Κανονισμός (ΕΕ) 2024/2847 – Πράξη για την Κυβερνοανθεκτικότητα (CRA)

Ο Κανονισμός (ΕΕ) 2024/2847 – η Πράξη για την Κυβερνοανθεκτικότητα (Cyber Resilience Act, CRA) αποτελεί νέο ενωσιακό κανονισμό που εισάγει οριζόντιες απαιτήσεις κυβερνοασφάλειας για «προϊόντα με ψηφιακά στοιχεία». Εγκρίθηκε τον Οκτώβριο του 2024 και θα αρχίσει να εφαρμόζεται άμεσα σε όλες τις χώρες της ΕΕ, μετά τις μεταβατικές περιόδους, από τα τέλη του 2027. Αν είστε στέλεχος στη βιομηχανία – είτε υπεύθυνος για τη συντήρηση, τις προμήθειες ή το compliance – αξίζει ήδη από τώρα να κατανοήσετε ποια προϊόντα καλύπτει ο κανονισμός, ποιες νέες υποχρεώσεις επιβάλλει σε κατασκευαστές, εισαγωγείς και διανομείς και πώς να προετοιμάσετε την εταιρεία σας για τις επερχόμενες αλλαγές. Παρακάτω παρουσιάζουμε τις βασικές πληροφορίες με πρακτική προσέγγιση, χωρίς νομικίστικη ορολογία αλλά με τεχνική ακρίβεια, ώστε να διευκολυνθεί η λήψη των κατάλληλων προπαρασκευαστικών μέτρων.

Πεδίο εφαρμογής: ποια προϊόντα καλύπτει η Πράξη για την Κυβερνοανθεκτικότητα;

Ο Κανονισμός (ΕΕ) 2024/2847 αφορά όλα τα «προϊόντα με ψηφιακά στοιχεία» που διατίθενται στην αγορά της ΕΕ, των οποίων η προβλεπόμενη χρήση περιλαμβάνει σύνδεση με άλλη συσκευή ή δίκτυο (άμεσα ή έμμεσα, φυσικά ή λογικά). Με άλλα λόγια, η πλειονότητα των συσκευών ή του λογισμικού που μπορούν να επικοινωνούν με άλλα συστήματα υπάγονται στις νέες απαιτήσεις. Στην πράξη, αυτό περιλαμβάνει μεταξύ άλλων συσκευές IoT και ηλεκτρονικά καταναλωτικά προϊόντα (π.χ. smartwatches, κινητά τηλέφωνα, έξυπνες οικιακές συσκευές, ηλεκτρονικά baby monitors), φορετές συσκευές (π.χ. fitness bands), βιομηχανικό εξοπλισμό με δικτυακές λειτουργίες (αισθητήρες και βιομηχανικές μηχανές συνδεδεμένες σε δίκτυο) καθώς και ποικίλο λογισμικό (λειτουργικά συστήματα, εφαρμογές για κινητά και υπολογιστές, επιχειρησιακό λογισμικό κ.λπ.). Σημαντικό είναι ότι το λογισμικό που πωλείται αυτοτελώς (ως προϊόν) υπάγεται επίσης στο CRA, όπως και οι υπηρεσίες απομακρυσμένης επεξεργασίας δεδομένων που αποτελούν αναπόσπαστο μέρος του προϊόντος – για παράδειγμα, μια υπηρεσία cloud που ελέγχει μια συσκευή smart home θα θεωρείται μέρος του προϊόντος και θα πρέπει να πληροί τις απαιτήσεις ασφάλειας.

Ο κανονισμός έχει πολύ ευρύ πεδίο εφαρμογής, αλλά προβλέπει επίσης εξαιρέσεις για ορισμένες κατηγορίες προϊόντων, οι οποίες ήδη ρυθμίζονται από ειδική τομεακή νομοθεσία. Το CRA δεν καλύπτει, μεταξύ άλλων: ιατροτεχνολογικά προϊόντα (που καλύπτονται από τους κανονισμούς MDR 2017/745 και 2017/746), οχήματα και τον εξοπλισμό τους (που καλύπτονται μεταξύ άλλων από τον κανονισμό 2019/2144 για την έγκριση τύπου οχημάτων), αεροσκάφη (κανονισμός 2018/1139 για την αεροπορία), ούτε ναυτιλιακό εξοπλισμό (οδηγία 2014/90/ΕΕ). Τα προϊόντα αυτά διέπονται από χωριστό κανονιστικό πλαίσιο, το οποίο συχνά περιλαμβάνει ήδη απαιτήσεις προσαρμοσμένες στον συγκεκριμένο κλάδο, και γι’ αυτό εξαιρέθηκαν από το πεδίο εφαρμογής του CRA. Επιπλέον, οι νέοι κανόνες δεν αφορούν εξοπλισμό και λογισμικό αποκλειστικά στρατιωτικής χρήσης ή προοριζόμενα για την εθνική ασφάλεια (καθώς και την επεξεργασία διαβαθμισμένων πληροφοριών). Εξαιρούνται επίσης τα ανταλλακτικά που παρέχονται ως υποκατάστατα πανομοιότυπων εξαρτημάτων – εφόσον το αρχικό προϊόν είχε διατεθεί νόμιμα στην αγορά, το πανομοιότυπο ανταλλακτικό δεν χρειάζεται να συμμορφώνεται αυτοτελώς με το CRA.

Αξίζει να σημειωθεί ότι το λεγόμενο ελεύθερο και ανοικτό λογισμικό (open source) δεν θα υπάγεται στο CRA, εφόσον δεν διατίθεται στο πλαίσιο εμπορικής δραστηριότητας. Επομένως, αν ένα λογισμικό αναπτύσσεται και δημοσιεύεται δωρεάν, εκτός εμπορικής διάθεσης, οι δημιουργοί του (π.χ. η κοινότητα open source) δεν θεωρούνται «κατασκευαστές» κατά την έννοια του κανονισμού και δεν υπέχουν τις υποχρεώσεις που περιγράφονται παρακάτω. Αντίθετα, αν μια εταιρεία χρησιμοποιήσει στοιχείο open source στο εμπορικό της προϊόν, τότε η ευθύνη για τη συμμόρφωση με τις απαιτήσεις ασφάλειας βαρύνει τον κατασκευαστή του τελικού προϊόντος. Συνολικά, το CRA στοχεύει κυρίως σε ψηφιακά προϊόντα που παράγονται και διατίθενται επαγγελματικά και φτάνουν στους τελικούς χρήστες στην εσωτερική αγορά της ΕΕ.

Γιατί θεσπίστηκε το CRA; Νέες απειλές, κανονιστικό κενό και αλυσίδα εφοδιασμού

Η Ευρωπαϊκή Ένωση διαπίστωσε την επείγουσα ανάγκη ενίσχυσης της κυβερνοανθεκτικότητας των ψηφιακών προϊόντων απέναντι στις αυξανόμενες απειλές. Τα τελευταία χρόνια, ο αριθμός και η ποικιλία των συσκευών που συνδέονται στο διαδίκτυο αυξήθηκαν εκρηκτικά – από βιομηχανικά συστήματα IoT σε εργοστάσια έως έξυπνες οικιακές συσκευές. Δυστυχώς, το επίπεδο κυβερνοασφάλειας αυτών των προϊόντων είναι συχνά χαμηλό, κάτι που αποτυπώνεται σε εκτεταμένες ευπάθειες και σε ανεπαρκή και ασυνεπή παροχή ενημερώσεων ασφαλείας. Πολλοί κατασκευαστές μέχρι σήμερα δεν έδιναν προτεραιότητα στην ασφάλεια σε όλο τον κύκλο ζωής του προϊόντος, ενώ οι χρήστες συχνά δεν έχουν επίγνωση ούτε επαρκή πληροφόρηση για το ποια προϊόντα είναι ασφαλή, για πόσο διάστημα θα υποστηρίζονται με ενημερώσεις και πώς να τα χρησιμοποιούν με ασφάλεια. Αυτός ο συνδυασμός παραγόντων οδηγεί σε αυξημένο κίνδυνο κυβερνοεπιθέσεων.

