(EU) 2024/2847 rendelet – Kiberrezilienciáról szóló jogszabály (CRA)

Az (EU) 2024/2847 rendelet – a kiberrezilienciáról szóló jogszabály (Cyber Resilience Act, CRA) – új uniós rendelet, amely horizontális kiberbiztonsági követelményeket vezet be a „digitális elemeket tartalmazó termékekre”. A rendeletet 2024 októberében fogadták el, és az átmeneti időszakok leteltét követően 2027 végétől közvetlenül alkalmazandó lesz az EU valamennyi tagállamában. Ipari vezetőként – akár az üzemfenntartásért, a beszerzésért vagy a megfelelőségért felel – már most érdemes megérteni, hogy mely termékekre terjed ki ez a rendelet, milyen új kötelezettségeket ró a gyártókra, importőrökre és forgalmazókra, valamint hogyan készíthető fel a vállalat a közelgő változásokra. Az alábbiakban a legfontosabb tudnivalókat gyakorlati megközelítésben mutatjuk be, jogászi zsargon nélkül, ugyanakkor műszaki pontossággal – hogy megkönnyítsük a megfelelő előkészítő intézkedések meghozatalát.

Hatály: mely termékekre terjed ki a kiberrezilienciáról szóló jogszabály?

Az (EU) 2024/2847 rendelet minden olyan, az EU piacán forgalomba hozott „digitális elemeket tartalmazó termékre” vonatkozik, amelynek rendeltetésszerű használata magában foglalja a más eszközhöz vagy hálózathoz való csatlakozást (közvetlenül vagy közvetve, fizikai vagy logikai módon). Más szóval az új követelmények a legtöbb olyan eszközre vagy szoftverre kiterjednek, amely képes más rendszerekkel kommunikálni. A gyakorlatban ide tartoznak többek között a IoT-eszközök és a fogyasztói elektronikai termékek (pl. okosórák, mobiltelefonok, intelligens háztartási és szórakoztatóelektronikai készülékek, bébiőrök), a viselhető eszközök (pl. fitneszkarkötők), a hálózati funkciókkal rendelkező ipari berendezések (hálózatra kapcsolt érzékelők és ipari gépek) és a különféle szoftverek (operációs rendszerek, mobil- és számítógépes alkalmazások, üzleti szoftverek stb.). Fontos, hogy az önállóan értékesített szoftverek (mint termékek) szintén a CRA hatálya alá tartoznak, ugyanúgy, mint a távoli adatfeldolgozási szolgáltatások, ha azok a termék szerves részét képezik – például egy okosotthon-eszközt vezérlő felhőszolgáltatás a termék részének minősül, és meg kell felelnie a biztonsági követelményeknek.

A rendelet igen széles hatályú, ugyanakkor bizonyos termékkategóriák esetében kivételeket is meghatároz, amelyeket már saját ágazati szabályozás rendez. A CRA nem terjed ki többek között az orvostechnikai eszközökre (amelyekre a 2017/745 és 2017/746 MDR rendeletek vonatkoznak), a járművekre és azok felszereléseire (amelyekre többek között a járműjóváhagyás területén a 2019/2144 rendelet alkalmazandó), a légi járművekre (a légiközlekedésre vonatkozó 2018/1139 rendelet), valamint a tengerészeti berendezésekre (2014/90/EU irányelv). Ezekre a termékekre külön szabályozás vonatkozik, amely gyakran már az adott ágazathoz igazított követelményeket tartalmaz, ezért kikerültek a CRA hatálya alól. Emellett az új előírások nem vonatkoznak a kizárólag katonai vagy nemzetbiztonsági célra szolgáló hardverekre és szoftverekre (valamint a minősített adatok kezelésére). Kivételt képeznek továbbá az pótalkatrészek, amelyeket azonos alkatrészek cseréjére szállítanak – ha az eredeti terméket jogszerűen hozták forgalomba, akkor az azonos cserealkatrésznek nem kell külön megfelelnie a CRA előírásainak.

Érdemes megjegyezni, hogy az úgynevezett szabad és nyílt forráskódú szoftverek (open source) nem tartoznak a CRA hatálya alá, amennyiben nem kereskedelmi tevékenység keretében teszik őket elérhetővé. Ha tehát egy adott szoftvert ingyenesen, piaci forgalmon kívül fejlesztenek és tesznek közzé, akkor annak alkotói (pl. egy open source közösség) a rendelet értelmében nem minősülnek „gyártónak”, és nem terhelik őket az alább ismertetett kötelezettségek. Ha viszont egy vállalat open source komponenst használ fel saját kereskedelmi termékében, akkor a biztonsági követelmények teljesítéséért a végtermék gyártója felel. Összefoglalva: a CRA elsősorban azokra a professzionálisan fejlesztett és értékesített digitális termékekre irányul, amelyek az EU belső piacán a végfelhasználókhoz jutnak el.

