Uredba (EU) 2024/2847 – Akt o kibernetičkoj otpornosti (CRA)

Uredba (EU) 2024/2847 – Akt o kibernetičkoj otpornosti (Cyber Resilience Act, CRA) nova je uredba EU-a koja uvodi horizontalne zahtjeve u području kibernetičke sigurnosti za „proizvode s digitalnim elementima”. Donesena je u listopadu 2024. i počet će se izravno primjenjivati u svim državama članicama EU-a, nakon prijelaznih razdoblja, od kraja 2027. Kao menadžeru u industriji – bilo da ste odgovorni za održavanje, nabavu ili usklađenost – već sada vrijedi razumjeti na koje se proizvode ova uredba odnosi, koje nove obveze nameće proizvođačima, uvoznicima i distributerima te kako pripremiti tvrtku za nadolazeće promjene. U nastavku donosimo ključne informacije iz praktične perspektive, bez pravničkog žargona, ali uz tehničku preciznost – kako bismo olakšali poduzimanje odgovarajućih pripremnih aktivnosti.

Područje primjene: koje proizvode obuhvaća Akt o kibernetičkoj otpornosti?

Uredba (EU) 2024/2847 odnosi se na sve „proizvode s digitalnim elementima” koji se stavljaju na tržište EU-a, čija predviđena uporaba uključuje povezivanje s drugim uređajem ili mrežom (izravno ili neizravno, fizički ili logički). Drugim riječima, većina uređaja ili softvera koji mogu komunicirati s drugim sustavima podliježe novim zahtjevima. U praksi će to biti, među ostalim, IoT uređaji i potrošačka elektronika (npr. pametni satovi, mobilni telefoni, pametni kućanski uređaji i RTV oprema, elektroničke dadilje), nosivi uređaji (npr. fitness narukvice), industrijska oprema s mrežnim funkcijama (senzori i industrijski strojevi povezani na mrežu) te različite vrste softvera (operacijski sustavi, mobilne i računalne aplikacije, poslovni softver itd.). Važno je da softver koji se prodaje samostalno (kao proizvod) također podliježe CRA-u, jednako kao i usluge udaljene obrade podataka koje čine sastavni dio proizvoda – primjerice, usluga u oblaku koja upravlja uređajem pametnog doma smatrat će se dijelom proizvoda i mora ispunjavati sigurnosne zahtjeve.

Uredba ima vrlo široko područje primjene, ali predviđa i izuzeća za određene kategorije proizvoda koje su već uređene vlastitim sektorskim propisima. CRA ne obuhvaća, među ostalim: medicinske proizvode (obuhvaćene uredbama MDR 2017/745 i 2017/746), vozila i njihovu opremu (obuhvaćene, među ostalim, uredbom 2019/2144 u području homologacije vozila), zrakoplove (uredba 2018/1139 o zrakoplovstvu) ni pomorsku opremu (direktiva 2014/90/EU). Za te proizvode postoje zasebni propisi, koji često već sadržavaju zahtjeve prilagođene pojedinoj industriji, pa su zato izuzeti iz područja primjene CRA-a. Osim toga, novi propisi ne odnose se na opremu i softver isključivo vojne namjene ili namijenjene nacionalnoj sigurnosti (kao ni na obradu klasificiranih podataka). Izuzeti su i rezervni dijelovi koji se isporučuju kao zamjena za istovjetne komponente – ako je izvorni proizvod zakonito stavljen na tržište, istovjetni dio ne mora zasebno ispunjavati zahtjeve CRA-a.

Vrijedi napomenuti da tzv. slobodan i otvoreni softver (open source) neće biti obuhvaćen CRA-om, pod uvjetom da se ne stavlja na raspolaganje u okviru komercijalne djelatnosti. Ako se, dakle, određeni softver razvija i objavljuje besplatno, izvan tržišnog prometa, njegovi autori (npr. open source zajednica) ne smatraju se „proizvođačima” u smislu uredbe i na njih se ne odnose niže opisane obveze. Međutim, ako bi tvrtka upotrijebila open source komponentu u svojem komercijalnom proizvodu, odgovornost za ispunjavanje sigurnosnih zahtjeva snosi proizvođač konačnog proizvoda. Ukratko, CRA je prvenstveno usmjeren na profesionalno razvijene i prodavane digitalne proizvode koji dolaze do krajnjih korisnika na unutarnjem tržištu EU-a.

Zašto je uveden CRA? Nove prijetnje, regulatorna praznina i opskrbni lanac

Europska unija prepoznala je hitnu potrebu za jačanjem kibernetičke otpornosti digitalnih proizvoda s obzirom na rastuće prijetnje. Posljednjih godina broj i raznolikost uređaja povezanih s internetom naglo su porasli – od industrijskih IoT sustava u tvornicama do pametnih kućanskih uređaja. Nažalost, razina kibernetičke sigurnosti tih proizvoda često je niska, što se očituje u raširenim ranjivostima te nedostatnoj i neujednačenoj isporuci sigurnosnih ažuriranja. Mnogi proizvođači dosad nisu davali prioritet sigurnosti tijekom cijelog životnog ciklusa proizvoda, a korisnici često nemaju ni svijest ni informacije o tome koji su uređaji sigurni, koliko dugo će dobivati ažuriranja i kako ih sigurno upotrebljavati. Ta kombinacija čimbenika dovodi do povećanog rizika od kibernetičkih napada.