Η Πράξη για την Κυβερνοανθεκτικότητα αποσκοπεί να καλύψει ένα κανονιστικό κενό – έως σήμερα έλειπαν σε επίπεδο ΕΕ ενιαίες, υποχρεωτικές απαιτήσεις για την ψηφιακή ασφάλεια των προϊόντων. Παρότι υπήρχαν πρωτοβουλίες όπως οι πιστοποιήσεις ασφάλειας ΤΠΕ (δυνάμει της Πράξης για την Κυβερνοασφάλεια 2019/881) ή οι απαιτήσεις της οδηγίας NIS2 για κρίσιμους τομείς, καμία νομοθεσία δεν επέβαλλε άμεσα την υποχρέωση «κυβερνοασφάλειας εκ σχεδιασμού» για όλες τις συσκευές και το λογισμικό που διατίθενται στην αγορά. Το CRA θεσπίζει ακριβώς αυτό το οριζόντιο πλαίσιο – επιβάλλει ο εξοπλισμός και το λογισμικό να σχεδιάζονται, να κατασκευάζονται και να συντηρούνται με την ενσωμάτωση ισχυρών μέτρων προστασίας σε όλο τον κύκλο ζωής τους. Στόχος είναι να διατίθενται στην αγορά προϊόντα με λιγότερα τρωτά σημεία και οι κατασκευαστές να εξασφαλίζουν την ταχεία αντιμετώπιση νέων απειλών (π.χ. με ενημερώσεις ασφαλείας), αντί να αφήνουν τους χρήστες με συσκευές γεμάτες κενά ασφαλείας.

Το ζήτημα της κυβερνοανθεκτικότητας έχει επίσης διάσταση εφοδιαστικής αλυσίδας και διασυνοριακό χαρακτήρα. Στην εποχή της καθολικής διασύνδεσης, ένα περιστατικό σε μία φαινομενικά ασήμαντη συσκευή μπορεί να εξελιχθεί σε φορέα επίθεσης για ολόκληρο τον οργανισμό ή για επιχειρηματικούς εταίρους. Ένας μολυσμένος αισθητήρας IoT σε μια αίθουσα παραγωγής μπορεί να ανοίξει την πόρτα προς το εταιρικό δίκτυο· ένα τρωτό σημείο σε μια δημοφιλή εφαρμογή μπορεί να αξιοποιηθεί παγκοσμίως μέσα σε λίγα λεπτά. Όπως επισημάνθηκε στην αιτιολογική έκθεση του κανονισμού, ένα κυβερνοπεριστατικό σε ένα προϊόν μπορεί να εξαπλωθεί στην εφοδιαστική αλυσίδα πέρα από τα σύνορα μιας χώρας μέσα σε λίγα λεπτά. Το κόστος τέτοιων επιθέσεων δεν το επωμίζονται μόνο οι κατασκευαστές και οι χρήστες, αλλά και η κοινωνία συνολικά – διαταραχές σε κρίσιμες υποδομές, οικονομικές απώλειες, παραβιάσεις της δημόσιας ασφάλειας. Οι κοινές, υποχρεωτικές αρχές σε όλη την ΕΕ αποσκοπούν στην αναβάθμιση του συνολικού επιπέδου προστασίας και στην αποτροπή καταστάσεων όπου ο πιο αδύναμος κρίκος (ένα μη ανθεκτικό προϊόν) θέτει σε κίνδυνο τους πάντες.

Ένα επιπλέον κίνητρο είναι η ενίσχυση της εμπιστοσύνης στα ψηφιακά προϊόντα και η εξίσωση των όρων ανταγωνισμού. Σήμερα, οι κατασκευαστές που επενδύουν στην ασφάλεια εκ σχεδιασμού συχνά χάνουν στο επίπεδο της τιμής απέναντι σε όσους αγνοούν αυτά τα ζητήματα. Το CRA έχει στόχο να καταστήσει την κυβερνοασφάλεια ποιοτικό πρότυπο – όλοι θα πρέπει να πληρούν ελάχιστες απαιτήσεις, κάτι που θα εξισώσει τις ευκαιρίες και θα μειώσει το κοινωνικό κόστος των επιθέσεων (το οποίο σήμερα μετακυλίεται στα θύματα). Ως αποτέλεσμα, αυτό αναμένεται να ενισχύσει την ανθεκτικότητα ολόκληρης της αγοράς της ΕΕ και την εμπιστοσύνη των πελατών στις σύγχρονες συσκευές με ψηφιακά στοιχεία. Η Πράξη εντάσσεται επίσης στη ευρύτερη στρατηγική της ΕΕ (μαζί με το RODO, το NIS2, το DORA κ.λπ.) που αποσκοπεί στην ενίσχυση της κυβερνοασφάλειας υπηρεσιών και προϊόντων ως θεμελίου της ψηφιακής οικονομίας.

Κανονισμός (ΕΕ) 2024/2847: Κύριες υποχρεώσεις για κατασκευαστές, εισαγωγείς και διανομείς

Ο νέος κανονισμός εισάγει σειρά συγκεκριμένων υποχρεώσεων για τους οικονομικούς φορείς που συμμετέχουν στην αλυσίδα εφοδιασμού προϊόντων με ψηφιακά στοιχεία. Το εύρος της ευθύνης εξαρτάται από τον ρόλο – οι περισσότερες απαιτήσεις αφορούν τους κατασκευαστές, αλλά και οι εισαγωγείς και οι διανομείς έχουν ουσιαστικά καθήκοντα. Παρακάτω συνοψίζουμε τις βασικές υποχρεώσεις από την οπτική ενός στελέχους που μεριμνά για τη συμμόρφωση των προϊόντων της εταιρείας με τη νομοθεσία.

Υποχρεώσεις κατασκευαστών

Ο κατασκευαστής (καθώς και ο φορέας που διαθέτει το προϊόν με τη δική του εμπορική επωνυμία ή το τροποποιεί – και αυτός αντιμετωπίζεται επίσης ως κατασκευαστής) φέρει την κύρια ευθύνη για την τήρηση των απαιτήσεων του CRA. Στα σημαντικότερα καθήκοντά του περιλαμβάνονται:

• Διασφάλιση της συμμόρφωσης του προϊόντος με τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας που καθορίζονται στο παράρτημα I του κανονισμού. Στην πράξη, αυτό σημαίνει ότι το προϊόν πρέπει ήδη από το στάδιο του σχεδιασμού και της κατασκευής να διαθέτει χαρακτηριστικά που εγγυώνται κατάλληλο επίπεδο ψηφιακής ασφάλειας, ανάλογο προς τον κίνδυνο που συνδέεται με το συγκεκριμένο προϊόν. Ο κανονισμός απαριθμεί μια σειρά από συγκεκριμένες τεχνικές απαιτήσεις – μεταξύ άλλων, απουσία γνωστών ευπαθειών κατά τη στιγμή διάθεσης στην αγορά, χρήση ασφαλών προεπιλεγμένων ρυθμίσεων (π.χ. αποφυγή προεπιλεγμένων κωδικών πρόσβασης), κρυπτογράφηση όπου ενδείκνυται, προστασία από μη εξουσιοδοτημένη πρόσβαση, προστασία των προσωπικών δεδομένων του χρήστη, ανθεκτικότητα σε επιθέσεις που διαταράσσουν τις λειτουργίες (π.χ. επιθέσεις DoS), καθώς και δυνατότητα επαναφοράς στις εργοστασιακές ρυθμίσεις. Το προϊόν θα πρέπει να σχεδιάζεται έτσι ώστε να περιορίζεται στο μέγιστο η «επιφάνεια επίθεσης» του – για παράδειγμα, να μην διαθέτει περιττές ανοιχτές θύρες ή υπηρεσίες που αυξάνουν την έκθεση σε κυβερνοαπειλές. Αυτές οι ουσιώδεις απαιτήσεις (μέρος I του παραρτήματος I του CRA) αποτελούν έναν κατάλογο ελέγχου χαρακτηριστικών ασφάλειας που πρέπει να πληροί κάθε ψηφιακό προϊόν.
• Θέσπιση διαδικασίας διαχείρισης ευπαθειών και περιστατικών – ο κατασκευαστής πρέπει να μεριμνά ενεργά για την ασφάλεια του προϊόντος και μετά την πώλησή του, καθ’ όλη τη δηλωμένη περίοδο υποστήριξης. Στο μέρος II του παραρτήματος I καθορίζονται οι απαιτήσεις για τη διαδικασία διαχείρισης ευπαθειών (vulnerability handling): τακτικές δοκιμές και παρακολούθηση για νέες αδυναμίες, αποδοχή αναφορών ευπαθειών (π.χ. από ερευνητές ή χρήστες) και ταχεία αποκατάσταση/διόρθωση των εντοπισμένων ευπαθειών μέσω παροχής ενημερώσεων ασφαλείας. Ο κατασκευαστής οφείλει να εφαρμόζει πολιτική συντονισμένης γνωστοποίησης ευπαθειών (coordinated disclosure) – δηλαδή να διαθέτει καθορισμένο σημείο επικοινωνίας στο οποίο μπορούν να αναφέρονται προβλήματα και διαδικασίες για την ανταπόκριση σε αυτές τις αναφορές. Είναι σημαντικό οι ενημερώσεις να εξαλείφουν τις ευπάθειες χωρίς αδικαιολόγητη καθυστέρηση και να διανέμονται με ασφαλή τρόπο (π.χ. με ψηφιακή υπογραφή). Σημαντικό επίσης είναι ότι ο κατασκευαστής υποχρεούται να παρέχει υποστήριξη και ενημερώσεις ασφαλείας για χρονικό διάστημα που αντιστοιχεί στον αναμενόμενο κύκλο ζωής του προϊόντος, με ελάχιστο τα 5 έτη (εκτός αν η φύση του προϊόντος δικαιολογεί μικρότερη περίοδο). Με άλλα λόγια, αν ο εξοπλισμός μας προορίζεται συνήθως να χρησιμοποιείται από τους πελάτες για ~5+ έτη, δεν μπορούμε να σταματήσουμε την έκδοση διορθώσεων μετά από ένα ή δύο χρόνια – θα απαιτείται πολυετής υποστήριξη μετά τη διάθεση του προϊόντος, ώστε ο χρήστης να μη μείνει με μια συσκευή γεμάτη κενά ασφαλείας.
• Διενέργεια αξιολόγησης κινδύνου κυβερνοασφάλειας – πριν από τη διάθεση στην αγορά ενός προϊόντος με ψηφιακά στοιχεία, ο κατασκευαστής πρέπει να πραγματοποιήσει συστηματική ανάλυση κινδύνων που σχετίζονται με τις κυβερνοαπειλές για το συγκεκριμένο προϊόν. Η αξιολόγηση κινδύνου θα πρέπει να αποτελεί μέρος της διαδικασίας σχεδιασμού (security by design) και να λαμβάνει υπόψη, μεταξύ άλλων, την προβλεπόμενη χρήση του προϊόντος, πιθανές εσφαλμένες χρήσεις, τις συνθήκες χρήσης (περιβάλλον IT, δίκτυο, είδος δεδομένων που επεξεργάζεται η συσκευή). Με βάση αυτή την ανάλυση πρέπει να σχεδιάζονται τα κατάλληλα μέτρα προστασίας και να ενσωματώνονται στην κατασκευή. Η τεκμηρίωση της αξιολόγησης κινδύνου στον κυβερνοχώρο καθίσταται μέρος της τεχνικής τεκμηρίωσης του προϊόντος και πρέπει να επικαιροποιείται, εάν εμφανιστούν νέες απειλές. Ο κατασκευαστής υποχρεούται να διατηρεί την τεκμηρίωση για τουλάχιστον 10 έτη από τη διάθεση του προϊόντος στην αγορά (και εάν η δηλωμένη περίοδος υποστήριξης είναι μεγαλύτερη από 10 έτη – αναλόγως περισσότερο). Η αξιολόγηση κινδύνου δεν είναι εφάπαξ ενέργεια – πρέπει να επαληθεύεται και να επικαιροποιείται όταν απαιτείται, ιδίως όταν εντοπίζονται νέες ευπάθειες ή αλλάζει το πλαίσιο χρήσης του προϊόντος.
• Εποπτεία εξωτερικών στοιχείων – ο κατασκευαστής πρέπει να επιδεικνύει τη δέουσα επιμέλεια κατά τη χρήση στοιχείων τρίτων, συμπεριλαμβανομένων βιβλιοθηκών open source. Πρέπει να διασφαλίζεται ότι τα εξωτερικά στοιχεία (λογισμικά και υλικά) δεν υπονομεύουν την κυβερνοασφάλεια του προϊόντος στο σύνολό του. Στην πράξη, αυτό σημαίνει ότι είναι αναγκαίος ο έλεγχος των εκδόσεων και των ενημερώσεων των χρησιμοποιούμενων βιβλιοθηκών, η παρακολούθηση γνωστών ευπαθειών (π.χ. δημοσιευμένων σε CVE) σε αυτά τα στοιχεία και η ενημέρωση/αντικατάστασή τους όταν εμφανίζονται κενά ασφαλείας. Εάν στο προϊόν χρησιμοποιείται λογισμικό ανοικτού κώδικα και εντοπιστεί σε αυτό ευπάθεια, ο κατασκευαστής υποχρεούται να ενημερώσει τον φορέα που είναι υπεύθυνος για τη συντήρηση του συγκεκριμένου open source (π.χ. το έργο open source) για το πρόβλημα που προέκυψε, και όταν αποκαταστήσει ο ίδιος την ευπάθεια με δικά του μέσα – να διαβιβάσει στην κοινότητα πληροφορίες για τη διόρθωση που εφαρμόστηκε. Στόχος είναι να ενταχθούν οι κατασκευαστές στο οικοσύστημα συντονισμένης διόρθωσης ευπαθειών και στα στοιχεία open source.
• Τυπική αξιολόγηση συμμόρφωσης και έγγραφα – πριν το προϊόν διατεθεί στην αγορά, ο κατασκευαστής πρέπει να διενεργήσει τη διαδικασία αξιολόγησης συμμόρφωσης με τις απαιτήσεις του CRA και να καταρτίσει τεκμηρίωση που αποδεικνύει την πλήρωση των απαιτήσεων. Για τα περισσότερα «συνήθη» προϊόντα (που δεν ανήκουν στην κατηγορία αυξημένου κινδύνου), θα αρκεί εσωτερικός έλεγχος (εσωτερική αξιολόγηση) και η προετοιμασία τεχνικής τεκμηρίωσης που θα περιλαμβάνει, μεταξύ άλλων, περιγραφή του προϊόντος, αποτελέσματα της ανάλυσης κινδύνου, κατάλογο των εφαρμοζόμενων μέτρων ασφαλείας, διαδικασίες δοκιμών και ενημερώσεων κ.λπ. Στη συνέχεια, ο κατασκευαστής εκδίδει τη δήλωση συμμόρφωσης ΕΕ, με την οποία δηλώνει ότι το προϊόν πληροί όλες τις εφαρμοστέες απαιτήσεις του CRA, και τοποθετεί στο προϊόν τη σήμανση CE. Προσοχή: εάν το συγκεκριμένο προϊόν έχει ταξινομηθεί ως «σημαντικό» ή «κρίσιμο» από πλευράς κυβερνοασφάλειας (Annex III και IV CRA), ενδέχεται να υπάγεται σε αυστηρότερες διαδικασίες αξιολόγησης συμμόρφωσης. Για τα σημαντικά προϊόντα κλάσης II και τα κρίσιμα προϊόντα θα απαιτείται πιστοποίηση από τρίτο μέρος, δηλαδή έλεγχος και πιστοποιητικό που εκδίδεται από κοινοποιημένο οργανισμό (π.χ. διαπιστευμένο εργαστήριο). Για τα σημαντικά προϊόντα κλάσης I επιτρέπεται αυτοπιστοποίηση μόνο εφόσον υπάρχουν κατάλληλα εναρμονισμένα πρότυπα τα οποία θα χρησιμοποιήσει ο κατασκευαστής – διαφορετικά απαιτείται επίσης η συμμετοχή τρίτου μέρους. Επομένως, ο υπεύθυνος θα πρέπει να καθορίσει σε ποια κατηγορία ανήκει το προϊόν της εταιρείας και αν θα χρειαστεί να προγραμματιστεί εξωτερική πιστοποίηση (κάτι που μπορεί να επηρεάσει το χρονοδιάγραμμα διάθεσης του προϊόντος στην αγορά).
• Παρακολούθηση της ασφάλειας μετά τη διάθεση στην αγορά και αναφορά – μια καινοτομία που εισάγει το CRA είναι η υποχρέωση αναφοράς σοβαρών προβλημάτων ασφάλειας στις αρμόδιες αρχές. Ο κατασκευαστής πρέπει να κοινοποιεί κάθε ευπάθεια του προϊόντος του που γίνεται αντικείμενο ενεργής εκμετάλλευσης, καθώς και κάθε σοβαρό περιστατικό που επηρεάζει την ασφάλεια του προϊόντος, στο εθνικό CSIRT (ομάδα αντιμετώπισης περιστατικών) που έχει οριστεί ως συντονιστής, καθώς και στον οργανισμό ENISA. Η προθεσμία για την αναφορά είναι πολύ σύντομη – ανέρχεται σε 24 ώρες από τον εντοπισμό της ευπάθειας/του περιστατικού (αντίστοιχα με τις αυστηρές απαιτήσεις του GDPR ή του NIS2). Οι αναφορές θα υποβάλλονται μέσω ενιαίας ευρωπαϊκής πλατφόρμας που θα διαχειρίζεται η ENISA. Η υποχρέωση αναφοράς θα τεθεί σε ισχύ νωρίτερα από τις υπόλοιπες απαιτήσεις (Σεπτέμβριος 2026 – βλ. προθεσμίες παρακάτω) και θα αφορά όλα τα προϊόντα στην αγορά από εκείνο το χρονικό σημείο και μετά. Γι’ αυτό ο κατασκευαστής πρέπει να διαθέτει εσωτερικές διαδικασίες ικανές να εντοπίζουν περιστατικό/ευπάθεια και, μέσα σε μία ημέρα, να διαβιβάζουν τις πληροφορίες που απαιτεί ο κανονισμός. Στόχος είναι να παρέχεται στις εποπτικές αρχές εικόνα των αναδυόμενων απειλών και να συντονίζεται η αντίδραση (π.χ. προειδοποίηση άλλων χρηστών όταν ένα συγκεκριμένο προϊόν παρουσιάζει κρίσιμο κενό ασφαλείας).