Miért vezették be a CRA-t? Új fenyegetések, szabályozási rés és az ellátási lánc

Az Európai Unió felismerte, hogy a növekvő fenyegetések miatt sürgősen meg kell erősíteni a digitális termékek kiberrezilienciáját. Az elmúlt években robbanásszerűen nőtt az internetre csatlakozó eszközök száma és sokfélesége – a gyárakban működő ipari IoT-rendszerektől az intelligens otthoni készülékekig. Sajnos ezeknek a termékeknek a kiberbiztonsági szintje gyakran alacsony, ami széles körben előforduló sérülékenységekben, valamint a biztonsági frissítések elégtelen és következetlen biztosításában mutatkozik meg. Sok gyártó eddig nem kezelte prioritásként a biztonságot a termék teljes életciklusa során, a felhasználók pedig gyakran nincsenek tisztában azzal, illetve nem kapnak megfelelő tájékoztatást arról, hogy mely eszközök biztonságosak, meddig kapnak frissítéseket, és hogyan használhatók biztonságosan. E tényezők együttese fokozott kiberkockázathoz vezet.

A kiberrezilienciáról szóló jogszabály célja egy szabályozási hiány megszüntetése – eddig ugyanis az EU szintjén hiányoztak a digitális termékek biztonságára vonatkozó egységes, kötelező követelmények. Bár léteztek olyan kezdeményezések, mint az IKT-biztonsági tanúsítások (a 2019/881 számú kiberbiztonsági jogszabály alapján), illetve a NIS2 irányelv előírásai a kritikus ágazatok számára, egyetlen jogszabály sem írta elő közvetlenül a „beépített kiberbiztonság” kötelezettségét minden piacra kerülő eszköz és szoftver esetében. A CRA ilyen általános keretet hoz létre – megköveteli, hogy a hardvereket és a szoftvereket teljes életciklusuk során megfelelő védelmi intézkedések figyelembevételével tervezzék, gyártsák és tartsák karban. A cél az, hogy kevesebb sérülékenységet tartalmazó termékek kerüljenek piacra, a gyártók pedig gyorsan kezeljék az új fenyegetéseket (például biztonsági javításokkal), ahelyett hogy a felhasználókat sebezhető eszközökkel hagynák magukra.

A kiberreziliencia kérdése az ellátási lánc és a határokon átnyúló működés szempontjából is jelentős. Abban a korban, amikor gyakorlatilag minden mindennel össze van kapcsolva, egyetlen, látszólag jelentéktelen eszközben bekövetkező incidens az egész szervezet vagy az üzleti partnerek elleni támadás kiindulópontjává válhat. Egy fertőzött IoT-érzékelő az üzemi csarnokban megnyithatja az utat a vállalati hálózat felé; egy népszerű alkalmazás sérülékenysége pedig percek alatt világszerte kihasználhatóvá válhat. Ahogyan azt a rendelet indokolása is hangsúlyozza, egy terméket érintő kiberincidens néhány percen belül továbbterjedhet az ellátási láncban, egyetlen ország határain túl is. Az ilyen támadások költségeit nemcsak a gyártók és a felhasználók viselik, hanem az egész társadalom is – a kritikus infrastruktúrák működésének zavarai, pénzügyi veszteségek, a közbiztonság sérelme formájában. Az egész EU-ban érvényes közös, kötelező szabályok célja az általános védelmi szint emelése és annak megelőzése, hogy a leggyengébb láncszem (egy nem kellően ellenálló termék) mindenki számára kockázatot jelentsen.

További fontos szempont a digitális termékekbe vetett bizalom erősítése és a versenyfeltételek kiegyenlítése. Jelenleg azok a gyártók, akik a beépített biztonságba fektetnek, árversenyben gyakran alulmaradnak azokkal szemben, akik ezt figyelmen kívül hagyják. A CRA célja, hogy a kiberbiztonság minőségi alapkövetelménnyé váljon – minden szereplőnek teljesítenie kell majd a minimális elvárásokat, ami kiegyenlíti az esélyeket, és csökkenti a támadások társadalmi költségeit (amelyeket ma jellemzően az áldozatok viselnek). Ennek eredményeként nőhet az egész uniós piac ellenálló képessége, valamint az ügyfelek bizalma a digitális elemeket tartalmazó korszerű eszközök iránt. A jogszabály egyúttal illeszkedik az EU szélesebb stratégiájába is (a GDPR, a NIS2, a DORA stb. mellett), amely a szolgáltatások és termékek kiberbiztonságának megerősítését tekinti a digitális gazdaság egyik alapjának.

