance – още сега си струва да разберете кои продукти попадат в обхвата на този регламент, какви нови задължения налага той на производители, вносители и дистрибутори и как да подготвите компанията за предстоящите промени. По-долу представяме най-важното в практичен план, без юридически жаргон, но с техническа прецизност – така че да улесним предприемането на подходящи подготвителни действия.

Обхват на прилагане: кои продукти обхваща Актът за киберустойчивост?

Регламент (ЕС) 2024/2847 се отнася до всички „продукти с цифрови елементи“, предоставяни на пазара на ЕС, чието предвидимо използване включва свързване с друго устройство или мрежа (пряко или непряко, физически или логически). С други думи, повечето устройства или софтуер, които могат да комуникират с други системи, попадат под новите изисквания. На практика това включва например IoT устройства и потребителска електроника (напр. смарт часовници, мобилни телефони, интелигентни домакински уреди и аудио-визуална техника, електронни бебефони), носими устройства (напр. фитнес гривни), индустриално оборудване с мрежови функции (сензори и индустриални машини, свързани към мрежа) и разнообразен софтуер (операционни системи, мобилни и компютърни приложения, бизнес софтуер и др.). Важно е, че софтуерът, продаван самостоятелно (като продукт), също попада в обхвата на CRA, както и услугите за дистанционна обработка на данни, които са неразделна част от продукта – например облачна услуга за управление на smart home устройство ще се счита за част от продукта и трябва да отговаря на изискванията за сигурност.

Регламентът има много широк обхват, но предвижда и изключения за определени категории изделия, които вече са уредени със собствени секторни правила. CRA не обхваща например: медицински изделия (обхванати от регламентите MDR 2017/745 и 2017/746), превозни средства и тяхното оборудване (обхванати, наред с другото, от регламент 2019/2144 в областта на типовото одобрение на превозни средства), въздухоплавателни средства (регламент 2018/1139 относно авиацията), както и морско оборудване (директива 2014/90/ЕС). За тези продукти съществуват отделни регулации, които често вече съдържат изисквания, съобразени със съответния сектор, поради което са изключени от обхвата на CRA. Освен това новите разпоредби не се отнасят до хардуер и софтуер, предназначени изключително за военни цели или за националната сигурност (както и за обработка на класифицирана информация). Изключени са също и резервните части, доставяни като заместители на идентични компоненти – ако оригиналният продукт е бил законно пуснат на пазара, идентичната част не трябва отделно да отговаря на CRA.

Струва си да се отбележи, че т.нар. свободен и отворен софтуер (open source) няма да бъде обхванат от CRA, стига да не се предоставя в рамките на търговска дейност. Следователно, ако даден софтуер се разработва и публикува безплатно, извън пазарния оборот, неговите създатели (напр. open source общност) не се третират като „производители“ по смисъла на регламента и върху тях не тежат описаните по-долу задължения. Ако обаче дадена компания използва open source компонент в свой търговски продукт, отговорността за изпълнение на изискванията за сигурност пада върху производителя на крайния продукт. В обобщение, CRA е насочен основно към професионално разработвани и продавани цифрови продукти, които достигат до крайните потребители на вътрешния пазар на ЕС.

Защо беше въведен CRA? Нови заплахи, регулаторна празнина и веригата на доставки

Европейският съюз отчете спешната необходимост от повишаване на киберустойчивостта на цифровите продукти на фона на нарастващите заплахи. През последните години броят и разнообразието на устройствата, свързани с интернет, нараснаха лавинообразно – от индустриални IoT системи във фабриките до интелигентни домашни уреди. За съжаление нивото на киберсигурност на тези продукти често е ниско, което се проявява в широко разпространени уязвимости и недостатъчно, както и непоследователно предоставяне на актуализации за сигурност. Досега много производители не поставяха сигурността като приоритет през целия жизнен цикъл на изделието, а потребителите често нямат нито достатъчна информираност, нито информация кои устройства са сигурни, колко дълго ще бъдат поддържани с актуализации и как да ги използват безопасно. Тази комбинация от фактори води до повишен риск от кибератаки.

Актът за киберустойчивост има за цел да запълни регулаторна празнина – досега на равнище ЕС липсваха единни, задължителни изисквания за цифровата сигурност на продуктите. Макар да съществуваха инициативи като сертифициране на сигурността на ИКТ (съгласно Акта за киберсигурност 2019/881) или изискванията на директивата NIS2 за критичните сектори, нито един правен акт не налагаше пряко задължение за „киберсигурност още при проектирането“ за всички устройства и софтуер, пускани на пазара. Именно такава универсална рамка създава CRA – той изисква хардуерът и софтуерът да бъдат проектирани, произведени и поддържани с прилагане на надеждни защитни мерки през целия им жизнен цикъл. Целта е на пазара да достигат продукти с по-малко уязвимости, а производителите да осигуряват бързо отстраняване на новите заплахи (напр. чрез защитни кръпки), вместо да оставят потребителите с устройства, пълни с пробойни.