Akt o kibernetičkoj otpornosti treba popuniti regulatornu prazninu – dosad na razini EU nisu postojali jedinstveni, obvezni zahtjevi za digitalnu sigurnost proizvoda. Iako su postojale inicijative poput certifikacije ICT sigurnosti (na temelju Akta o kibersigurnosti 2019/881) ili zahtjeva direktive NIS2 za kritične sektore, nijedan propis nije izravno nametao obvezu „kibersigurnosti već u fazi projektiranja” za sve uređaje i softver koji se stavljaju na tržište. CRA upravo uspostavlja takav univerzalni okvir – zahtijeva da se hardver i softver projektiraju, proizvode i održavaju uz primjenu snažnih zaštitnih mjera tijekom cijelog životnog ciklusa. Cilj je da na tržište dolaze proizvodi s manjim brojem ranjivosti te da proizvođači osiguraju brzo uklanjanje novih prijetnji (npr. sigurnosnim zakrpama), umjesto da korisnike ostavljaju s nesigurnim uređajima.

Pitanje kibernetičke otpornosti ima i dimenziju lanca opskrbe te prekogranični karakter. U doba opće povezanosti svega sa svime, incident u jednom, naizgled nevažnom uređaju može postati vektor napada na cijelu organizaciju ili poslovne partnere. Jedan zaraženi IoT senzor u proizvodnoj hali može otvoriti put prema mreži postrojenja; ranjivost u popularnoj aplikaciji može se u roku od nekoliko minuta iskoristiti globalno. Kako je istaknuto u obrazloženju uredbe, kibernetički incident u jednom proizvodu može se proširiti kroz lanac opskrbe izvan granica jedne države u roku od nekoliko minuta. Troškove takvih napada ne snose samo proizvođači i korisnici, nego i cijelo društvo – poremećaji kritične infrastrukture, financijski gubici, ugrožavanje javne sigurnosti. Zajednička, obvezna pravila u cijeloj EU trebaju podići opću razinu zaštite i spriječiti situaciju u kojoj najslabija karika (proizvod bez odgovarajuće otpornosti) ugrožava sve.

Dodatni motiv je jačanje povjerenja u digitalne proizvode i izjednačavanje uvjeta tržišnog natjecanja. Trenutačno proizvođači koji ulažu u sigurnost već u fazi projektiranja nerijetko cjenovno gube od onih koji ta pitanja zanemaruju. CRA treba osigurati da kibersigurnost postane standard kvalitete – svi će morati ispuniti minimalne zahtjeve, što će izjednačiti uvjete i smanjiti društvene troškove napada (koji se danas prebacuju na žrtve). Time bi se u konačnici trebala povećati otpornost cijelog tržišta EU-a te povjerenje kupaca u suvremene uređaje s digitalnim elementima. Akt se uklapa i u širu strategiju EU-a (zajedno s RODO-om, NIS2, DORA-om itd.) usmjerenu na jačanje kibersigurnosti usluga i proizvoda kao temelja digitalnog gospodarstva.

Uredba (EU) 2024/2847: Glavne obveze proizvođača, uvoznika i distributera

Nova uredba uvodi niz konkretnih obveza za gospodarske subjekte uključene u lanac opskrbe proizvodima s digitalnim elementima. Opseg odgovornosti ovisi o ulozi – najviše se zahtijeva od proizvođača, ali i uvoznici i distributeri imaju važne zadaće. U nastavku sažimamo ključne obveze iz perspektive menadžera koji vodi računa o usklađenosti proizvoda tvrtke s propisima.

Obveze proizvođača

Proizvođač (kao i subjekt koji proizvod stavlja na tržište pod vlastitom robnom markom ili ga mijenja – i on se također smatra proizvođačem) snosi glavnu odgovornost za ispunjavanje zahtjeva CRA-a. Njegove najvažnije zadaće uključuju:

• Osiguravanje usklađenosti proizvoda s bitnim zahtjevima kibernetičke sigurnosti utvrđenima u Prilogu I Uredbe. U praksi to znači da proizvod već u fazi projektiranja i konstrukcije mora imati značajke koje jamče odgovarajuću razinu digitalne sigurnosti, primjerenu riziku povezanom s tim proizvodom. Uredba navodi niz konkretnih tehničkih zahtjeva – među ostalim nepostojanje poznatih ranjivosti u trenutku stavljanja na tržište, primjenu sigurnih zadanih postavki (npr. izbjegavanje zadanih lozinki), šifriranje gdje je to primjereno, zaštitu od neovlaštenog pristupa, zaštitu osobnih podataka korisnika, otpornost na napade koji ometaju funkcije (npr. DoS napadi) te mogućnost vraćanja na tvorničke postavke. Proizvod treba biti projektiran tako da se njegova „površina napada” svede na najmanju moguću mjeru – primjerice, ne bi smio imati nepotrebno otvorene portove ili usluge koje povećavaju izloženost kibernetičkim prijetnjama. Ti bitni zahtjevi (dio I Priloga I CRA) čine kontrolni popis sigurnosnih značajki koje svaki digitalni proizvod mora ispuniti.
• Uspostava procesa upravljanja ranjivostima i incidentima – proizvođač mora aktivno brinuti o sigurnosti proizvoda nakon njegove prodaje, tijekom cijelog deklariranog razdoblja podrške. U dijelu II Priloga I utvrđeni su zahtjevi za proces upravljanja ranjivostima (vulnerability handling): redovito testiranje i praćenje novih slabosti, zaprimanje prijava ranjivosti (npr. od istraživača ili korisnika) te brzo uklanjanje/zakrpavanje otkrivenih ranjivosti isporukom sigurnosnih ažuriranja. Proizvođač mora provoditi politiku koordiniranog otkrivanja ranjivosti (coordinated disclosure) – odnosno imati određenu kontaktnu točku na koju se problemi mogu prijaviti i postupke za reakciju na takve prijave. Važno je da ažuriranja bez odgode uklanjaju ranjivosti i da se distribuiraju na siguran način (npr. digitalno potpisana). Osobito je važno da je proizvođač obvezan osigurati podršku i sigurnosna ažuriranja tijekom razdoblja koje odgovara očekivanom životnom ciklusu proizvoda, najmanje 5 godina (osim ako priroda proizvoda opravdava kraće razdoblje). Drugim riječima, ako se očekuje da će naša oprema korisnicima uobičajeno služiti ~5+ godina, ne možemo prestati izdavati zakrpe nakon godinu ili dvije – bit će potrebna višegodišnja postprodajna podrška kako korisnik ne bi ostao s nesigurnim uređajem.
• Provođenje procjene rizika kibernetičke sigurnosti – prije stavljanja proizvoda s digitalnim elementima na tržište proizvođač mora provesti sustavnu analizu rizika povezanih s kibernetičkim prijetnjama za taj proizvod. Procjena rizika trebala bi biti dio procesa projektiranja (security by design) i uzeti u obzir, među ostalim, predviđenu namjenu proizvoda, moguće nepravilne uporabe, uvjete uporabe (IT okruženje, mrežu, vrstu podataka koje uređaj obrađuje). Na temelju te analize potrebno je planirati odgovarajuće zaštitne mjere i ugraditi ih u konstrukciju. Dokumentacija o procjeni rizika u kibernetičkom prostoru postaje dio tehničke dokumentacije proizvoda i mora se ažurirati ako se pojave nove prijetnje. Proizvođač je obvezan čuvati dokumentaciju najmanje 10 godina od stavljanja proizvoda na tržište (a ako je deklarirano razdoblje podrške dulje od 10 godina – razmjerno dulje). Procjena rizika nije jednokratna radnja – treba je provjeravati i ažurirati prema potrebi, osobito kada se otkriju nove ranjivosti ili se promijeni kontekst uporabe proizvoda.
• Nadzor nad vanjskim komponentama – proizvođač mora postupati s dužnom pažnjom pri korištenju komponenti trećih strana, uključujući open source biblioteke. Potrebno je osigurati da vanjske komponente (softverske i hardverske) ne ugrožavaju kibernetičku sigurnost cjelokupnog proizvoda. U praksi to znači da je nužno kontrolirati verzije i ažuriranja korištenih biblioteka, pratiti poznate ranjivosti (npr. objavljene u CVE) u tim komponentama te ih ažurirati ili zamijeniti kada se pojave slabosti. Ako je u proizvodu korišten softver otvorenog koda i u njemu je otkrivena ranjivost, proizvođač je dužan obavijestiti subjekt odgovoran za održavanje tog open source rješenja (npr. open source projekt) o nastalom problemu, a ako samostalno ukloni ranjivost u vlastitom opsegu – dostaviti zajednici informacije o primijenjenom ispravku. Time se proizvođače uključuje u ekosustav koordiniranog zakrpavanja ranjivosti i u komponentama otvorenog koda.
• Formalna ocjena sukladnosti i dokumenti – prije nego što proizvod bude stavljen na tržište, proizvođač mora provesti postupak ocjene sukladnosti sa zahtjevima CRA i izraditi dokumentaciju koja potvrđuje ispunjavanje zahtjeva. Za većinu „uobičajenih” proizvoda (koji nisu svrstani u kategoriju povišenog rizika) bit će dovoljno unutarnje provjeravanje (interna ocjena) i priprema tehničke dokumentacije koja sadržava, među ostalim, opis proizvoda, rezultate analize rizika, popis primijenjenih sigurnosnih mjera, postupke testiranja i ažuriranja itd. Zatim proizvođač izdaje EU izjavu o sukladnosti, u kojoj izjavljuje da proizvod ispunjava sve primjenjive zahtjeve CRA, i na proizvod stavlja oznaku CE. Napomena: ako je određeni proizvod razvrstan kao „važan” ili „kritičan” s aspekta kibernetičke sigurnosti (Annex III i IV CRA), na njega se mogu primjenjivati stroži postupci ocjene sukladnosti. Za važne proizvode klase II te kritične proizvode bit će potrebna certifikacija treće strane, odnosno ispitivanje i certifikat koji izdaje prijavljeno tijelo (npr. akreditirani laboratorij). Za važne proizvode klase I dopuštena je samocertifikacija samo ako postoje odgovarajuće usklađene norme koje proizvođač primijeni – u protivnom je također potrebno sudjelovanje treće strane. Stoga bi menadžer trebao utvrditi u koju kategoriju pripada proizvod tvrtke i hoće li biti potrebno planirati vanjsku certifikaciju (što može utjecati na raspored stavljanja proizvoda na tržište).
• Praćenje sigurnosti nakon stavljanja na tržište i izvješćivanje – novost koju uvodi CRA jest obveza prijavljivanja ozbiljnih sigurnosnih problema nadležnim tijelima. Proizvođač mora prijaviti svaku aktivno iskorištavanu ranjivost svojeg proizvoda te svaki ozbiljan incident koji utječe na sigurnost proizvoda nacionalnom CSIRT-u (timu za odgovor na incidente) određenom kao koordinator i agenciji ENISA. Rok za prijavu vrlo je kratak – iznosi 24 sata od otkrivanja ranjivosti/događaja (analogno zahtjevima GDPR-a ili NIS2). Prijave će se podnositi putem jedinstvene europske platforme kojom upravlja ENISA. Obveza izvješćivanja stupit će na snagu prije ostalih zahtjeva (rujan 2026. – vidi rokove niže) i od tog će se trenutka odnositi na sve proizvode na tržištu. Zato proizvođač mora imati interne postupke koji mogu otkriti incident/ranjivost i u roku od 24 sata dostaviti informacije koje zahtijeva Uredba. Cilj je nadzornim tijelima osigurati pregled novih prijetnji i koordinirati odgovor (npr. upozoriti druge korisnike kada određeni proizvod ima kritičnu ranjivost).