Az (EU) 2024/2847 rendelet: a gyártók, importőrök és forgalmazók fő kötelezettségei

Az új rendelet számos konkrét kötelezettséget ír elő a digitális elemeket tartalmazó termékek ellátási láncában részt vevő gazdasági szereplők számára. A felelősség köre az adott szereptől függ – a legtöbb követelmény a gyártókra vonatkozik, de az importőröknek és a forgalmazóknak is fontos feladataik vannak. Az alábbiakban összefoglaljuk a legfontosabb kötelezettségeket egy olyan vezető szemszögéből, aki a vállalat termékeinek jogszabályi megfelelőségéről gondoskodik.

A gyártók kötelezettségei

A gyártó (valamint az a szereplő is, aki a terméket saját márkanév alatt hozza forgalomba vagy módosítja – őt szintén gyártónak kell tekinteni) viseli a CRA követelményeinek teljesítéséért a fő felelősséget. Legfontosabb feladatai a következők:

• A termék megfelelésének biztosítása a rendelet I. mellékletében meghatározott kiberbiztonsági alapvető követelményeknek. A gyakorlatban ez azt jelenti, hogy a terméknek már a tervezés és kialakítás szakaszában rendelkeznie kell azokkal a jellemzőkkel, amelyek az adott termékhez kapcsolódó kockázatokkal arányos digitális biztonsági szintet garantálják. A rendelet számos konkrét műszaki követelményt sorol fel – többek között ismert sérülékenységek hiányát a forgalomba hozatal időpontjában, biztonságos alapértelmezett beállítások alkalmazását (pl. az alapértelmezett jelszavak kerülését), titkosítást ott, ahol ez indokolt, védelmet a jogosulatlan hozzáféréssel szemben, a felhasználó személyes adatainak védelmét, a működést megzavaró támadásokkal szembeni ellenálló képességet (pl. DoS-támadások), valamint a gyári beállításokra történő visszaállítás lehetőségét. A terméket úgy kell megtervezni, hogy a lehető legkisebbre csökkentse a „támadási felületét” – például ne rendelkezzen szükségtelenül nyitott portokkal vagy olyan szolgáltatásokkal, amelyek növelik a kiberfenyegetéseknek való kitettséget. Ezek az alapvető követelmények (a CRA I. mellékletének I. része) egy olyan biztonsági ellenőrzőlistát alkotnak, amelynek minden digitális terméknek meg kell felelnie.
• Sérülékenység- és incidenskezelési folyamat kialakítása – a gyártónak az értékesítést követően is, a teljes bejelentett támogatási időszak alatt aktívan gondoskodnia kell a termék biztonságáról. Az I. melléklet II. része a sérülékenységkezelési folyamatra (vulnerability handling) vonatkozó követelményeket határozza meg: rendszeres tesztelést és monitorozást az új hibák feltárása érdekében, a sérülékenységekre vonatkozó bejelentések fogadását (pl. kutatóktól vagy felhasználóktól), valamint a feltárt sérülékenységek gyors megszüntetését/javítását biztonsági frissítések biztosításával. A gyártónak koordinált sérülékenységközlési szabályzatot (coordinated disclosure) kell működtetnie – vagyis ki kell jelölnie egy kapcsolattartási pontot, ahová a problémákat be lehet jelenteni, és eljárásokat kell kialakítania arra, hogyan reagál ezekre a bejelentésekre. Fontos, hogy a frissítések haladéktalanul megszüntessék a sérülékenységeket, és biztonságos módon kerüljenek terjesztésre (pl. digitális aláírással ellátva). Lényeges továbbá, hogy a gyártó köteles a termék várható életciklusának megfelelő ideig, legalább 5 évig támogatást és biztonsági frissítéseket biztosítani (kivéve, ha a termék jellege rövidebb időszakot indokol). Más szóval, ha a berendezésünk jellemzően ~5+ évig szolgálja az ügyfeleket, nem hagyhatjuk abba a javítások kiadását egy-két év után – többéves, értékesítés utáni támogatásra lesz szükség, hogy a felhasználó ne maradjon sérülékeny eszközzel.
• Kiberbiztonsági kockázatértékelés elvégzése – mielőtt a digitális elemeket tartalmazó terméket piacra vezetik, a gyártónak szisztematikus kockázatelemzést kell végeznie az adott terméket érintő kiberfenyegetésekre vonatkozóan. A kockázatértékelésnek a tervezési folyamat részét kell képeznie (security by design), és figyelembe kell vennie többek között a termék rendeltetésszerű használatát, a lehetséges rendellenes használatokat, valamint a használati feltételeket (IT-környezet, hálózat, az eszköz által kezelt adatok típusa). Ezen elemzés alapján meg kell tervezni a megfelelő védelmi intézkedéseket, és azokat be kell építeni a konstrukcióba. A kibertérre vonatkozó kockázatértékelés dokumentációja a termék műszaki dokumentációjának részévé válik, és frissíteni kell, ha új fenyegetések jelennek meg. A gyártó köteles a dokumentációt a termék forgalomba hozatalától számítva legalább 10 évig megőrizni (ha pedig a bejelentett támogatási időszak 10 évnél hosszabb, akkor ennek megfelelően tovább). A kockázatértékelés nem egyszeri feladat – szükség esetén felül kell vizsgálni és aktualizálni kell, különösen akkor, ha új sérülékenységeket tárnak fel, vagy megváltozik a termék használati környezete.