Въпросът за киберустойчивостта има и измерение, свързано с веригата на доставки и трансграничния риск. В епоха, в която всичко е свързано с всичко, инцидент в едно на пръв поглед незначително устройство може да се превърне във вектор за атака срещу цялата организация или нейните бизнес партньори. Един заразен IoT сензор в производствен цех може да отвори вход към мрежата на предприятието; уязвимост в популярно приложение може да бъде използвана в глобален мащаб в рамките на минути. Както е подчертано в мотивите към регламента, киберинцидент в един продукт може да се разпространи по веригата на доставки отвъд границите на една държава само за няколко минути. Разходите за подобни атаки не се понасят само от производителите и потребителите, а и от цялото общество – смущения в критичната инфраструктура, финансови загуби, нарушения на обществената сигурност. Общите, задължителни правила в целия ЕС трябва да повишат общото ниво на защита и да предотвратят ситуация, при която най-слабото звено (неустойчив продукт) застрашава всички.

Допълнителен мотив е повишаването на доверието в цифровите продукти и изравняването на условията за конкуренция. В момента производителите, които инвестират в сигурност още при проектирането, нерядко губят ценово от онези, които пренебрегват тези въпроси. CRA трябва да направи така, че киберсигурността да се превърне в стандарт за качество – всички ще трябва да изпълняват минимални изисквания, което ще изравни условията и ще намали обществените разходи от атаките (които днес се прехвърлят върху жертвите). В резултат това трябва да повиши устойчивостта на целия пазар на ЕС и доверието на клиентите към съвременните устройства с цифрови елементи. Актът се вписва и в по-широката стратегия на ЕС (заедно с RODO, NIS2, DORA и др.), насочена към укрепване на киберсигурността на услугите и продуктите като основа на цифровата икономика.

Регламент (ЕС) 2024/2847: Основни задължения за производители, вносители и дистрибутори

Новият регламент въвежда редица конкретни задължения за икономическите оператори, участващи във веригата на доставки на продукти с цифрови елементи. Обхватът на отговорността зависи от ролята – най-много изисквания са поставени към производителите, но вносителите и дистрибуторите също имат съществени задачи. По-долу обобщаваме ключовите задължения от гледна точка на мениджър, който се грижи за съответствието на продуктите на компанията с изискванията. За по-широк контекст вижте CRA 2026–2027: как реално да подготвим продукта преди хармонизираните стандарти.

Задължения на производителите

Производителят (както и субектът, който пуска продукта под собствена марка или го модифицира – и той се счита за производител) носи основната отговорност за изпълнение на изискванията на CRA. Сред най-важните му задължения са:

• Осигуряване на съответствие на продукта с съществените изисквания за киберсигурност, определени в приложение I към регламента. На практика това означава, че още на етапа на проектиране и конструиране продуктът трябва да притежава характеристики, които гарантират подходящо ниво на цифрова сигурност, съразмерно на риска, свързан с конкретното изделие. Регламентът изброява редица конкретни технически изисквания – сред тях липса на известни уязвимости към момента на пускане на пазара, използване на сигурни настройки по подразбиране (напр. избягване на пароли по подразбиране), криптиране, когато е уместно, защита срещу неоторизиран достъп, защита на личните данни на потребителя, устойчивост на атаки, нарушаващи функциите (напр. DoS атаки), както и възможност за възстановяване на фабричните настройки. Продуктът трябва да бъде проектиран така, че максимално да ограничава своята „повърхност на атака“ – например да няма ненужни отворени портове или услуги, които увеличават излагането на киберзаплахи. Тези съществени изисквания (част I от приложение I към CRA) представляват контролен списък с характеристики за сигурност, на които всеки цифров продукт трябва да отговаря.
• Създаване на процес за управление на уязвимости и инциденти – производителят трябва активно да се грижи за сигурността на продукта след продажбата му, през целия деклариран период на поддръжка. В част II на приложение I са определени изискванията към процеса за управление на уязвимости (vulnerability handling): редовно тестване и наблюдение за нови пробиви, приемане на сигнали за уязвимости (напр. от изследователи или потребители), както и бързо отстраняване/поправяне на установените уязвимости чрез предоставяне на актуализации за сигурност. Производителят трябва да поддържа политика за координирано разкриване на уязвимости (coordinated disclosure) – т.е. да има определена точка за контакт, към която могат да се подават сигнали за проблеми, и процедури за реакция по тези сигнали. Важно е актуализациите да отстраняват уязвимостите без неоправдано забавяне и да се разпространяват по сигурен начин (напр. с цифров подпис). Съществено е, че производителят е длъжен да осигурява поддръжка и актуализации на защитата за период, съответстващ на очаквания жизнен цикъл на продукта, минимум 5 години (освен ако естеството на продукта не обосновава по-кратък срок). С други думи, ако нашето оборудване обичайно служи на клиентите ~5+ години, не можем да спрем да издаваме корекции след година или две – ще се изисква многогодишна поддръжка след продажбата, за да не остане потребителят с устройство, пълно с пробойни.
• Извършване на оценка на риска за киберсигурността – преди пускането на пазара на продукт с цифрови елементи производителят трябва да извърши систематичен анализ на рисковете, свързани с киберзаплахите за този продукт. Оценката на риска следва да бъде част от процеса на проектиране (security by design) и да отчита, наред с другото, предвиденото предназначение на изделието, потенциалните неправилни употреби, условията на използване (ИТ среда, мрежа, видът данни, които устройството обработва). Въз основа на този анализ трябва да се планират подходящи защитни мерки и да се заложат в конструкцията. Документацията от оценката на риска в киберпространството става част от техническата документация на продукта и трябва да се актуализира, ако се появят нови заплахи. Производителят е длъжен да съхранява документацията най-малко 10 години от пускането на продукта на пазара (а ако декларираният период на поддръжка е по-дълъг от 10 години – съответно по-дълго). Оценката на риска не е еднократно действие – тя трябва да бъде проверявана и актуализирана, когато е необходимо, особено ако бъдат открити нови уязвимости или се промени контекстът на използване на продукта.
• Контрол върху външните компоненти – производителят трябва да полага дължимата грижа при използването на компоненти от трети страни, включително библиотеки с отворен код. Необходимо е да се гарантира, че външните компоненти (софтуерни и хардуерни) не компрометират киберсигурността на продукта като цяло. На практика това означава необходимост от контрол върху версиите и актуализациите на използваните библиотеки, наблюдение на известните уязвимости (напр. публикувани в CVE) в тези компоненти и тяхното актуализиране/заменяне, когато се появят пробиви. Ако в продукта е използван софтуер с отворен код и в него бъде открита уязвимост, производителят е длъжен да информира субекта, отговорен за поддръжката на този open source (напр. open source проект) за възникналия проблем, а когато самостоятелно отстрани уязвимостта със собствени средства – да предостави на общността информация за нанесената корекция. Целта е производителите да бъдат включени в екосистемата на координираното отстраняване на уязвимости и в компонентите с отворен код.
• Формална оценка на съответствието и документи – преди продуктът да бъде пуснат на пазара, производителят трябва да проведе процедура по оценка на съответствието с изискванията на CRA и да изготви документация, потвърждаваща изпълнението на изискванията. За повечето „обикновени“ продукти (които не попадат в категорията на повишен риск) ще бъде достатъчна вътрешна проверка (вътрешна оценка) и изготвяне на техническа документация, съдържаща, наред с другото, описание на продукта, резултатите от анализа на риска, списък на приложените мерки за сигурност, процедури за изпитване и актуализиране и др. След това производителят издава ЕС декларация за съответствие, в която заявява, че изделието отговаря на всички приложими изисквания на CRA, и поставя върху продукта маркировката CE. Внимание: ако даден продукт е класифициран като „важен“ или „критичен“ от гледна точка на киберсигурността (Annex III и IV CRA), за него може да се прилагат по-строги процедури за оценка на съответствието. За съществените (важни) изделия от клас II, както и за критичните изделия, ще се изисква сертифициране от трета страна, т.е. изпитване и сертификат, издаден от нотифициран орган (напр. акредитирана лаборатория). За важните продукти от клас I е допусната самосертификация само ако съществуват подходящи хармонизирани стандарти, които производителят използва – в противен случай също е необходимо участие на трета страна. Затова мениджърът трябва да установи към коя категория принадлежи продуктът на компанията и дали ще е необходимо да се планира външно сертифициране (което може да повлияе на графика за пускане на продукта на пазара).
• Наблюдение на сигурността след пускане на пазара и докладване – новост, въведена от CRA, е задължението за докладване на сериозни проблеми със сигурността на съответните органи. Производителят трябва да уведомява за всяка активно експлоатирана уязвимост на своя продукт, както и за всеки сериозен инцидент, който засяга сигурността на продукта, до националния CSIRT (екип за реагиране), определен като координатор, както и до агенцията ENISA. Срокът за уведомяване е много кратък – 24 часа от установяването на уязвимостта/събитието (аналогично на строгите изисквания по RODO или NIS2). Подаването на уведомления ще се извършва чрез единна европейска платформа, поддържана от ENISA. Задължението за докладване ще влезе в сила по-рано от останалите изисквания (септември 2026 – виж сроковете по-долу) и от този момент ще се отнася за всички продукти на пазара. Поради това производителят трябва да има вътрешни процедури, способни да открият инцидент/уязвимост и в рамките на едно денонощие да предадат информацията, изисквана от регламента. Целта е на надзорните органи да се предостави преглед на възникващите заплахи и да се координира реакцията (напр. предупреждение към други потребители, когато даден продукт има критична уязвимост).