Navedene obveze često zahtijevaju znatne organizacijske promjene – od uvođenja Secure SDLC-a u odjelu R&D, preko novih politika održavanja i podrške proizvodima, do dodatne dokumentacije i osposobljavanja osoblja. Zauzvrat, tvrtka stječe veću sigurnost da njezin proizvod neće postati izvor ozbiljnog kibernetičkog incidenta, kao i usklađenost s nadolazećim propisima, što omogućuje nastavak prodaje na tržištu EU.

Uredba (EU) 2024/2847: Obveze uvoznika i distributera

Subjekti koji uvoze proizvode s digitalnim elementima izvan EU-a (uvoznici) ili ih dalje prodaju na tržištu Unije (distributeri) također moraju voditi računa o usklađenosti tih proizvoda s CRA-om. Njihova se uloga prije svega svodi na provjeru i reagiranje na moguće neusklađenosti.

Uvoznik prije stavljanja proizvoda na tržište EU-a mora provjeriti je li proizvođač ispunio svoje obveze – drugim riječima, ima li proizvod propisanu oznaku CE i EU izjavu o sukladnosti, jesu li priložene upute i sigurnosne informacije te je li proizvođač izradio potrebnu tehničku dokumentaciju. Uvoznik ne mora sam provoditi ispitivanja kibernetičke sigurnosti proizvoda, ali ako ima opravdane sumnje u pogledu usklađenosti proizvoda sa zahtjevima (npr. nedostaje oznaka CE, nema informacija o razdoblju podrške i sl.), ne bi smio staviti takav proizvod na tržište dok se ne uvjeri da je neusklađenost otklonjena. Ako utvrdi da proizvod ne ispunjava zahtjeve CRA-a, uvoznik je dužan obavijestiti nadzorna tijela i poduzeti korektivne mjere – osigurati usklađivanje proizvoda, a ako to nije moguće, povući ga iz prometa ili s tržišta. Uvoznici, kao i proizvođači, moraju čuvati primjerak izjave o sukladnosti i osigurati da tehnička dokumentacija bude dostupna tijelima na zahtjev. Također trebaju navesti svoje kontaktne podatke na proizvodu (ili ambalaži) i osigurati da je proizvod pravilno označen. U praksi se uloga uvoznika svodi na sigurnosnu kontrolnu točku – treba spriječiti distribuciju u EU proizvoda koji nemaju „papire” koji potvrđuju ispunjavanje zahtjeva CRA-a.

Distributeri (domaći veletrgovci, maloprodavatelji itd.) nalaze se u sličnoj situaciji kao uvoznici, s tom razlikom da provjeravaju ispunjavanje zahtjeva i od strane proizvođača i, prema potrebi, uvoznika ako proizvod dolazi izvan EU-a. Distributer prije daljnje prodaje stoga treba provjeriti ima li proizvod oznaku CE, jesu li priložene izjava ili upute koje zahtijeva zakon te jesu li javno objavljene obavijesti da određeni model nije usklađen sa sigurnosnim zahtjevima. U slučaju sumnje i on je dužan obustaviti prodaju dok se stvar ne razjasni. Ako procijeni (ili bude obaviješten) da proizvod predstavlja ozbiljan rizik ili ne ispunjava zahtjeve CRA-a, treba o tome obavijestiti proizvođača ili uvoznika te nadzorna tijela i surađivati u provedbi korektivnih mjera (npr. pri povlačenju proizvoda s tržišta).

Iz perspektive voditelja nabave, ovi propisi znače potrebu za većim oprezom pri odabiru dobavljača opreme/softvera. Potrebno je provjeravati isporučuju li partneri izvan EU-a proizvode koji su već usklađeni s CRA-om, jer će u protivnom naše poduzeće (kao uvoznik) snositi odgovornost za nedostatke. Za distributera (npr. tvrtku koja trguje industrijskom automatizacijom) dodatna je obveza pratiti imaju li proizvodi različitih marki iz njegove ponude važeće izjave o sukladnosti i ispunjavaju li zahtjeve – u praksi će to zahtijevati blisku suradnju s proizvođačima i brzu reakciju na sva sigurnosna upozorenja koja se odnose na prodane uređaje.