• Külső komponensek felügyelete – a gyártónak kellő gondossággal kell eljárnia harmadik féltől származó komponensek, köztük open source könyvtárak használata során. Biztosítani kell, hogy a külső komponensek (szoftveresek és hardveresek) ne veszélyeztessék a teljes termék kiberbiztonságát. A gyakorlatban ez azt jelenti, hogy ellenőrizni kell a felhasznált könyvtárak verzióit és frissítéseit, figyelemmel kell kísérni az ezekben a komponensekben ismert sérülékenységeket (pl. a CVE-ben közzétetteket), és a hibák megjelenésekor frissíteni vagy cserélni kell őket. Ha a termékben nyílt forráskódú szoftvert használtak, és abban sérülékenységet észleltek, a gyártó köteles tájékoztatni az adott open source megoldás karbantartásáért felelős szereplőt (pl. az open source projektet) a felmerült problémáról, és ha a sérülékenységet saját hatáskörben megszünteti, akkor továbbítania kell a közösség felé az elvégzett javításra vonatkozó információkat. Ennek célja, hogy a gyártók az open source komponensek esetében is bekapcsolódjanak a sérülékenységek koordinált javításának ökoszisztémájába.
• Formális megfelelőségértékelés és dokumentumok – mielőtt a termék piacra kerül, a gyártónak le kell folytatnia a CRA-követelményeknek való megfelelőségértékelési eljárást, és el kell készítenie a követelmények teljesítését igazoló dokumentációt. A legtöbb „szokásos” termék esetében (amely nem tartozik a magasabb kockázatú kategóriába) elegendő lesz a belső ellenőrzés (belső értékelés) és a műszaki dokumentáció elkészítése, amely többek között tartalmazza a termék leírását, a kockázatelemzés eredményeit, az alkalmazott biztonsági intézkedések listáját, a tesztelési és frissítési eljárásokat stb. Ezt követően a gyártó kiállítja az EU-megfelelőségi nyilatkozatot, amelyben kijelenti, hogy a termék megfelel az összes alkalmazandó CRA-követelménynek, és elhelyezi rajta a CE-jelölést. Figyelem: ha az adott terméket kiberbiztonsági szempontból „fontos” vagy „kritikus” kategóriába sorolták (a CRA III. és IV. melléklete), akkor szigorúbb megfelelőségértékelési eljárások vonatkozhatnak rá. A fontos II. osztályú és a kritikus termékek esetében harmadik fél általi tanúsításra lesz szükség, vagyis vizsgálatra és bejelentett szervezet (pl. akkreditált laboratórium) által kiadott tanúsítványra. A fontos I. osztályú termékeknél az öntanúsítás csak akkor megengedett, ha léteznek megfelelő harmonizált szabványok, amelyeket a gyártó alkalmaz – ellenkező esetben itt is szükség van harmadik fél bevonására. A vezetőnek ezért meg kell határoznia, hogy a vállalat terméke melyik kategóriába tartozik, és szükséges-e külső tanúsítás megtervezése (ami hatással lehet a piacra lépés ütemezésére).
• A biztonság piacra helyezés utáni nyomon követése és jelentéstétel – a CRA által bevezetett újdonság a súlyos biztonsági problémák bejelentésének kötelezettsége az illetékes hatóságok felé. A gyártónak minden, a termékét érintő aktívan kihasznált sérülékenységet, valamint minden olyan súlyos incidenst, amely hatással van a termék biztonságára, be kell jelentenie a koordinátorként kijelölt nemzeti CSIRT-nek (reagáló csoportnak), valamint az ENISA ügynökségnek. A bejelentési határidő nagyon rövid – a sérülékenység/esemény észlelésétől számított 24 óra (hasonlóan a GDPR vagy a NIS2 szigorú előírásaihoz). A bejelentések az ENISA által működtetett egységes európai platformon keresztül történnek majd. A jelentéstételi kötelezettség a többi követelménynél korábban lép hatályba (2026 szeptember – lásd alább a határidőket), és attól az időponttól a piacon lévő összes termékre vonatkozni fog. Ezért a gyártónak olyan belső eljárásokkal kell rendelkeznie, amelyek képesek észlelni az incidenst/sérülékenységet, és egy napon belül továbbítani a rendelet által megkövetelt információkat. A cél az, hogy a felügyeleti hatóságok átfogó képet kapjanak a megjelenő fenyegetésekről, és összehangolhassák a reagálást (pl. más felhasználók figyelmeztetése, ha az adott termék kritikus hibával rendelkezik).