Горните задължения често налагат съществени организационни промени – от внедряване на Secure SDLC в отдела R&D, през нови политики за поддръжка и сервизно обслужване на продуктите, до допълнителна документация и обучение на персонала. В замяна компанията получава по-голяма увереност, че нейният продукт няма да се превърне в източник на сериозен киберинцидент, както и съответствие с предстоящите правни изисквания, което ще позволи продажбите на пазара на ЕС да продължат.

Регламент (ЕС) 2024/2847: Задължения на вносителите и дистрибуторите

Субектите, които внасят продукти с цифрови елементи от държави извън ЕС (вносители) или ги препродават на пазара на Съюза (дистрибутори), също трябва да следят тези изделия да са в съответствие с CRA. Тяхната роля е свързана основно с проверка и реакция при евентуални несъответствия.

Вносителят, преди да пусне продукта на пазара на ЕС, трябва да провери дали производителят е изпълнил своите задължения – с други думи, дали продуктът има изискваната CE маркировка и ЕС декларация за съответствие, дали са приложени инструкции и информация за безопасност и дали производителят е изготвил необходимата техническа документация. Вносителят не е длъжен сам да тества киберсигурността на продукта, но ако има основателни съмнения относно съответствието на изделието с изискванията (напр. липса на CE маркировка, липса на информация за периода на поддръжка и др.), не бива да предоставя такъв продукт на пазара, докато не се увери, че несъответствието е отстранено. Ако се установи, че продуктът не отговаря на изискванията на CRA, вносителят е длъжен да уведоми надзорните органи и да предприеме коригиращи действия – да осигури привеждането на продукта в съответствие, а ако това е невъзможно, да го изтегли от търговския оборот или от пазара. Вносителите, както и производителите, трябва да съхраняват копие от декларацията за съответствие и да гарантират, че техническата документация е достъпна за органите при поискване. Те следва също да посочат върху продукта (или опаковката) своите данни за контакт и да гарантират, че продуктът е правилно маркиран. На практика ролята на вносителя се свежда до функция на защитен филтър – да не допуска до разпространение в ЕС продукти, които нямат „документите“, удостоверяващи изпълнението на изискванията на CRA.

Дистрибуторите (национални търговци на едро, търговци на дребно и др.) са в сходна ситуация с вносителите, с тази разлика, че проверяват изпълнението на изискванията както от производителя, така и при необходимост от вносителя, ако продуктът произхожда извън ЕС. Затова дистрибуторът, преди да препродаде продукта, трябва да провери дали стоката има нанесена CE маркировка, приложена декларация или инструкции, изисквани от закона, както и дали не са публикувани съобщения, че съответният модел не отговаря на изискванията за безопасност. При съмнения той също е длъжен да спре продажбата, докато случаят не бъде изяснен. Ако прецени (или бъде уведомен), че продуктът създава сериозен риск или не отговаря на изискванията на CRA, трябва да уведоми за това производителя или вносителя, както и надзорните органи, и да съдейства при коригиращите действия (напр. при кампании за изтегляне от пазара).

От гледна точка на мениджъра по снабдяване тези регулации означават необходимост от по-голяма бдителност при избора на доставчици на хардуер/софтуер. Трябва да се гарантира, че контрагентите извън ЕС доставят продукти, които вече са в съответствие с CRA, защото в противен случай нашето предприятие (като вносител) ще носи отговорност за липсите. За дистрибутора (напр. фирма, която търгува с автоматизация) се добавя и задължението да следи дали продуктите на различни марки в неговото портфолио разполагат с актуални декларации за съответствие и изпълняват изискванията – на практика това ще изисква тясно сътрудничество с производителите и бърза реакция при всякакви сигнали за сигурност, свързани с продаваните устройства.

Струва си да се отбележи: ако вносителят или дистрибуторът пуска продукта под собствено лого/марка или модифицира продукта (напр. променя неговата функционалност, софтуер или конфигурация по начин, който е съществен за киберсигурността), тогава съгласно регламента той самият се счита за производител на това изделие. В такъв случай трябва да поеме всички задължения на производителя (да извърши оценка на съответствието, да издаде собствена декларация и т.н.). Тази ситуация се отнася например за фирми, които интегрират системи и продават OEM устройства под своя марка – те трябва да бъдат особено внимателни, защото формално носят отговорност за съответствието по същия начин като първоначалния производител.