Vrijedi napomenuti: ako uvoznik ili distributer stavlja proizvod na tržište pod vlastitim logotipom/markom ili izmijeni proizvod (npr. promijeni njegovu funkcionalnost, softver ili konfiguraciju na način bitan za kibernetičku sigurnost), tada prema uredbi sam postaje proizvođač tog proizvoda. U tom slučaju mora preuzeti sve obveze proizvođača (provesti ocjenjivanje sukladnosti i označavanje CE, izdati vlastitu izjavu itd.). Ta se situacija odnosi, primjerice, na tvrtke koje integriraju sustave i prodaju OEM uređaje pod vlastitim brendom – moraju biti vrlo oprezne jer formalno odgovaraju za usklađenost jednako kao i izvorni proizvođač.

Datumi stupanja na snagu i prijelazna razdoblja

Uredba (EU) 2024/2847 objavljena je u Službenom listu 20. studenoga 2024. Stupila je na snagu 10. prosinca 2024. (20 dana od objave), no glavne obveze počet će se primjenjivati tek nakon 36 mjeseci od tog datuma. Zakonodavac je, naime, predvidio dugo prijelazno razdoblje kako bi industriji dao vremena za prilagodbu. Ovo su ključni datumi:

• 11. rujna 2026. – od tog datuma počet će vrijediti obveze prijavljivanja ranjivosti i incidenata. Proizvođač svakog proizvoda s digitalnim elementima koji je prisutan na tržištu EU morat će nadležnim tijelima prijavljivati sve aktivno iskorištavane ranjivosti te ozbiljne sigurnosne incidente povezane s njegovim proizvodom. Taj datum nastupa 21 mjesec nakon stupanja CRA na snagu i znači da tvrtke već u 2026. moraju imati uspostavljene postupke za praćenje sigurnosti i prijavu problema. To ne ovisi o tome kada je proizvod stavljen na tržište – odnosi se i na proizvode prodane prije 2026. koji su i dalje u uporabi. Drugim riječima, čak i ako je uređaj stavljen na tržište, primjerice, 2025. (prije primjene uredbe), a u rujnu 2026. se u njemu otkrije kritična ranjivost, proizvođač ju je dužan prijaviti i ukloniti.
• 11. lipnja 2026. – od tog datuma trebale bi se primjenjivati odredbe koje se odnose na prijavljena tijela i tijela za ocjenjivanje sukladnosti. Države članice do sredine 2026. pripremit će sustav za imenovanje i prijavu tijela koja će biti ovlaštena za certificiranje proizvoda (važnih i kritičnih) u pogledu ispunjavanja zahtjeva CRA. Za proizvođače je važno da u drugoj polovici 2026. već bude dostupna infrastruktura za provedbu potrebnih ispitivanja i certifikacije.
• 11. prosinca 2027. – puna primjena uredbe CRA. Od tog datuma nijedan proizvod s digitalnim elementima koji ne ispunjava zahtjeve CRA ne može se zakonito staviti na tržište EU. Taj rok (3 godine od stupanja na snagu) krajnji je datum za usklađivanje proizvoda i procesa. Nakon 11.12.2027. svi novi uređaji i softver koji se prodaju u EU moraju biti projektirani, proizvedeni i održavani u skladu s CRA – u protivnom se tvrtka izlaže ozbiljnim sankcijama. Vrijedi naglasiti da propisi predviđaju određeno olakšanje za proizvode koji su već na tržištu: ako je određeni proizvod (konkretni primjerak) već stavljen na raspolaganje na tržištu prije 11. prosinca 2027., moći će i dalje biti u prometu bez ispunjavanja zahtjeva CRA. Međutim, to se odnosi samo na pojedinačne primjerke – tip proizvoda projektiran prije CRA ne stječe automatski izuzeće. Svaka nova serija, svaki novi primjerak koji se stavlja u prodaju nakon tog datuma mora biti usklađen s CRA, osim ako se fizički već ranije nalazio u prometu (što u praksi znači, primjerice, skladište kod distributera koji je robu kupio prije tog roka). Propise, dakle, nije moguće zaobići proizvodnjom „na zalihu” i prodajom nakon 2027. – svaki proizvod u trenutku stavljanja na tržište podliježe važećim zahtjevima. Iznimka su još uvijek važeći EU certifikati o ispitivanju tipa izdani prije tog datuma na temelju drugih propisa – ostat će važeći do lipnja 2028., osim ako je određen kraći rok.

Za tvrtke je praktičan zaključak da je stvarni rok kraj 2027. godine. Od 2028. u EU više nećemo moći prodavati uređaje koji ne ispunjavaju zahtjeve CRA. No već u 2026. treba biti spreman na nove obveze prijavljivanja incidenata. Preostalo vrijeme treba iskoristiti za analizu i prilagodbu proizvoda. Iako se 3 godine na prvi pogled čine kao puno vremena, promjene se mogu pokazati dubokima – bolje je započeti pripreme unaprijed. U nastavku donosimo kontrolni popis aktivnosti koje bi menadžer trebao razmotriti pri pripremi svoje organizacije za ispunjavanje zahtjeva Akta o kibernetičkoj otpornosti (CRA).