A fenti kötelezettségek gyakran jelentős szervezeti változtatásokat tesznek szükségessé – a K+F részlegen a Secure SDLC bevezetésétől kezdve az új termékfenntartási és támogatási szabályzatokon át egészen a kiegészítő dokumentációig és a munkatársak képzéséig. Cserébe a vállalat nagyobb bizonyosságot kap arra, hogy terméke nem válik súlyos kiberbiztonsági incidens forrásává, valamint megfelel a közelgő jogszabályi követelményeknek, ami lehetővé teszi a további értékesítést az uniós piacon.

Az (EU) 2024/2847 rendelet: az importőrök és forgalmazók kötelezettségei

Azoknak a szereplőknek, akik digitális elemeket tartalmazó termékeket hoznak be az EU-n kívülről (importőrök), vagy ezeket továbbértékesítik az uniós piacon (forgalmazók), szintén gondoskodniuk kell arról, hogy ezek a termékek megfeleljenek a CRA előírásainak. Szerepük elsősorban a megfelelőség ellenőrzésére és az esetleges nemmegfelelőségek kezelésére terjed ki.

Az importőrnek a termék uniós piacra helyezése előtt ellenőriznie kell, hogy a gyártó teljesítette-e a rá vonatkozó kötelezettségeket – más szóval, hogy a termék rendelkezik-e a szükséges CE jelöléssel és EU-megfelelőségi nyilatkozattal, mellékelték-e hozzá a használati útmutatót és a biztonsági információkat, valamint hogy a gyártó elkészítette-e az előírt műszaki dokumentációt. Az importőrnek nem kell saját maga kiberbiztonsági vizsgálatokat végeznie a terméken, de ha megalapozott kétségei vannak azzal kapcsolatban, hogy a termék megfelel-e a követelményeknek (pl. hiányzik a CE-jelölés, nincs információ a támogatási időszakról stb.), nem szabad a terméket forgalomba hoznia addig, amíg meg nem győződik arról, hogy a nemmegfelelőséget megszüntették. Ha megállapítja, hogy a termék nem felel meg a CRA követelményeinek, az importőr köteles tájékoztatni a piacfelügyeleti hatóságokat, valamint helyesbítő intézkedéseket tenni – biztosítani a termék megfelelőségét, vagy ha ez nem lehetséges, kivonni azt a forgalomból vagy a piacról. Az importőröknek a gyártókhoz hasonlóan meg kell őrizniük a megfelelőségi nyilatkozat másolatát, és gondoskodniuk kell arról, hogy a műszaki dokumentáció kérésre a hatóságok rendelkezésére álljon. Emellett a terméken (vagy a csomagoláson) fel kell tüntetniük saját elérhetőségi adataikat, és biztosítaniuk kell, hogy a termék megfelelő jelöléssel legyen ellátva. A gyakorlatban az importőr szerepe egyfajta biztonsági szűrő – meg kell akadályoznia, hogy olyan termékek kerüljenek forgalmazásra az EU-ban, amelyek nem rendelkeznek a CRA-megfelelést igazoló „papírokkal”.

A forgalmazók (belföldi nagykereskedők, kiskereskedők stb.) hasonló helyzetben vannak, mint az importőrök, azzal a különbséggel, hogy nemcsak a gyártó, hanem adott esetben az importőr követelményteljesítését is ellenőrzik, ha a termék az EU-n kívülről származik. A forgalmazónak ezért a továbbértékesítés előtt ellenőriznie kell, hogy az árun szerepel-e a CE-jelölés, mellékelték-e hozzá a jogszabályban előírt nyilatkozatot vagy útmutatókat, valamint hogy nem tettek-e közzé olyan nyilvános közleményeket, amelyek szerint az adott modell nem felel meg a biztonsági követelményeknek. Kétség esetén neki is kötelessége felfüggeszteni az értékesítést az ügy tisztázásáig. Ha úgy ítéli meg (vagy arról tájékoztatják), hogy a termék súlyos kockázatot jelent vagy nem felel meg a CRA követelményeinek, erről értesítenie kell a gyártót vagy az importőrt, valamint a piacfelügyeleti hatóságokat, és együtt kell működnie a helyesbítő intézkedésekben (pl. a piacról történő visszahívási akciók során).