Οι παραπάνω υποχρεώσεις συχνά επιβάλλουν σημαντικές οργανωτικές αλλαγές — από την υιοθέτηση Secure SDLC στο τμήμα R&D, μέχρι νέες πολιτικές συντήρησης και υποστήριξης προϊόντων, καθώς και πρόσθετη τεκμηρίωση και εκπαίδευση του προσωπικού. Σε αντάλλαγμα, η εταιρεία αποκτά μεγαλύτερη βεβαιότητα ότι το προϊόν της δεν θα αποτελέσει πηγή σοβαρού κυβερνοπεριστατικού, ενώ παράλληλα διασφαλίζει συμμόρφωση με το επερχόμενο κανονιστικό πλαίσιο, κάτι που θα επιτρέψει τη συνέχιση των πωλήσεων στην αγορά της ΕΕ.

Κανονισμός (ΕΕ) 2024/2847: Υποχρεώσεις εισαγωγέων και διανομέων

Οι φορείς που εισάγουν στην ΕΕ προϊόντα με ψηφιακά στοιχεία από τρίτες χώρες (εισαγωγείς) ή τα μεταπωλούν περαιτέρω στην ενωσιακή αγορά (διανομείς), οφείλουν επίσης να μεριμνούν για τη συμμόρφωση των προϊόντων αυτών με το CRA. Ο ρόλος τους αφορά κυρίως τον έλεγχο και την αντίδραση σε τυχόν περιπτώσεις μη συμμόρφωσης.

Ο εισαγωγέας, πριν διαθέσει το προϊόν στην αγορά της ΕΕ, πρέπει να ελέγξει αν ο κατασκευαστής έχει εκπληρώσει τις υποχρεώσεις του — με άλλα λόγια, αν το προϊόν φέρει την απαιτούμενη σήμανση CE και τη δήλωση συμμόρφωσης ΕΕ, αν συνοδεύεται από οδηγίες και πληροφορίες ασφάλειας και αν ο κατασκευαστής έχει καταρτίσει την απαιτούμενη τεχνική τεκμηρίωση. Ο εισαγωγέας δεν υποχρεούται να δοκιμάσει ο ίδιος την κυβερνοασφάλεια του προϊόντος, όμως αν έχει βάσιμες αμφιβολίες ως προς τη συμμόρφωσή του με τις απαιτήσεις (π.χ. απουσία σήμανσης CE, έλλειψη πληροφοριών για την περίοδο υποστήριξης κ.λπ.), δεν θα πρέπει να διαθέσει το συγκεκριμένο προϊόν στην αγορά έως ότου βεβαιωθεί ότι η μη συμμόρφωση έχει αρθεί. Αν διαπιστωθεί ότι το προϊόν δεν πληροί τις απαιτήσεις του CRA, ο εισαγωγέας υποχρεούται να ενημερώσει τις αρχές εποπτείας και να λάβει διορθωτικά μέτρα — να διασφαλίσει τη συμμόρφωση του προϊόντος και, αν αυτό δεν είναι δυνατό, να το αποσύρει από τη διάθεση ή από την αγορά. Οι εισαγωγείς, όπως και οι κατασκευαστές, πρέπει να τηρούν αντίγραφο της δήλωσης συμμόρφωσης και να μεριμνούν ώστε η τεχνική τεκμηρίωση να είναι διαθέσιμη στις αρχές κατόπιν αιτήματος. Οφείλουν επίσης να αναγράφουν στο προϊόν (ή στη συσκευασία) τα στοιχεία επικοινωνίας τους και να διασφαλίζουν ότι το προϊόν φέρει τη σωστή σήμανση. Στην πράξη, ο ρόλος του εισαγωγέα λειτουργεί ως δικλίδα ασφαλείας — να μην επιτρέπει τη διανομή στην ΕΕ προϊόντων που δεν διαθέτουν τα απαραίτητα «έγγραφα» που αποδεικνύουν τη συμμόρφωση με το CRA.

Οι διανομείς (εγχώριοι χονδρέμποροι, λιανοπωλητές κ.λπ.) βρίσκονται σε παρόμοια θέση με τους εισαγωγείς, με τη διαφορά ότι ελέγχουν την τήρηση των απαιτήσεων τόσο από τον κατασκευαστή όσο και, κατά περίπτωση, από τον εισαγωγέα, εφόσον το προϊόν προέρχεται από χώρα εκτός ΕΕ. Επομένως, πριν από τη μεταπώληση, ο διανομέας θα πρέπει να ελέγχει αν το προϊόν φέρει τη σήμανση CE, αν συνοδεύεται από τη δήλωση ή τις οδηγίες που απαιτεί η νομοθεσία, καθώς και αν έχουν δημοσιευθεί ανακοινώσεις ότι το συγκεκριμένο μοντέλο δεν συμμορφώνεται με τις απαιτήσεις ασφάλειας. Σε περίπτωση αμφιβολιών, υποχρεούται και αυτός να αναστείλει την πώληση μέχρι να αποσαφηνιστεί η κατάσταση. Αν κρίνει (ή ενημερωθεί) ότι το προϊόν ενέχει σοβαρό κίνδυνο ή δεν πληροί τις απαιτήσεις του CRA, θα πρέπει να ενημερώσει σχετικά τον κατασκευαστή ή τον εισαγωγέα, καθώς και τις αρχές εποπτείας, και να συνεργαστεί για τη λήψη διορθωτικών μέτρων (π.χ. σε ενέργειες απόσυρσης από την αγορά).

Από την οπτική του υπευθύνου προμηθειών, οι ρυθμίσεις αυτές σημαίνουν ότι απαιτείται μεγαλύτερη προσοχή κατά την επιλογή προμηθευτών εξοπλισμού/λογισμικού. Πρέπει να διασφαλίζεται ότι οι συνεργάτες εκτός ΕΕ παραδίδουν προϊόντα ήδη συμμορφωμένα με το CRA, διαφορετικά η επιχείρησή μας (ως εισαγωγέας) θα φέρει την ευθύνη για τις ελλείψεις. Για τον διανομέα (π.χ. μια εταιρεία εμπορίας λύσεων βιομηχανικού αυτοματισμού) προστίθεται και η υποχρέωση παρακολούθησης του κατά πόσο τα προϊόντα διαφορετικών εμπορικών σημάτων που διαθέτει έχουν επικαιροποιημένες δηλώσεις συμμόρφωσης και πληρούν τις απαιτήσεις — στην πράξη, αυτό θα απαιτεί στενή συνεργασία με τους κατασκευαστές και ταχεία αντίδραση σε κάθε ειδοποίηση ασφάλειας που αφορά τις συσκευές που πωλούνται.

Αξίζει να σημειωθεί: αν ο εισαγωγέας ή ο διανομέας διαθέτει το προϊόν με το δικό του λογότυπο/σήμα ή τροποποιεί το προϊόν (π.χ. αλλάζει τη λειτουργικότητα, το λογισμικό ή τη διαμόρφωσή του με τρόπο ουσιώδη για την κυβερνοασφάλεια), τότε, σύμφωνα με τον κανονισμό, θεωρείται ο ίδιος κατασκευαστής του συγκεκριμένου προϊόντος. Στην περίπτωση αυτή πρέπει να αναλάβει όλες τις υποχρεώσεις του κατασκευαστή (να διενεργήσει αξιολόγηση συμμόρφωσης, να εκδώσει δική του δήλωση κ.ο.κ.). Η κατάσταση αυτή αφορά, για παράδειγμα, εταιρείες ολοκλήρωσης συστημάτων που πωλούν συσκευές OEM με το δικό τους brand — πρέπει να είναι ιδιαίτερα προσεκτικές, διότι τυπικά ευθύνονται για τη συμμόρφωση στον ίδιο βαθμό με τον αρχικό κατασκευαστή.