Uredba (EU) 2024/2847: kako se pripremiti za 2026./2027. – kontrolni popis za menadžera

• Identificirajte proizvode obuhvaćene CRA-om – Sastavite popis proizvoda tvrtke koji su „proizvodi s digitalnim elementima” (hardver ili softver koji se povezuje s mrežom/drugim uređajima). Za svaki odredite može li se prema uredbi smatrati važnim ili kritičnim (Annex III/IV) – npr. obavlja li bitne sigurnosne funkcije ili njegovo kompromitiranje može prouzročiti široku štetu. O toj klasifikaciji, među ostalim, ovisi i traženi postupak ocjene sukladnosti (odnosno hoće li biti potrebno uključivanje treće strane).
• Upoznajte se sa zahtjevima i normama – Analizirajte osnovne zahtjeve kibernetičke sigurnosti iz Priloga I CRA-a i povežite ih sa svojim proizvodima. Provjerite postoje li već odgovarajuće usklađene norme ili industrijski standardi koji mogu olakšati ispunjavanje zahtjeva (npr. norme iz obitelji IEC 62443 za zaštitu sustava industrijske automatizacije mogu biti korisne pri projektiranju zaštite strojeva). Pratite i rad na normizaciji – moguće je da će se pojaviti smjernice koje će olakšati provedbu zahtjeva CRA-a u vašem području.
• Provedite analizu nedostataka (gap analysis) – Usporedite trenutačno stanje svojih proizvoda i procesa s novim zahtjevima. Procijenite u kojoj mjeri postojeća razina zaštite ispunjava zahtjeve (npr. imaju li uređaji mehanizme autentikacije, šifriranja, sigurna ažuriranja itd.). Analizirajte i proces razvoja softvera u tvrtki – primjenjuju li se pravila secure codinga, provode li se penetracijska testiranja, koliko brzo reagirate na prijavljene ranjivosti. Identificirajte nedostatke i područja za poboljšanje u pogledu organizacije (postupci) te tehnologije (sigurnosne funkcije).
• Prilagodite projektiranje i razvoj proizvoda – Ako analiza nedostataka pokaže manjkavosti, isplanirajte uvođenje mehanizama i praksi koje nedostaju. To može uključivati promjene u arhitekturi proizvoda (npr. dodavanje modula za šifriranje, zaštitu komunikacijskih sučelja), unaprjeđenje procesa SDLC (Software Development Life Cycle) elementima kao što su threat modeling, sigurnosni code review, fuzzing testovi itd., kao i uspostavu novih politika sigurnosti proizvoda. Pobrinite se da tim za R&D kibernetičku sigurnost tretira kao projektni zahtjev ravnopravan funkcionalnosti – uredba nameće pristup „security by design/default”.
• Isplanirajte sustav ažuriranja i podrške – Provjerite je li vaša tvrtka spremna dovoljno dugo podržavati proizvode. Možda će biti potrebno uspostaviti raspored i osigurati resurse za izdavanje redovitih ažuriranja firmware softvera tijekom nekoliko godina nakon prodaje. Provjerite imaju li proizvodi tehničke mogućnosti za ažuriranje (udaljeno ili lokalno) – ako nemaju, to je ozbiljan problem jer CRA zahtijeva mogućnost uklanjanja ranjivosti nakon prodaje. Odredite realno razdoblje podrške (najmanje 5 godina) i jasno ga komunicirajte korisnicima. Pripremite i plan tehničke obrade sigurnosnih prijava koje dolaze od kupaca.
• Pripremite potrebnu dokumentaciju – Pobrinite se da za svaki proizvod bude izrađena potpuna tehnička dokumentacija iz perspektive kibernetičke sigurnosti. Ona bi trebala sadržavati, među ostalim, izvješće o procjeni rizika, opis sigurnosne arhitekture, popis primijenjenih mjera (npr. šifriranja, autorizacije), rezultate sigurnosnih ispitivanja, postupke ažuriranja, politiku objave ranjivosti itd. Ta će dokumentacija biti osnova za dokazivanje sukladnosti u slučaju nadzora (a po potrebi i za dostavu certifikacijskom tijelu). Organizirajte i postupak njezina arhiviranja tijekom propisanog razdoblja (10 godina ili više). Dodatno pripremite predloške EU izjave o sukladnosti za svoje proizvode – imajući na umu da moraju sadržavati novu formulaciju kojom se potvrđuje ispunjavanje svih zahtjeva uredbe.
• Vodite računa o opskrbnom lancu – Obratite se dobavljačima komponenti (osobito softvera, IoT modula itd.) kako biste uskladili pitanja sukladnosti s CRA-om. Ažurirajte ugovore s dobavljačima tako da uvedete klauzule o traženoj razini kibernetičke sigurnosti komponenti i obvezi obavještavanja o otkrivenim ranjivostima. Pobrinite se da imate pristup informacijama o podrijetlu i verzijama komponenti (vodite SBOM – Software Bill of Materials za proizvode, što olakšava praćenje ranjivosti u ovisnim bibliotekama). Ako koristite vanjske usluge u oblaku povezane s proizvodom, provjerite njihovu zaštitu i usklađenost s NIS2 (jer SaaS može podlijegati NIS2 umjesto CRA-u). Kibernetička sigurnost proizvoda ujedno je i sigurnost svih njegovih sastavnih dijelova – dobavljači moraju djelovati usklađeno.
• Osposobite osoblje i informirajte kupce – Nove obveze znače da različiti odjeli u tvrtki moraju imati osnovno znanje o CRA-u. Provedite obuku za odjele projektiranja, kvalitete, IT-a i servisa o zahtjevima uredbe i internim postupcima (npr. kako reagirati na prijavu ranjivosti, kako dokumentirati promjene radi sukladnosti). Vrijedi informirati i odjel nabave i prodaje kako bi bili upoznati s novim oznakama i izjavama (npr. s obvezom provjere je li dobavljač izvan EU dostavio izjavu o sukladnosti). Razmotrite i pripremu informacija za kupce o sigurnosnoj politici vaših proizvoda – transparentnost u tom području može postati tržišna prednost (korisnici će početi obraćati pozornost na to ispunjava li određeni proizvod kibernetičke zahtjeve i ima li zajamčena ažuriranja).
• Pratite smjernice i rokove – Pratite objave Europske komisije i nacionalnih tijela koje se odnose na CRA. Mogu se pojaviti delegirani ili provedbeni akti koji dodatno pojašnjavaju određena pitanja (npr. sektorska izuzeća – Komisija može odlučiti izuzeti iz CRA-a proizvode koji su obuhvaćeni jednakovrijednim sektorskim zahtjevima). Pratite i objavu usklađenih normi – primjena norme bit će najjednostavniji put do pretpostavke sukladnosti. Vodite računa o navedenim rokovima: rujan 2026. (spremnost za prijavu incidenata) i prosinac 2027. (puna sukladnost svih novih proizvoda). Najbolje je mnogo ranije odrediti interne ključne točke – npr. završetak početne analize rizika do sredine 2025., prilagodbu razvojnog procesa do kraja 2025., ispitivanja sukladnosti i predcertifikaciju tijekom 2026. itd., kako biste u 2027. ušli s gotovo potpuno ispunjenim zahtjevima. Iznenađenje u zadnji trenutak može dovesti do obustave prodaje, zato je proaktivan pristup ključan.