A beszerzési vezető szempontjából ezek a szabályok azt jelentik, hogy nagyobb körültekintéssel kell eljárni a hardver- és szoftverszállítók kiválasztásakor. Meg kell győződni arról, hogy az EU-n kívüli partnerek már eleve a CRA-nak megfelelő termékeket szállítanak, mert ellenkező esetben a mi vállalatunk (importőrként) viseli a hiányosságokért a felelősséget. A forgalmazó számára (pl. egy automatizálási termékekkel kereskedő cég esetében) ehhez még az a kötelezettség is társul, hogy figyelemmel kísérje, a kínálatában szereplő különböző márkájú termékek rendelkeznek-e érvényes megfelelőségi nyilatkozatokkal és teljesítik-e a követelményeket – a gyakorlatban ez szoros együttműködést igényel a gyártókkal, valamint gyors reagálást minden, az értékesített berendezéseket érintő biztonsági riasztásra.

Érdemes megjegyezni: ha az importőr vagy a forgalmazó a terméket saját logója/márkája alatt hozza forgalomba, vagy módosítja a terméket (pl. a funkcionalitását, szoftverét vagy konfigurációját a kiberbiztonság szempontjából lényeges módon megváltoztatja), akkor a rendelet szerint maga a termék gyártójává válik. Ilyenkor át kell vennie a gyártó összes kötelezettségét (el kell végeznie a megfelelőségértékelést, ki kell állítania a saját nyilatkozatát stb.). Ez a helyzet például azokat a rendszerintegrátor cégeket érinti, amelyek OEM-eszközöket saját márkanév alatt értékesítenek – nekik különösen körültekintően kell eljárniuk, mert formálisan ugyanúgy felelnek a megfelelőségért, mint az eredeti gyártó.

A hatálybalépés időpontjai és az átmeneti időszakok

Az (EU) 2024/2847 rendeletet 2024. november 20-án tették közzé a Hivatalos Lapban. Hatálybalépése 2024. december 10-én történt meg (a közzétételtől számított 20 nap elteltével), azonban a fő kötelezettségek csak ettől az időponttól számított 36 hónap elteltével válnak alkalmazandóvá. A jogalkotó ugyanis hosszú átmeneti időszakot biztosított annak érdekében, hogy az ágazatnak legyen ideje az alkalmazkodásra. Az alábbiak a legfontosabb időpontok:

• 2026. szeptember 11. – ettől a naptól kezdve lépnek hatályba a sérülékenységek és incidensek jelentésére vonatkozó kötelezettségek. Az EU piacán jelen lévő minden, digitális elemeket tartalmazó termék gyártójának be kell jelentenie az illetékes hatóságoknak a termékét érintő valamennyi aktívan kihasznált sérülékenységet, valamint a súlyos biztonsági incidenseket. Ez az időpont a CRA hatálybalépésétől számított 21 hónap után következik be, ami azt jelenti, hogy a vállalatoknak már 2026-ban rendelkezniük kell biztonságfigyelési és problémabejelentési eljárásokkal. Ez nem attól függ, hogy a terméket mikor hozták forgalomba – a 2026 előtt értékesített, de továbbra is használt termékekre is vonatkozik. Más szóval, még ha egy eszköz például 2025-ben került is forgalomba (a rendelet alkalmazása előtt), és 2026 szeptemberében kritikus sérülékenységet tárnak fel benne, a gyártó köteles azt bejelenteni és megszüntetni.
• 2026. június 11. – ettől a naptól kezdve kell alkalmazni a bejelentett szervezetekre és a megfelelőségértékelő szervekre vonatkozó rendelkezéseket. A tagállamok 2026 közepéig kialakítják azon szervezetek kijelölésének és bejelentésének rendszerét, amelyek jogosultak lesznek a termékek (fontos és kritikus termékek) tanúsítására a CRA követelményeinek való megfelelés szempontjából. A gyártók számára lényeges, hogy 2026 második felében már rendelkezésre álljon a szükséges vizsgálatok és tanúsítások elvégzéséhez szükséges infrastruktúra.
• 2027. december 11. – a CRA rendelet teljes körű alkalmazása. Ettől a naptól kezdve az EU területén jogszerűen nem hozható forgalomba olyan digitális elemeket tartalmazó termék, amely nem felel meg a CRA követelményeinek. Ez a határidő (a hatálybalépéstől számított 3 év) a termékek és folyamatok megfelelésre való felkészítésének végső időpontja. 2027.12.11. után az EU-ban értékesített minden új eszközt és szoftvert a CRA-val összhangban kell megtervezni, gyártani és fenntartani – ellenkező esetben a vállalat súlyos szankcióknak teszi ki magát. Fontos hangsúlyozni, hogy a szabályok bizonyos könnyítést biztosítanak a már piacon lévő termékek számára: ha egy adott terméket (konkrét példányt) már forgalomba hoztak 2027. december 11. előtt, akkor az továbbra is forgalomban maradhat a CRA teljesítése nélkül. Ez azonban csak az egyedi példányokra vonatkozik – a CRA előtt tervezett termék típusa nem kap automatikusan mentességet. Minden új tételnek, minden új, e dátum után értékesítésre kerülő példánynak meg kell felelnie a CRA-nak, kivéve, ha fizikailag már korábban is forgalomban volt (ami a gyakorlatban például azt jelenti, hogy a termék már egy olyan forgalmazó raktárában volt, aki a határidő előtt megvásárolta azt). A szabályok tehát nem kerülhetők meg úgy, hogy a gyártó „előre legyárt”, majd 2027 után értékesít – a piacra hozatal időpontjában minden termékre az aktuális követelmények vonatkoznak. Kivételt képeznek a más szabályozások alapján, e dátum előtt kiadott, még érvényes EU-típustanúsítványok – ezek 2028 júniusáig érvényben maradnak, kivéve, ha rövidebb érvényességi időt határoztak meg.