Ημερομηνίες έναρξης ισχύος και μεταβατικές περίοδοι

Ο Κανονισμός (ΕΕ) 2024/2847 δημοσιεύθηκε στην Επίσημη Εφημερίδα στις 20 Νοεμβρίου 2024. Τέθηκε σε ισχύ στις 10 Δεκεμβρίου 2024 (20 ημέρες μετά τη δημοσίευση), όμως οι βασικές υποχρεώσεις θα αρχίσουν να εφαρμόζονται μόλις μετά από 36 μήνες από την ημερομηνία αυτή. Ο νομοθέτης προέβλεψε μακρά μεταβατική περίοδο, ώστε να δοθεί χρόνος στον κλάδο να προσαρμοστεί. Ακολουθούν οι βασικές ημερομηνίες:

• 11 Σεπτεμβρίου 2026 – από την ημερομηνία αυτή θα αρχίσουν να ισχύουν οι υποχρεώσεις αναφοράς ευπαθειών και περιστατικών. Ο κατασκευαστής κάθε προϊόντος με ψηφιακά στοιχεία που διατίθεται στην αγορά της ΕΕ θα πρέπει να αναφέρει στις αρμόδιες αρχές κάθε ευπάθεια που τελεί υπό ενεργή εκμετάλλευση, καθώς και κάθε σοβαρό περιστατικό ασφάλειας που αφορά το προϊόν του. Η ημερομηνία αυτή έρχεται 21 μήνες μετά την έναρξη ισχύος του Κανονισμού για την Κυβερνοανθεκτικότητα (CRA) και σημαίνει ότι ήδη μέσα στο 2026 οι εταιρείες πρέπει να διαθέτουν διαδικασίες παρακολούθησης της ασφάλειας και αναφοράς προβλημάτων. Αυτό δεν εξαρτάται από το πότε διατέθηκε το προϊόν στην αγορά – ισχύει και για προϊόντα που πωλήθηκαν πριν από το 2026 και εξακολουθούν να χρησιμοποιούνται. Με άλλα λόγια, ακόμη κι αν μια συσκευή διατέθηκε στην αγορά π.χ. το 2025 (πριν από την εφαρμογή του κανονισμού), αλλά τον Σεπτέμβριο του 2026 αποκαλυφθεί σε αυτήν μια κρίσιμη ευπάθεια, ο κατασκευαστής υποχρεούται να την αναφέρει και να την αποκαταστήσει.
• 11 Ιουνίου 2026 – από την ημερομηνία αυτή προβλέπεται να ισχύσουν οι διατάξεις που αφορούν τις κοινοποιημένες οντότητες και τους φορείς αξιολόγησης της συμμόρφωσης. Τα κράτη μέλη θα έχουν προετοιμάσει έως τα μέσα του 2026 το σύστημα ορισμού και κοινοποίησης των οντοτήτων που θα είναι εξουσιοδοτημένες να πιστοποιούν προϊόντα (σημαντικά και κρίσιμα) ως προς τη συμμόρφωση με τις απαιτήσεις του CRA. Για τους κατασκευαστές είναι σημαντικό να υπάρχει ήδη διαθέσιμη, κατά το δεύτερο εξάμηνο του 2026, η αναγκαία υποδομή για τη διενέργεια των απαιτούμενων δοκιμών και πιστοποιήσεων.
• 11 Δεκεμβρίου 2027 – πλήρης εφαρμογή του κανονισμού CRA. Από την ημερομηνία αυτή, κανένα προϊόν με ψηφιακά στοιχεία που δεν πληροί τις απαιτήσεις του CRA δεν μπορεί να διατίθεται νόμιμα στην αγορά της ΕΕ. Η προθεσμία αυτή (3 έτη από την έναρξη ισχύος) είναι το καταληκτικό όριο για την προσαρμογή προϊόντων και διαδικασιών. Μετά τις 11.12.2027, όλες οι νέες συσκευές και όλο το νέο λογισμικό που πωλούνται στην ΕΕ πρέπει να έχουν σχεδιαστεί, παραχθεί και συντηρούνται σύμφωνα με το CRA – διαφορετικά η εταιρεία εκτίθεται σε σοβαρές κυρώσεις. Αξίζει να τονιστεί ότι οι διατάξεις προβλέπουν μια ορισμένη ελάφρυνση για προϊόντα που βρίσκονται ήδη στην αγορά: αν ένα συγκεκριμένο προϊόν (συγκεκριμένο τεμάχιο) έχει ήδη διατεθεί στην αγορά πριν από τις 11 Δεκεμβρίου 2027, θα μπορεί να συνεχίσει να κυκλοφορεί χωρίς να πληροί το CRA. Ωστόσο, αυτό αφορά μόνο μεμονωμένα τεμάχια – ο τύπος του προϊόντος που σχεδιάστηκε πριν από το CRA δεν αποκτά αυτομάτως εξαίρεση. Κάθε νέα παρτίδα, κάθε νέο τεμάχιο που διατίθεται προς πώληση μετά την ημερομηνία αυτή πρέπει να συμμορφώνεται με το CRA, εκτός αν βρισκόταν ήδη πράγματι στην αγορά νωρίτερα (κάτι που στην πράξη σημαίνει π.χ. απόθεμα στην αποθήκη διανομέα που είχε ήδη αγοράσει το εμπόρευμα πριν από την προθεσμία). Επομένως, δεν είναι δυνατό να παρακαμφθούν οι διατάξεις με παραγωγή «για απόθεμα» και πώληση μετά το 2027 – κάθε προϊόν, τη στιγμή που διατίθεται στην αγορά, υπόκειται στις ισχύουσες απαιτήσεις. Εξαίρεση αποτελούν ακόμη τα ισχύοντα πιστοποιητικά εξέτασης τύπου ΕΕ που εκδόθηκαν πριν από την ημερομηνία αυτή βάσει άλλων κανονισμών – θα παραμείνουν σε ισχύ έως τον Ιούνιο του 2028, εκτός αν έχει οριστεί συντομότερη προθεσμία.

Για τις επιχειρήσεις, το πρακτικό συμπέρασμα είναι ότι η πραγματική καταληκτική προθεσμία είναι το τέλος του 2027. Από το 2028 δεν θα είναι δυνατή η πώληση στην ΕΕ συσκευών που δεν πληρούν τις απαιτήσεις του CRA. Ωστόσο, ήδη από το 2026 πρέπει να υπάρχει ετοιμότητα για τις νέες υποχρεώσεις αναφοράς περιστατικών. Ο χρόνος που απομένει πρέπει να αξιοποιηθεί για την ανάλυση και την προσαρμογή των προϊόντων. Αν και τα 3 χρόνια φαίνονται εκ πρώτης όψεως αρκετά, οι αλλαγές μπορεί να αποδειχθούν βαθιές – είναι προτιμότερο οι εργασίες να ξεκινήσουν έγκαιρα. Παρακάτω παρουσιάζουμε μια λίστα ελέγχου ενεργειών που θα πρέπει να εξετάσει ο manager κατά την προετοιμασία του οργανισμού του για τη συμμόρφωση με τις απαιτήσεις του κανονισμού για την κυβερνοανθεκτικότητα.