Срокове за влизане в сила и преходни периоди

Регламент (ЕС) 2024/2847 е публикуван в Официален вестник на 20 ноември 2024 г. Той влиза в сила на 10 декември 2024 г. (20 дни след публикуването), но основните задължения ще започнат да се прилагат едва след 36 месеца от тази дата. Законодателят е предвидил дълъг преходен период, за да даде време на сектора да се адаптира. Ето и ключовите дати:

• 11 септември 2026 г. – от тази дата започват да се прилагат задълженията за докладване на уязвимости и инциденти. Производителят на всеки продукт с цифрови елементи, предлаган на пазара на ЕС, ще трябва да съобщава на компетентните органи всички активно експлоатирани уязвимости и сериозни инциденти по сигурността, свързани с неговия продукт. Тази дата настъпва 21 месеца след влизането в сила на CRA и означава, че още през 2026 г. компаниите трябва да разполагат с процедури за наблюдение на сигурността и за докладване на проблеми. Това не зависи от момента, в който продуктът е бил пуснат на пазара – изискването се отнася и за продукти, продадени преди 2026 г., които все още се използват. С други думи, дори ако устройството е било пуснато на пазара например през 2025 г. (преди прилагането на регламента), а през септември 2026 г. в него бъде разкрита критична уязвимост, производителят е длъжен да я докладва и да я отстрани.
• 11 юни 2026 г. – от тази дата следва да се прилагат разпоредбите относно нотифицираните органи и органите за оценяване на съответствието. До средата на 2026 г. държавите членки ще подготвят система за определяне и нотифициране на органите, които ще бъдат оправомощени да сертифицират продукти (важни и критични) по отношение на изпълнението на изискванията на CRA. За производителите е важно през втората половина на 2026 г. вече да има налична инфраструктура за провеждане на изискваните изпитвания и сертифициране.
• 11 декември 2027 г. – пълно прилагане на регламента CRA. От тази дата нито един продукт с цифрови елементи, който не отговаря на изискванията на CRA, не може законно да бъде пуснат на пазара в ЕС. Този срок (3 години от влизането в сила) е крайната дата за привеждане на продуктите и процесите в съответствие. След 11.12.2027 всички нови устройства и софтуер, продавани в ЕС, трябва да бъдат проектирани, произведени и поддържани в съответствие с CRA – в противен случай компанията се излага на сериозни санкции. Струва си да се подчертае, че разпоредбите предвиждат известно облекчение за изделията, които вече са на пазара: ако даден продукт (конкретен екземпляр) е вече предоставен на пазара преди 11 декември 2027 г., той ще може да остане в обращение и без да отговаря на CRA. Това обаче се отнася само за отделни екземпляри – типът продукт, проектиран преди CRA, не получава автоматично изключение. Всяка нова партида, всеки нов екземпляр, пуснат за продажба след тази дата, трябва да е в съответствие с CRA, освен ако физически вече не се е намирал в търговския оборот по-рано (което на практика означава например склад при дистрибутор, който вече е закупил стоката преди крайния срок). Следователно изискванията не могат да бъдат заобиколени чрез производство „на склад“ и продажба след 2027 г. – всеки продукт към момента на пускането му на пазара подлежи на действащите изисквания. Изключение правят все още валидните сертификати от ЕС за изследване на типа, издадени преди тази дата въз основа на други разпоредби – те ще останат валидни до юни 2028 г., освен ако не е определен по-кратък срок.

Практическият извод за компаниите е, че реалният краен срок е краят на 2027 г. От 2028 г. в ЕС няма да може да се продават устройства, които не отговарят на изискванията на CRA. Още през 2026 г. обаче трябва да има готовност за новите задължения за докладване на инциденти. Оставащото време трябва да се използва за анализ и адаптиране на продуктите. Макар 3 години на пръв поглед да изглеждат много, промените може да се окажат съществени – по-добре е работата да започне предварително. По-долу представяме контролен списък с действия, които мениджърът трябва да обмисли, когато подготвя своята организация за изпълнение на изискванията на акта за киберустойчивост.