A vállalatok számára ebből az a gyakorlati következtetés adódik, hogy a tényleges határidő 2027 vége. 2028-tól az EU-ban már nem lehet a CRA követelményeinek meg nem felelő eszközöket értékesíteni. Ugyanakkor már 2026-ban fel kell készülni az incidensek bejelentésére vonatkozó új kötelezettségekre. A rendelkezésre álló időt a termékek elemzésére és megfelelésre való felkészítésére kell fordítani. Bár a 3 év elsőre soknak tűnhet, a változások mélyrehatóak lehetnek – érdemes időben megkezdeni a munkát. Az alábbiakban bemutatjuk azoknak a teendőknek az ellenőrzőlistáját, amelyeket a vezetőnek mérlegelnie kell szervezete felkészítése során a CRA követelményeinek teljesítésére.

2024/2847/EU rendelet: hogyan készüljünk fel 2026/2027-re – ellenőrzőlista vezetőknek

• Azonosítsa a CRA hatálya alá tartozó termékeket – Készítsen listát a vállalat azon termékeiről, amelyek „digitális elemeket tartalmazó terméknek” minősülnek (hálózathoz vagy más eszközökhöz kapcsolódó hardver vagy szoftver). Mindegyiknél határozza meg, hogy a rendelet értelmében fontosnak vagy kritikusnak minősülhet-e (Annex III/IV) – például ellát-e lényeges biztonsági funkciókat, illetve kompromittálódása okozhat-e széles körű kárt. Ettől a besorolástól függ többek között a megfelelőségértékelési eljárás is (például szükség lesz-e harmadik fél bevonására).
• Ismerje meg a követelményeket és szabványokat – Elemezze a CRA I. mellékletében szereplő alapvető kiberbiztonsági követelményeket, és vesse össze azokat saját termékeivel. Ellenőrizze, hogy léteznek-e már megfelelő harmonizált szabványok vagy iparági szabványok, amelyek megkönnyíthetik a követelmények teljesítését (például az IEC 62443 szabványcsalád az ipari automatizálási rendszerek védelmében hasznos lehet a gépek védelmének tervezése során). Kövesse nyomon a szabványosítási munkákat – elképzelhető, hogy olyan útmutatások jelennek meg, amelyek megkönnyítik a CRA-követelmények bevezetését az Ön szakterületén.
• Végezzen hiányelemzést (gap analysis) – Hasonlítsa össze termékei és folyamatai jelenlegi állapotát az új követelményekkel. Értékelje, hogy a jelenlegi védelmi szint mennyiben felel meg az elvárásoknak (például rendelkeznek-e az eszközök hitelesítési mechanizmusokkal, titkosítással, biztonságos frissítésekkel stb.). Vizsgálja meg a vállalat szoftverfejlesztési folyamatát is – alkalmazzák-e a biztonságos kódolás elveit, végeznek-e penetrációs teszteket, és milyen gyorsan reagálnak a bejelentett sérülékenységekre. Azonosítsa a hiányosságokat és a fejlesztendő területeket szervezeti szinten (eljárások) és technológiai szinten (biztonsági funkciók) egyaránt.
• Igazítsa hozzá a terméktervezést és -fejlesztést – Ha a hiányelemzés hiányosságokat tár fel, tervezze meg a hiányzó mechanizmusok és gyakorlatok bevezetését. Ez magában foglalhatja a termék architektúrájának módosítását (például titkosítási modul hozzáadását, kommunikációs interfészek védelmét), az SDLC (Software Development Life Cycle) folyamat fejlesztését threat modeling, biztonsági szempontú code review, fuzzingtesztek stb. elemekkel, valamint új termékbiztonsági szabályzatok kialakítását. Gondoskodjon arról, hogy a K+F csapat a kiberbiztonságot a funkcionalitással azonos súlyú tervezési követelményként kezelje – a rendelet a „security by design/default” megközelítést írja elő.