Κανονισμός (ΕΕ) 2024/2847: Πώς να προετοιμαστείτε για το 2026/2027 – checklist για manager

• Εντοπίστε τα προϊόντα που υπάγονται στο CRA – Καταρτίστε κατάλογο με τα προϊόντα της εταιρείας που αποτελούν «προϊόντα με ψηφιακά στοιχεία» (υλικό ή λογισμικό που συνδέεται με δίκτυο/άλλες συσκευές). Για καθένα, προσδιορίστε αν μπορεί να θεωρηθεί σημαντικό ή κρίσιμο κατά την έννοια του κανονισμού (Annex III/IV) – π.χ. αν επιτελεί ουσιώδεις λειτουργίες ασφάλειας, ή αν η παραβίασή του μπορεί να προκαλέσει εκτεταμένη ζημία. Από αυτή την ταξινόμηση εξαρτάται, μεταξύ άλλων, η απαιτούμενη διαδικασία αξιολόγησης της συμμόρφωσης (δηλαδή αν θα απαιτηθεί η συμμετοχή τρίτου μέρους).
• Εξοικειωθείτε με τις απαιτήσεις και τα πρότυπα – Αναλύστε τις ουσιώδεις απαιτήσεις κυβερνοασφάλειας του παραρτήματος I του CRA και συσχετίστε τις με τα προϊόντα σας. Ελέγξτε αν υπάρχουν ήδη κατάλληλα εναρμονισμένα πρότυπα ή κλαδικά πρότυπα που μπορούν να διευκολύνουν τη συμμόρφωση με τις απαιτήσεις (π.χ. πρότυπα της οικογένειας IEC 62443 για την προστασία συστημάτων βιομηχανικού αυτοματισμού μπορεί να είναι χρήσιμα στον σχεδιασμό μέτρων προστασίας μηχανημάτων). Παρακολουθείτε στενά τις εργασίες τυποποίησης – ενδέχεται να δημοσιευθούν κατευθυντήριες οδηγίες που θα διευκολύνουν την εφαρμογή των απαιτήσεων του CRA στον τομέα σας.
• Πραγματοποιήστε ανάλυση κενών (gap analysis) – Συγκρίνετε την τρέχουσα κατάσταση των προϊόντων και των διαδικασιών σας με τις νέες απαιτήσεις. Αξιολογήστε σε ποιο βαθμό το υφιστάμενο επίπεδο προστασίας καλύπτει τις απαιτήσεις (π.χ. αν οι συσκευές διαθέτουν μηχανισμούς αυθεντικοποίησης, κρυπτογράφησης, ασφαλών ενημερώσεων κ.λπ.). Αναλύστε επίσης τη διαδικασία ανάπτυξης λογισμικού στην εταιρεία – αν εφαρμόζονται αρχές secure coding, αν διενεργούνται δοκιμές διείσδυσης, και πόσο γρήγορα ανταποκρίνεστε σε αναφερόμενα τρωτά σημεία. Εντοπίστε ελλείψεις και πεδία βελτίωσης τόσο σε επίπεδο οργάνωσης (διαδικασίες) όσο και σε επίπεδο τεχνολογίας (λειτουργίες ασφάλειας).
• Προσαρμόστε τον σχεδιασμό και την ανάπτυξη των προϊόντων – Αν η ανάλυση κενών αναδείξει αδυναμίες, σχεδιάστε την υλοποίηση των μηχανισμών και πρακτικών που λείπουν. Αυτό μπορεί να περιλαμβάνει αλλαγές στην αρχιτεκτονική του προϊόντος (π.χ. προσθήκη μονάδας κρυπτογράφησης, προστασία των διεπαφών επικοινωνίας), βελτίωση της διαδικασίας SDLC (Software Development Life Cycle) με στοιχεία όπως threat modeling, code review με έμφαση στην ασφάλεια, δοκιμές fuzzing κ.λπ., καθώς και θέσπιση νέων πολιτικών ασφάλειας προϊόντος. Βεβαιωθείτε ότι η ομάδα R&D αντιμετωπίζει την κυβερνοασφάλεια ως απαίτηση σχεδιασμού ισότιμη με τη λειτουργικότητα – ο κανονισμός επιβάλλει προσέγγιση «security by design/default».
• Σχεδιάστε το σύστημα ενημερώσεων και υποστήριξης – Εξετάστε αν η εταιρεία σας είναι έτοιμη να υποστηρίζει τα προϊόντα για επαρκές χρονικό διάστημα. Ενδέχεται να χρειαστεί να δημιουργήσετε χρονοδιάγραμμα και να διαθέσετε πόρους για την έκδοση τακτικών ενημερώσεων λογισμικού firmware για αρκετά χρόνια μετά την πώληση. Ελέγξτε αν τα προϊόντα διαθέτουν τεχνική δυνατότητα ενημέρωσης (εξ αποστάσεως ή τοπικά) – αν όχι, πρόκειται για σοβαρό πρόβλημα, επειδή το CRA απαιτεί δυνατότητα αντιμετώπισης τρωτών σημείων μετά την πώληση. Καθορίστε μια ρεαλιστική περίοδο υποστήριξης (τουλάχιστον 5 έτη) και γνωστοποιήστε την στους χρήστες. Προετοιμάστε επίσης σχέδιο τεχνικής διαχείρισης αναφορών ασφάλειας από πελάτες.
• Ετοιμάστε την απαιτούμενη τεκμηρίωση – Βεβαιωθείτε ότι για κάθε προϊόν θα δημιουργηθεί πλήρης τεχνική τεκμηρίωση από την πλευρά της κυβερνοασφάλειας. Θα πρέπει να περιλαμβάνει, μεταξύ άλλων, έκθεση εκτίμησης κινδύνου, περιγραφή της αρχιτεκτονικής ασφάλειας, κατάλογο των εφαρμοζόμενων μέτρων (π.χ. κρυπτογράφηση, εξουσιοδότηση), αποτελέσματα δοκιμών ασφάλειας, διαδικασίες ενημερώσεων, πολιτική γνωστοποίησης τρωτών σημείων κ.λπ. Η τεκμηρίωση αυτή θα αποτελέσει τη βάση για την απόδειξη της συμμόρφωσης σε περίπτωση ελέγχου (και, ενδεχομένως, για υποβολή σε φορέα πιστοποίησης). Οργανώστε επίσης τη διαδικασία αρχειοθέτησής της για την απαιτούμενη περίοδο (10 έτη ή περισσότερο). Επιπλέον, ετοιμάστε υποδείγματα δήλωσης συμμόρφωσης ΕΕ για τα προϊόντα σας – έχοντας υπόψη ότι πρέπει να περιλαμβάνουν τη νέα διατύπωση που επιβεβαιώνει την πλήρη συμμόρφωση με όλες τις απαιτήσεις του κανονισμού.
• Φροντίστε την αλυσίδα εφοδιασμού – Επικοινωνήστε με τους προμηθευτές εξαρτημάτων (ιδίως λογισμικού, μονάδων IoT κ.λπ.) για να συζητήσετε ζητήματα συμμόρφωσης με το CRA. Επικαιροποιήστε τις συμβάσεις με τους προμηθευτές, εισάγοντας ρήτρες σχετικά με το απαιτούμενο επίπεδο κυβερνοασφάλειας των υποσυστημάτων και την υποχρέωση ενημέρωσης για εντοπισμένα τρωτά σημεία. Βεβαιωθείτε ότι έχετε πρόσβαση σε πληροφορίες για την προέλευση και τις εκδόσεις των εξαρτημάτων (τηρείτε SBOM – Software Bill of Materials για τα προϊόντα, ώστε να διευκολύνεται η παρακολούθηση τρωτών σημείων σε εξαρτώμενες βιβλιοθήκες). Αν χρησιμοποιείτε εξωτερικές υπηρεσίες cloud που συνδέονται με το προϊόν, ελέγξτε τα μέτρα προστασίας τους και τη συμμόρφωσή τους με το NIS2 (καθώς το SaaS μπορεί να υπάγεται στο NIS2 αντί του CRA). Η κυβερνοασφάλεια του προϊόντος είναι και η ασφάλεια όλων των δομικών στοιχείων από τα οποία αποτελείται – οι προμηθευτές πρέπει να κινούνται στην ίδια κατεύθυνση.
• Εκπαιδεύστε το προσωπικό και ενημερώστε τους πελάτες – Οι νέες υποχρεώσεις σημαίνουν ότι διαφορετικά τμήματα της εταιρείας πρέπει να διαθέτουν βασική γνώση για το CRA. Πραγματοποιήστε εκπαίδευση για τα τμήματα σχεδιασμού, ποιότητας, IT και service σχετικά με τις απαιτήσεις του κανονισμού και τις εσωτερικές διαδικασίες (π.χ. πώς να ανταποκρίνονται σε αναφορά τρωτού σημείου, πώς να τεκμηριώνουν αλλαγές για σκοπούς συμμόρφωσης). Αξίζει επίσης να ενημερωθούν τα τμήματα προμηθειών και πωλήσεων, ώστε να γνωρίζουν τις νέες σημάνσεις και δηλώσεις (π.χ. την ανάγκη να ελέγχουν αν προμηθευτής εκτός ΕΕ έχει προσκομίσει δήλωση συμμόρφωσης). Εξετάστε επίσης το ενδεχόμενο να ετοιμάσετε για τους πελάτες πληροφορίες σχετικά με την πολιτική ασφάλειας των προϊόντων σας – η διαφάνεια σε αυτόν τον τομέα μπορεί να εξελιχθεί σε εμπορικό πλεονέκτημα (οι χρήστες θα αρχίσουν να προσέχουν αν ένα συγκεκριμένο προϊόν πληροί τις απαιτήσεις κυβερνοασφάλειας και αν διαθέτει εγγυημένες ενημερώσεις).
• Παρακολουθείτε τις κατευθυντήριες οδηγίες και τις προθεσμίες – Παρακολουθείτε τις ανακοινώσεις της Ευρωπαϊκής Επιτροπής και των εθνικών αρχών σχετικά με το CRA. Ενδέχεται να εκδοθούν κατ’ εξουσιοδότηση ή εκτελεστικές πράξεις που θα αποσαφηνίζουν ορισμένα ζητήματα (π.χ. τομεακές εξαιρέσεις – η Επιτροπή μπορεί να αποφασίσει την εξαίρεση από το CRA προϊόντων που καλύπτονται από ισοδύναμες τομεακές απαιτήσεις). Παρακολουθείτε επίσης τη διαδικασία δημοσίευσης εναρμονισμένων προτύπων – η εφαρμογή ενός προτύπου θα είναι ο απλούστερος δρόμος για το τεκμήριο συμμόρφωσης. Φροντίστε να τηρηθούν οι προαναφερθείσες προθεσμίες: Σεπτέμβριος 2026 (ετοιμότητα για αναφορά περιστατικών) και Δεκέμβριος 2027 (πλήρης συμμόρφωση όλων των νέων προϊόντων). Ιδανικά, ορίστε εσωτερικά ορόσημα πολύ νωρίτερα – π.χ. ολοκλήρωση της αρχικής ανάλυσης κινδύνου έως τα μέσα του 2025, προσαρμογή της διαδικασίας ανάπτυξης έως το τέλος του 2025, δοκιμές συμμόρφωσης και pre-certifications το 2026 κ.λπ., ώστε να μπείτε στο 2027 με σχεδόν πλήρη κάλυψη των απαιτήσεων. Οι εκπλήξεις της τελευταίας στιγμής μπορεί να οδηγήσουν σε αναστολή των πωλήσεων, γι’ αυτό η προληπτική προσέγγιση είναι καθοριστική.