Регламент (ЕС) 2024/2847: Как да се подготвите за 2026/2027 – контролен списък за мениджъра

• Идентифицирайте продуктите, които попадат в обхвата на CRA – Изгответе списък на изделията на компанията, които представляват „продукти с цифрови елементи“ (хардуер или софтуер, свързващи се към мрежа/други устройства). За всеки определете дали може да бъде класифициран като важен или критичен по смисъла на регламента (Annex III/IV) – например дали изпълнява съществени функции за безопасност, или компрометирането му може да причини мащабни вреди. От тази класификация зависи, наред с другото, и изискваната процедура за оценяване на съответствието (дали ще е необходимо участие на трета страна).
• Запознайте се с изискванията и стандартите – Анализирайте съществените изисквания за киберсигурност от приложение I на CRA и ги съотнесете към своите продукти. Проверете дали вече съществуват подходящи хармонизирани стандарти или отраслови стандарти, които могат да улеснят изпълнението на изискванията (например стандартите от семейството IEC 62443 за защита на системи за индустриална автоматизация могат да бъдат полезни при проектирането на защитата на машини). Следете текущата работа по стандартизацията – възможно е да се появят насоки, които да улеснят прилагането на изискванията на CRA във вашата област.
• Извършете анализ на пропуските (gap analysis) – Сравнете текущото състояние на своите продукти и процеси с новите изисквания. Оценете доколко настоящото ниво на защита отговаря на изискванията (например дали устройствата разполагат с механизми за удостоверяване, криптиране, сигурни актуализации и т.н.). Анализирайте процеса на разработка на софтуер във фирмата – дали се прилагат принципи за secure coding, дали се провеждат penetration тестове, колко бързо реагирате на докладвани уязвимости. Идентифицирайте липсите и областите за подобрение както по отношение на организацията (процедури), така и на технологиите (функции за сигурност).
• Адаптирайте проектирането и разработването на продуктите – Ако анализът на пропуските покаже недостатъци, планирайте внедряване на липсващите механизми и практики. Това може да включва промени в архитектурата на продукта (например добавяне на модул за криптиране, защита на комуникационните интерфейси), подобряване на процеса SDLC (Software Development Life Cycle) с елементи като threat modeling, code review с фокус върху сигурността, fuzzing тестове и др., както и въвеждане на нови политики за сигурност на продукта. Уверете се, че екипът по R&D разглежда киберсигурността като проектно изискване наравно с функционалността – регламентът налага подход „security by design/default“.
• Планирайте система за актуализации и поддръжка – Анализирайте дали вашата компания е готова да поддържа продуктите достатъчно дълго. Възможно е да се наложи да създадете график и да осигурите ресурси за публикуване на редовни актуализации на firmware в продължение на няколко години след продажбата. Проверете дали продуктите имат техническа възможност за актуализация (отдалечена или локална) – ако не, това е сериозен проблем, защото CRA изисква възможност за отстраняване на уязвимости след продажбата. Определете реалистичен период на поддръжка (минимум 5 години) и го съобщете на потребителите. Подгответе също така план за техническо обслужване на сигнали за проблеми със сигурността от клиенти.
• Подгответе изискваната документация – Уверете се, че за всеки продукт ще бъде изготвена пълна техническа документация по отношение на киберсигурността. Тя следва да съдържа, наред с другото, доклад от оценка на риска, описание на архитектурата на защитата, списък на приложените мерки (например криптиране, оторизация), резултати от тестове за сигурност, процедури за update-и, политика за разкриване на уязвимости и др. Тази документация ще бъде основата за доказване на съответствие при проверка (а при необходимост и за представяне пред сертифициращ орган). Организирайте и процес за нейното архивиране за изисквания период (10 години или повече). Освен това подгответе образци на ЕС декларация за съответствие за своите продукти – като имате предвид, че в тях трябва да присъства нова формулировка, потвърждаваща изпълнението на всички изисквания на регламента.
• Погрижете се за веригата на доставки – Свържете се с доставчиците на компоненти (особено софтуер, IoT модули и др.), за да обсъдите въпросите, свързани със съответствието с CRA. Актуализирайте договорите с доставчиците, като включите клаузи за изискваното ниво на киберсигурност на компонентите и задължение за информиране при открити уязвимости. Уверете се, че имате достъп до информация за произхода и версиите на компонентите (поддържайте SBOM – Software Bill of Materials за продуктите, което ще улесни проследяването на уязвимости в зависимите библиотеки). Ако използвате външни облачни услуги, свързани с продукта, проверете тяхната защита и съответствие с NIS2 (тъй като SaaS може да попада под NIS2 вместо под CRA). Киберсигурността на продукта е и сигурността на всички градивни елементи, от които е съставен – доставчиците трябва да действат в една посока.
• Обучете персонала и информирайте клиентите – Новите задължения означават, че различните отдели в компанията трябва да имат базови познания за CRA. Проведете обучения за проектантския отдел, качеството, IT и сервиза относно изискванията на регламента и вътрешните процедури (например как да се реагира на сигнал за уязвимост, как да се документират промените с оглед на съответствието). Добре е също така да информирате отделите по снабдяване и продажби, за да са наясно с новите обозначения и декларации (например с необходимостта да се проверява дали доставчик извън ЕС е предоставил декларация за съответствие). Помислете и за подготовка на информация за клиентите относно политиката за сигурност на вашите продукти – прозрачността в това отношение може да се превърне в търговско предимство (потребителите ще започнат да обръщат внимание дали даден продукт отговаря на киберизискванията и дали има гарантирани актуализации).
• Следете указанията и сроковете – Следете съобщенията на Европейската комисия и националните органи относно CRA. Възможно е да се появят делегирани или изпълнителни актове, които да уточнят определени въпроси (например секторни изключения – Комисията може да реши да изключи от обхвата на CRA продукти, за които се прилагат еквивалентни секторни изисквания). Наблюдавайте и процеса по публикуване на хармонизирани стандарти – прилагането на стандарт ще бъде най-лесният път към презумпция за съответствие. Проследете спазването на посочените срокове: септември 2026 (готовност за докладване на инциденти) и декември 2027 (пълно съответствие на всички нови продукти). Най-добре е да определите вътрешни ключови етапи много по-рано – например приключване на първоначалния анализ на риска до средата на 2025, адаптиране на процеса на разработка до края на 2025, тестове за съответствие и предварителни сертификации през 2026 и т.н., така че да влезете в 2027 година с почти напълно изпълнени изисквания. Изненадите в последния момент могат да доведат до спиране на продажбите, затова проактивният подход е от ключово значение.