Obavite li ovu „domaću zadaću” unaprijed, izbjeći ćete nervoznu žurbu 2027. godine i povezane rizike. Umjesto da CRA promatrate samo kao obvezu, vrijedi ga shvatiti kao priliku za podizanje ukupne razine sigurnosti proizvoda – čime se i tvrtka i kupci štite od skupih incidenata.

CRA i Uredba o strojevima (EU) 2023/1230 – što podliježe kojoj?

Mnogi menadžeri u industriji pitaju se kako se novi propisi o kibernetičkoj otpornosti odnose prema već poznatoj Uredbi o strojevima (EU) 2023/1230 (koja će zamijeniti Direktivu o strojevima). Dolazi li do preklapanja zahtjeva ili se te uredbe međusobno nadopunjuju? Ključno je razumjeti koje aspekte proizvoda uređuje svaki pojedini pravni akt.

Uredba o strojevima 2023/1230 obuhvaća sigurnost strojeva u tradicionalnom smislu – usmjerena je na zaštitu zdravlja i sigurnosti korisnika strojeva. Propisuje tzv. bitne zahtjeve za sigurnost i zaštitu zdravlja (EHSR), koji se odnose, među ostalim, na mehaničke i električne aspekte, ergonomiju, buku, EMC itd. Nova uredba o strojevima uvela je doduše i zahtjev da se uzmu u obzir opasnosti povezane s pristupom internetu i kibernetičkim napadima kao mogućom prijetnjom sigurnosti. To znači da proizvođač stroja tijekom procjene rizika mora razmotriti scenarije u kojima bi, primjerice, daljinsko zadiranje u upravljački sustav stroja moglo uzrokovati nesreću. Stoga mora projektirati mjere koje takve situacije sprječavaju (npr. mrežne zaštite koje onemogućuju neovlaštenoj osobi preuzimanje kontrole nad strojem). Međutim, uredba o strojevima uređuje kibernetičku sigurnost samo u onoj mjeri u kojoj ona utječe na fizičku sigurnost ljudi koji rukuju strojevima. To je jedan od mnogih sastavnih elemenata ocjene sukladnosti stroja, ali ne ulazi u detaljne zahtjeve IT vrste – u njoj nećemo pronaći popis kriptografskih mehanizama ni obvezu ažuriranja softvera stroja nakon prodaje. Može se reći ovako: Uredba o strojevima brine o tome da stroj ne predstavlja opasnost za život i zdravlje (uključujući i kao posljedicu kibernetičkog incidenta), dok CRA vodi računa o općoj kibernetičkoj sigurnosti proizvoda (uključujući povjerljivost podataka, otpornost usluga i cijeli životni ciklus).

Akt o kibernetičkoj otpornosti obuhvaća znatno širi raspon IT pitanja od uredbe o strojevima. Čak i za industrijske strojeve, CRA nameće, primjerice, zahtjeve za prijavljivanje ranjivosti, osiguravanje ažuriranja tijekom X godina i zaštitu od gubitka podataka – dakle pitanja koja nisu izravno povezana sa sigurnošću korisnika stroja, nego s kibernetičkom sigurnošću kao takvom. U praksi to znači da će stroj koji je proizvod s digitalnim elementima podlijegati istodobno odredbama obje uredbe. Proizvođač takvog stroja mora ispuniti zahtjeve i jednog i drugog akta – i one koji se odnose na sigurnu konstrukciju, primjerice s mehaničkog aspekta (Uredba o strojevima), i one koji se odnose na zaštitu softvera, mreže i podataka (CRA). Ispunjavanje zahtjeva jedne uredbe ne znači automatski sukladnost s drugom, jer su kriteriji ocjenjivanja različiti.