Η έγκαιρη ολοκλήρωση αυτής της «προεργασίας» θα βοηθήσει να αποφευχθεί ο αγχωτικός πανικός το 2027 και οι κίνδυνοι που τον συνοδεύουν. Αντί να αντιμετωπίζεται το CRA μόνο ως υποχρέωση, αξίζει να ιδωθεί ως ευκαιρία για την αναβάθμιση του συνολικού επιπέδου ασφάλειας των προϊόντων – κάτι που προστατεύει τόσο την επιχείρηση όσο και τους πελάτες από δαπανηρά περιστατικά.

CRA και Κανονισμός Μηχανημάτων (ΕΕ) 2023/1230 – τι υπάγεται σε ποιον;

Πολλά στελέχη της βιομηχανίας αναρωτιούνται πώς οι νέοι κανόνες για την κυβερνοανθεκτικότητα συνδέονται με τον ήδη γνωστό Κανονισμό Μηχανημάτων (ΕΕ) 2023/1230 (ο οποίος θα αντικαταστήσει την Οδηγία Μηχανημάτων). Υπάρχει επικάλυψη απαιτήσεων ή μήπως οι δύο κανονισμοί λειτουργούν συμπληρωματικά; Το κρίσιμο είναι να γίνει κατανοητό ποια στοιχεία του προϊόντος ρυθμίζει κάθε νομοθετική πράξη.

Ο Κανονισμός Μηχανημάτων 2023/1230 καλύπτει την ασφάλεια μηχανημάτων με την παραδοσιακή έννοια – εστιάζει στην προστασία της υγείας και της ασφάλειας των χρηστών των μηχανημάτων. Καθορίζει τις λεγόμενες βασικές απαιτήσεις ασφάλειας και προστασίας της υγείας (EHSR), οι οποίες αφορούν, μεταξύ άλλων, μηχανικές και ηλεκτρικές πτυχές, την εργονομία, τον θόρυβο, την EMC κ.λπ. Ο νέος κανονισμός μηχανημάτων εισήγαγε πράγματι και την απαίτηση να λαμβάνονται υπόψη οι κίνδυνοι που συνδέονται με την πρόσβαση στο διαδίκτυο και οι κυβερνοεπιθέσεις ως δυνητική απειλή για την ασφάλεια. Αυτό σημαίνει ότι ο κατασκευαστής της μηχανής πρέπει, κατά την εκτίμηση κινδύνου, να εξετάζει σενάρια στα οποία, για παράδειγμα, απομακρυσμένη παρέμβαση στο σύστημα ελέγχου της μηχανής θα μπορούσε να προκαλέσει ατύχημα. Επομένως, οφείλει να σχεδιάσει μέτρα που να αποτρέπουν τέτοιες καταστάσεις (π.χ. δικτυακές δικλίδες ασφαλείας που να εμποδίζουν μη εξουσιοδοτημένο πρόσωπο να αναλάβει τον έλεγχο της μηχανής). Ωστόσο, ο κανονισμός μηχανημάτων ρυθμίζει την κυβερνοασφάλεια μόνο στον βαθμό που αυτή επηρεάζει τη φυσική ασφάλεια των ανθρώπων που χειρίζονται τα μηχανήματα. Πρόκειται για ένα από τα πολλά στοιχεία της αξιολόγησης συμμόρφωσης μιας μηχανής, χωρίς όμως να υπεισέρχεται σε λεπτομερείς απαιτήσεις πληροφορικής – δεν θα βρούμε εκεί κατάλογο κρυπτογραφικών μηχανισμών ούτε υποχρέωση ενημέρωσης του λογισμικού της μηχανής μετά την πώληση. Με απλά λόγια, ο Κανονισμός Μηχανημάτων φροντίζει ώστε η μηχανή να μην θέτει σε κίνδυνο τη ζωή ή την υγεία (και ως αποτέλεσμα κυβερνοπεριστατικού), ενώ το CRA αφορά τη συνολική κυβερνοασφάλεια του προϊόντος (συμπεριλαμβανομένης της εμπιστευτικότητας των δεδομένων, της ανθεκτικότητας των υπηρεσιών και ολόκληρου του κύκλου ζωής).

Η Πράξη για την Κυβερνοανθεκτικότητα καλύπτει πολύ ευρύτερο φάσμα θεμάτων πληροφορικής από τον κανονισμό μηχανημάτων. Ακόμη και για βιομηχανικά μηχανήματα, το CRA επιβάλλει, για παράδειγμα, απαιτήσεις για αναφορά τρωτοτήτων, παροχή ενημερώσεων για X έτη, προστασία από απώλεια δεδομένων – δηλαδή ζητήματα που δεν συνδέονται άμεσα με την ασφάλεια του χρήστη της μηχανής, αλλά με την κυβερνοασφάλεια αυτή καθαυτή. Στην πράξη, αυτό σημαίνει ότι μια μηχανή που αποτελεί προϊόν με ψηφιακά στοιχεία θα υπάγεται ταυτόχρονα στις διατάξεις και των δύο κανονισμών. Ο κατασκευαστής μιας τέτοιας μηχανής πρέπει να συμμορφώνεται τόσο με τις απαιτήσεις της μίας όσο και της άλλης πράξης – τόσο με εκείνες που αφορούν τον ασφαλή σχεδιασμό από πλευράς, για παράδειγμα, μηχανικής κατασκευής (Κανονισμός Μηχανημάτων), όσο και με εκείνες που αφορούν την προστασία του λογισμικού, των δικτύων και των δεδομένων (CRA). Η συμμόρφωση με τις απαιτήσεις του ενός κανονισμού δεν συνεπάγεται αυτομάτως συμμόρφωση και με τον άλλο, επειδή τα κριτήρια αξιολόγησης είναι διαφορετικά.

Από την άποψη της διαδικασίας αξιολόγησης συμμόρφωσης, ένα προϊόν που υπάγεται σε περισσότερους από έναν κανονισμούς της ΕΕ πρέπει να πληροί όλες τις εφαρμοστέες διατάξεις πριν από τη σήμανση CE. Για παράδειγμα: κατασκευαστής που διαθέτει στην αγορά συνεργατικό βιομηχανικό ρομπότ με λειτουργία απομακρυσμένης παρακολούθησης θα πρέπει να διασφαλίσει ότι το ρομπότ πληροί τις βασικές απαιτήσεις ασφάλειας μηχανημάτων (κανον. 2023/1230) και τις βασικές απαιτήσεις κυβερνοασφάλειας (Κανονισμός (ΕΕ) 2024/2847). Η δήλωση συμμόρφωσης ΕΕ για μια τέτοια μηχανή θα πρέπει να αναφέρει και τις δύο νομοθετικές πράξεις. Αντίστοιχα, ο διευθυντής συντήρησης που αγοράζει μια τέτοια συσκευή πρέπει να ελέγξει τόσο τη συμμόρφωση με το «CE μηχανημάτων» όσο και με το «CE κυβερνοασφάλειας». Στην πράξη, η σήμανση CE είναι μία – όμως η τεκμηρίωση πρέπει να αποδεικνύει τη συμμόρφωση με όλες τις διατάξεις της νέας προσέγγισης που αφορούν το συγκεκριμένο προϊόν.