Ако тази „домашна работа“ бъде свършена предварително, ще се избегнат напрегнатото бързане през 2027 г. и свързаните с него рискове. Вместо CRA да се възприема единствено като задължение, по-добре е да се разглежда като възможност за повишаване на общото ниво на сигурност на продуктите – което защитава както компанията, така и клиентите от скъпоструващи инциденти.

CRA а Регламентът за машините (ЕС) 2023/1230 – кое попада под кой акт?

Много мениджъри в индустрията се питат как новите правила за киберустойчивост се съотнасят към вече познатия Регламент за машините (ЕС) 2023/1230 (който ще замени Директивата за машините). Появява ли се дублиране на изискванията, или тези регламенти се допълват взаимно? Ключово е да се разбере кои аспекти на продукта се уреждат от отделните правни актове.

Регламентът за машините 2023/1230 обхваща безопасността на машините в традиционния смисъл – фокусира се върху защитата на здравето и безопасността на ползвателите на машините. Той определя т.нар. съществени изисквания за безопасност и опазване на здравето (EHSR), които се отнасят, наред с другото, до механични и електрически аспекти, ергономия, шум, EMC и др. Новият регламент за машините действително въведе и изискване да се отчитат опасностите, свързани с достъпа до интернет и кибератаките като потенциален риск за безопасността. Това означава, че производителят на машината трябва при оценката на риска да разгледа сценарии, при които например дистанционна намеса в системата за управление на машината би могла да причини инцидент. Следователно той трябва да проектира мерки за предотвратяване на такива ситуации (например мрежови защити, които не позволяват неупълномощено лице да поеме контрол над машината). Въпреки това регламентът за машините урежда киберсигурността само дотолкова, доколкото тя влияе върху физическата безопасност на хората, които работят с машините. Това е един от многото елементи на оценката на съответствието на машината, но не навлиза в подробни изисквания от ИТ тип – в него няма да открием списък с криптографски механизми или задължение за актуализиране на софтуера на машината след продажбата. Казано накратко, Регламентът за машините гарантира, че машината не създава опасност за живота и здравето (включително в резултат на киберинцидент), а CRA се грижи за общата киберсигурност на продукта (включително поверителност на данните, устойчивост на услугите, целия жизнен цикъл).

Актът за киберустойчивост обхваща значително по-широк кръг ИТ въпроси от регламента за машините. Дори при индустриалните машини CRA налага например изисквания за докладване на уязвимости, осигуряване на актуализации за X години, защита срещу загуба на данни – тоест въпроси, които не са пряко свързани с безопасността на ползвателя на машината, а с киберсигурността като такава. На практика това означава, че машина, която е продукт с цифрови елементи, ще попада едновременно в обхвата и на двата регламента. Производителят на такава машина трябва да изпълни изискванията и на двата акта – както тези за безопасна конструкция например от механична гледна точка (Регламент за машините), така и тези за защита на софтуера, мрежата и данните (CRA). Изпълнението на изискванията на единия регламент не означава автоматично съответствие с другия, тъй като критериите за оценка са различни.