Sa stajališta postupka ocjene sukladnosti, proizvod na koji se primjenjuje više od jedne uredbe EU mora ispunjavati sve primjenjive propise prije stavljanja oznake CE. Primjerice, proizvođač koji na tržište stavlja kolaborativnog industrijskog robota s funkcijom daljinskog nadzora morat će se uvjeriti da robot ispunjava bitne zahtjeve sigurnosti strojeva (Uredba 2023/1230) i bitne zahtjeve kibernetičke sigurnosti (Uredba (EU) 2024/2847). EU izjava o sukladnosti za takav stroj trebala bi navoditi oba pravna akta. S druge strane, direktor održavanja koji kupuje takav uređaj mora provjeriti i sukladnost s „strojarskim CE-om” i s „cyber CE-om”. U praksi postoji samo jedna oznaka CE – ali dokumentacija mora dokazivati sukladnost sa svim propisima novog pristupa koji se odnose na predmetni proizvod. Više o tome kako izgleda ocjena sukladnosti i označavanje CE možete pronaći u zasebnom materijalu.

Vrijedi navesti nekoliko primjera što podliježe kojoj uredbi:

• Isključivo elektronički IT uređaji (bez funkcija stroja) – npr. usmjerivači, pametni telefoni, IP kamere – ne podliježu Uredbi o strojevima (jer nisu strojevi), ali podliježu CRA-u ako imaju digitalne elemente i komuniciraju putem mreže. U njihovu slučaju presudna je kibernetička sigurnost, dok pitanja fizičke sigurnosti korisnika nisu bitna (osim općih propisa o sigurnosti i zdravlju na radu/EMC-u).
• Tradicionalni strojevi bez digitalne povezanosti – npr. hidraulična preša s potpuno analognim upravljanjem – podliježu Uredbi o strojevima (treba ispuniti zahtjeve koji se odnose na konstrukciju, zaštitnike, sigurnosne krugove itd.), ali ne podliježu izravno CRA-u jer ne sadrže digitalne elemente koji komuniciraju prema van. Naravno, ako stroj sadrži upravljačku elektroniku, ona se sama po sebi može smatrati digitalnom opremom – no dok nema povezivost (npr. nema mrežnih priključaka, nema udaljenog pristupa), ne ispunjava definiciju „proizvoda s digitalnim elementima” u smislu CRA-a.
• Suvremeni strojevi s digitalnim funkcijama – npr. roboti, proizvodne linije s IoT-om, AGV vozila koja komuniciraju sa sustavom upravljanja – podliježu obama aktima. Ovdje će Uredba o strojevima zahtijevati, među ostalim, procjenu tradicionalnih rizika (kako stroj ne bi stvarao mehaničke/električne opasnosti) te uvjet da, primjerice, udaljeni pristup robotu ne može uzrokovati opasnu situaciju (odnosno da se uzmu u obzir kibernetičke prijetnje za sigurnost). S druge strane, CRA će dodatno nametnuti obvezu da taj robot ima općenito zaštićen softver (npr. šifrirani prijenos podataka, jedinstvene lozinke), da ga proizvođač ažurira te da se u slučaju otkrivanja ranjivosti ona zakrpa i prijavi nadležnim tijelima. Proizvođač takve opreme stoga mora osigurati otpornost na kibernetički napad i u kontekstu sigurnosti ljudi i u pogledu kontinuiteta rada, povjerljivosti podataka itd.

Zaključno, Uredba o strojevima i CRA nisu u međusobnoj konkurenciji, nego se nadopunjuju. Prva brine o funkcionalnoj sigurnosti strojeva (uključujući minimalne zahtjeve povezane s kibernetičkom sigurnošću kako bi stroj bio siguran), a druga o široj kibernetičkoj sigurnosti proizvoda tijekom cijelog životnog ciklusa. Za menadžere to znači potrebu za višedimenzionalnom usklađenošću: pametan proizvod mora biti i konstrukcijski siguran i kibernetički siguran. Zato treba pratiti zahtjeve obiju regulativa. Srećom, rokovi njihove primjene su slični – Uredba o strojevima također će se u praksi početi primjenjivati od siječnja 2027. (zamjenjujući direktivu), a CRA od kraja 2027. Stoga se pripreme za obje mogu objediniti u jedinstven program usklađenosti. Primjerice, pri projektiranju novog stroja odmah uzeti u obzir i zahtjeve sigurnosti strojeva i IT zaštitu; tijekom ispitivanja prototipa provjeravati ne samo usklađenost s normama kao što je ISO 13849 (safety), nego i, primjerice, penetracijska ispitivanja upravljačkog sustava. Takvim pristupom tvrtka će osigurati cjelovitu usklađenost i izbjeći situaciju u kojoj ispunjava jedan propis nauštrb zanemarivanja drugoga.

Uredba (EU) 2024/2847 zasigurno je izazov za proizvođače i dobavljače, ali je istodobno i nužan odgovor na suvremene okolnosti. Strojevi i uređaji postaju sve inteligentniji i povezaniji – propisi to moraju pratiti. Menadžeri koji već sada poduzmu pripremne korake steći će prednost: njihove tvrtke ne samo da će bez poteškoća ući u novi pravni okvir, nego će i povećati konkurentnost i vjerodostojnost svojih proizvoda u očima kupaca, kojima digitalna sigurnost postaje jednako važna kao cijena ili funkcionalnost. Uz odgovarajuću podršku stručnjaka za sigurnost strojeva i IT, provedba zahtjeva CRA-a može se promatrati kao element kontinuiranog unaprjeđenja, a ne samo kao regulatorna obveza. U konačnici će od toga imati koristi i poduzeće, i krajnji korisnici, i cijeli digitalni ekosustav. Sigurniji proizvodi znače manji rizik od zastoja, napada i gubitaka – a to je cilj kojim se vode i zakonodavac i odgovorni sudionici tržišta.