Αξίζει να αναφερθούν μερικά παραδείγματα για το τι υπάγεται σε ποιον κανονισμό:

• Αμιγώς ηλεκτρονικές συσκευές IT (χωρίς λειτουργίες μηχανής) – π.χ. δρομολογητές, smartphones, κάμερες IP – δεν υπάγονται στον Κανονισμό για τα Μηχανήματα (επειδή δεν είναι μηχανές), αλλά υπάγονται στο CRA, εφόσον διαθέτουν ψηφιακά στοιχεία και επικοινωνούν μέσω δικτύου. Στην περίπτωσή τους, το κύριο ζητούμενο είναι η κυβερνοασφάλεια, ενώ τα ζητήματα φυσικής ασφάλειας του χρήστη δεν έχουν ουσιαστική σημασία (πέρα από τις γενικές διατάξεις για την ασφάλεια στην εργασία/EMC).
• Παραδοσιακές μηχανές χωρίς ψηφιακή συνδεσιμότητα – π.χ. μια υδραυλική πρέσα με αμιγώς αναλογικό σύστημα ελέγχου – υπάγονται στον Κανονισμό για τα Μηχανήματα (πρέπει να πληρούνται οι απαιτήσεις που αφορούν την κατασκευή, τα προστατευτικά, τα κυκλώματα ασφαλείας κ.λπ.), αλλά δεν υπάγονται άμεσα στο CRA, επειδή δεν περιλαμβάνουν ψηφιακά στοιχεία που επικοινωνούν προς τα έξω. Φυσικά, αν στη μηχανή υπάρχει ηλεκτρονικός έλεγχος, αυτός καθαυτός μπορεί να θεωρηθεί ψηφιακός εξοπλισμός· ωστόσο, όσο δεν υπάρχει συνδεσιμότητα (π.χ. χωρίς θύρες δικτύου, χωρίς απομακρυσμένη πρόσβαση), δεν πληροί τον ορισμό του «προϊόντος με ψηφιακά στοιχεία» κατά την έννοια του CRA.
• Σύγχρονες μηχανές με ψηφιακές λειτουργίες – π.χ. ρομπότ, γραμμές παραγωγής με IoT, οχήματα AGV που επικοινωνούν με σύστημα διαχείρισης – υπάγονται και στις δύο πράξεις. Εδώ ο Κανονισμός για τα Μηχανήματα θα επιβάλει, μεταξύ άλλων, την παραδοσιακή εκτίμηση κινδύνου (ώστε η μηχανή να μη δημιουργεί μηχανικούς/ηλεκτρικούς κινδύνους), καθώς και την απαίτηση ώστε, για παράδειγμα, η απομακρυσμένη πρόσβαση στο ρομπότ να μην μπορεί να προκαλέσει επικίνδυνη κατάσταση (δηλαδή να λαμβάνονται υπόψη οι κυβερνοαπειλές που επηρεάζουν την ασφάλεια). Από την άλλη, το CRA θα επιβάλει επιπλέον την υποχρέωση το συγκεκριμένο ρομπότ να διαθέτει γενικά ασφαλές λογισμικό (π.χ. κρυπτογραφημένη μετάδοση δεδομένων, μοναδικούς κωδικούς πρόσβασης), να ενημερώνεται από τον κατασκευαστή και, σε περίπτωση εντοπισμού ευπάθειας, αυτή να διορθώνεται και να γνωστοποιείται στις αρμόδιες αρχές. Ο κατασκευαστής τέτοιου εξοπλισμού πρέπει επομένως να διασφαλίζει ανθεκτικότητα σε κυβερνοεπιθέσεις τόσο στο πλαίσιο της ασφάλειας των ανθρώπων όσο και της επιχειρησιακής συνέχειας, της εμπιστευτικότητας των δεδομένων κ.λπ.

Συνοψίζοντας, ο Κανονισμός για τα Μηχανήματα και το CRA δεν ανταγωνίζονται μεταξύ τους, αλλά αλληλοσυμπληρώνονται. Ο πρώτος φροντίζει για τη λειτουργική ασφάλεια των μηχανών (συμπεριλαμβανομένων των ελάχιστων απαιτήσεων που αφορούν το cyber, ώστε η μηχανή να είναι ασφαλής), ενώ ο δεύτερος καλύπτει την ευρύτερη κυβερνοασφάλεια του προϊόντος σε όλο τον κύκλο ζωής του. Για τους managers αυτό σημαίνει ανάγκη για πολυδιάστατη συμμόρφωση: ένα έξυπνο προϊόν πρέπει να είναι ταυτόχρονα ασφαλές από κατασκευαστική άποψη και κυβερνοασφαλές. Επομένως, είναι απαραίτητο να παρακολουθούνται οι απαιτήσεις και των δύο ρυθμιστικών πλαισίων. Ευτυχώς, τα χρονοδιαγράμματα εφαρμογής τους είναι παρόμοια – ο Κανονισμός για τα Μηχανήματα θα αρχίσει επίσης να εφαρμόζεται στην πράξη από τον Ιανουάριο του 2027 (αντικαθιστώντας την οδηγία), ενώ το CRA από τα τέλη του 2027. Άρα, η προετοιμασία για αμφότερα μπορεί να ενταχθεί σε ένα ενιαίο πρόγραμμα συμμόρφωσης. Για παράδειγμα, κατά τον σχεδιασμό μιας νέας μηχανής να λαμβάνονται εξαρχής υπόψη τόσο οι απαιτήσεις ασφάλειας μηχανημάτων όσο και τα μέτρα προστασίας IT· κατά τις δοκιμές του πρωτοτύπου να ελέγχεται όχι μόνο η συμμόρφωση με πρότυπα όπως το ISO 13849 (safety), αλλά και, για παράδειγμα, οι δοκιμές διείσδυσης του συστήματος ελέγχου. Με μια τέτοια προσέγγιση, η εταιρεία θα εξασφαλίσει ολοκληρωμένη συμμόρφωση και θα αποφύγει την κατάσταση όπου συμμορφώνεται με ένα νομικό πλαίσιο αγνοώντας το άλλο.

Ο Κανονισμός (ΕΕ) 2024/2847 αποτελεί αναμφίβολα πρόκληση για τους κατασκευαστές και τους προμηθευτές, αλλά ταυτόχρονα είναι και αναγκαία απάντηση στις σύγχρονες συνθήκες. Οι μηχανές και οι συσκευές γίνονται ολοένα πιο έξυπνες και διασυνδεδεμένες – και η νομοθεσία πρέπει να ακολουθεί αυτή την εξέλιξη. Οι managers που θα αναλάβουν ήδη από τώρα προπαρασκευαστικές ενέργειες θα αποκτήσουν πλεονέκτημα: οι εταιρείες τους όχι μόνο θα προσαρμοστούν ομαλά στο νέο νομικό πλαίσιο, αλλά θα ενισχύσουν και την ανταγωνιστικότητα και την αξιοπιστία των προϊόντων τους στα μάτια των πελατών, για τους οποίους η ψηφιακή ασφάλεια γίνεται εξίσου σημαντική με την τιμή ή τη λειτουργικότητα. Με την κατάλληλη υποστήριξη από ειδικούς στην ασφάλεια μηχανημάτων και στα συστήματα IT, η εφαρμογή των απαιτήσεων του CRA μπορεί να αντιμετωπιστεί ως στοιχείο συνεχούς βελτίωσης και όχι μόνο ως κανονιστική υποχρέωση. Τελικά, θα ωφεληθούν τόσο η επιχείρηση όσο και οι τελικοί χρήστες, αλλά και ολόκληρο το ψηφιακό οικοσύστημα. Ασφαλέστερα προϊόντα σημαίνουν μικρότερο κίνδυνο διακοπών λειτουργίας, επιθέσεων και απωλειών – και αυτός είναι ο στόχος που υπηρετεί τόσο ο νομοθέτης όσο και οι υπεύθυνοι συμμετέχοντες στην αγορά.