От гледна точка на процедурата по оценяване на съответствието, продукт, който попада под повече от един регламент на ЕС, трябва да отговаря на всички приложими изисквания преди поставянето на маркировката CE. Например производител, който пуска на пазара колаборативен индустриален робот с функция за дистанционен мониторинг, ще трябва да се увери, че роботът отговаря на съществените изисквания за безопасност на машините (Регламент 2023/1230) и на съществените изисквания за киберсигурност (Регламент (ЕС) 2024/2847). ЕС декларацията за съответствие на такава машина следва да посочва и двата правни акта. От своя страна директорът по поддръжката, който купува такова устройство, трябва да провери както съответствието с „машинното CE“, така и с „кибер CE“. На практика маркировката CE е една – но документацията трябва да доказва съответствие с всички приложими актове от новия подход, които се отнасят за конкретния продукт.

Струва си да се посочат няколко примера какво попада под кой регламент:

• Изцяло електронни ИТ устройства (без машинни функции) – напр. рутери, смартфони, IP камери – не попадат в обхвата на Регламента за машините (тъй като не са машини), но попадат в обхвата на CRA, ако имат цифрови елементи и комуникират по мрежа. При тях водещо е киберсигурността, а въпросите, свързани с физическата безопасност на потребителя, нямат значение (извън общите изисквания за здравословни и безопасни условия на труд/EMC).
• Традиционни машини без цифрова свързаност – напр. хидравлична преса с изцяло аналогово управление – попадат в обхвата на Регламента за машините (трябва да се изпълнят изискванията относно конструкцията, предпазните ограждения, веригите за безопасност и т.н.), но не попадат пряко в обхвата на CRA, тъй като не съдържат цифрови елементи, които комуникират навън. Разбира се, ако в машината има управляваща електроника, тя сама по себе си може да бъде призната за цифрово оборудване – но докато няма свързаност (напр. липсват мрежови портове, няма отдалечен достъп), не отговаря на определението за „продукт с цифрови елементи“ по смисъла на CRA.
• Съвременни машини с цифрови функции – напр. роботи, производствени линии с IoT, AGV колички, които комуникират със система за управление – попадат в обхвата и на двата акта. Тук Регламентът за машините ще изисква, наред с друго, традиционна оценка на риска (така че машината да не създава механични/електрически опасности), както и изискването например отдалеченият достъп до робота да не може да доведе до опасна ситуация (т.е. да се отчетат киберзаплахите за безопасността). От своя страна CRA допълнително ще наложи задължение този робот да има като цяло защитен софтуер (напр. криптирани предавания на данни, уникални пароли), да се актуализира от производителя и при установяване на уязвимост – тя да бъде отстранена и докладвана на органите. Следователно производителят на такова оборудване трябва да осигури устойчивост срещу кибератаки както в контекста на безопасността на хората, така и по отношение на непрекъснатостта на работата, поверителността на данните и др.

В обобщение, Регламентът за машините и CRA не си противоречат, а се допълват. Първият се грижи за функционалната безопасност на машините (включително минималните изисквания по отношение на киберсигурността, така че машината да е безопасна), а вторият – за по-широката киберсигурност на продукта през целия му жизнен цикъл. За мениджърите това означава необходимост от многоаспектно съответствие: интелигентният продукт трябва да бъде едновременно конструктивно безопасен и киберсигурен. Затова е необходимо да се следят изискванията и на двата регулаторни акта. За щастие сроковете за прилагането им са близки – Регламентът за машините също ще започне да се прилага на практика от януари 2027 (замествайки директивата), а CRA – от края на 2027. Затова подготовката и за двата може да се обедини в единна програма за compliance. Например при проектирането на нова машина да се предвидят още от самото начало както изискванията за безопасност на машините, така и ИТ защитите; при изпитванията на прототипа да се проверява не само съответствието с норми от типа ISO 13849 (safety), но и например да се провеждат пенетрационни тестове на системата за управление. Благодарение на такъв подход компанията ще си осигури цялостно съответствие и ще избегне ситуация, в която изпълнява едно изискване за сметка на пренебрегването на друго.

Регламент (ЕС) 2024/2847 без съмнение е предизвикателство за производителите и доставчиците, но същевременно е необходим отговор на съвременните реалности. Машините и устройствата стават все по-интелигентни и свързани – нормативната уредба трябва да ги догонва. Мениджърите, които още сега предприемат подготвителни действия, ще получат предимство: техните компании не само безпроблемно ще навлязат в новата правна рамка, но и ще повишат конкурентоспособността и надеждността на своите продукти в очите на клиентите, за които цифровата сигурност става също толкова важна, колкото цената или функционалността. При подходяща подкрепа от експерти по безопасност на машините и ИТ внедряването на изискванията на CRA може да се разглежда като елемент от непрекъснатото усъвършенстване, а не само като регулаторно задължение. В крайна сметка ще спечелят и предприятието, и крайните потребители, и цялата цифрова екосистема. По-безопасните продукти означават по-малък риск от престои, атаки и загуби – а това е цел, която споделят както законодателят, така и отговорните участници на пазара.