• Tervezze meg a frissítési és támogatási rendszert – Vizsgálja meg, hogy vállalata készen áll-e a termékek megfelelő ideig tartó támogatására. Előfordulhat, hogy ütemtervet és erőforrásokat kell kialakítani a firmware rendszeres frissítéseinek kiadásához az értékesítést követően több éven át. Ellenőrizze, hogy a termékek műszakilag alkalmasak-e a frissítésre (távolról vagy helyben) – ha nem, az komoly probléma, mert a CRA megköveteli a sérülékenységek értékesítés utáni megszüntetésének lehetőségét. Határozzon meg reális támogatási időszakot (minimum 5 év), és ezt kommunikálja a felhasználók felé. Készítsen tervet a vevőktől érkező biztonsági bejelentések műszaki kezelésére is.
• Készítse elő a szükséges dokumentációt – Gondoskodjon arról, hogy minden termékhez teljes körű, kiberbiztonsági szempontból megfelelő műszaki dokumentáció készüljön. Ennek tartalmaznia kell többek között a kockázatértékelés jelentését, a védelmi architektúra leírását, az alkalmazott intézkedések listáját (például titkosítás, jogosultságkezelés), a biztonsági tesztek eredményeit, a frissítési eljárásokat, a sérülékenységek nyilvánosságra hozatalára vonatkozó szabályzatot stb. Ez a dokumentáció szolgál majd a megfelelőség igazolásának alapjául ellenőrzés esetén (és adott esetben a tanúsító szervezet részére történő benyújtáskor is). Szervezze meg annak archiválását is az előírt időtartamra (10 év vagy több). Emellett készítse elő termékeihez az EU-megfelelőségi nyilatkozat mintáit is – szem előtt tartva, hogy ezekben szerepelnie kell az új megfogalmazásnak, amely megerősíti a rendelet valamennyi követelményének teljesítését.
• Fordítson figyelmet az ellátási láncra – Vegye fel a kapcsolatot az alkatrész-beszállítókkal (különösen a szoftverek, IoT-modulok stb. szállítóival), hogy egyeztessék a CRA-megfelelőség kérdéseit. Frissítse a beszállítói szerződéseket, és építsen be olyan kikötéseket, amelyek előírják az alkatrészek elvárt kiberbiztonsági szintjét, valamint a feltárt sérülékenységekről szóló tájékoztatási kötelezettséget. Győződjön meg arról, hogy hozzáfér a komponensek eredetére és verzióira vonatkozó információkhoz (vezessen SBOM – Software Bill of Materials nyilvántartást a termékekhez, ami megkönnyíti a függő könyvtárak sérülékenységeinek nyomon követését). Ha a termékhez kapcsolódó külső felhőszolgáltatásokat használ, ellenőrizze azok védelmét és NIS2-megfelelőségét is (mert a SaaS a CRA helyett a NIS2 hatálya alá tartozhat). A termék kiberbiztonsága egyben az összes alkotóelem biztonságát is jelenti – a beszállítóknak is ugyanabba az irányba kell dolgozniuk.
• Képezze a munkatársakat, és tájékoztassa az ügyfeleket – Az új kötelezettségek miatt a vállalat különböző részlegeinek alapvető ismeretekkel kell rendelkezniük a CRA-ról. Tartson képzéseket a tervezési, minőségügyi, IT- és szervizrészleg számára a rendelet követelményeiről és a belső eljárásokról (például hogyan kell reagálni egy sérülékenységi bejelentésre, hogyan kell a változásokat megfelelőségi szempontból dokumentálni). Érdemes a beszerzési és értékesítési részleget is tájékoztatni, hogy tisztában legyenek az új jelölésekkel és nyilatkozatokkal (például azzal, hogy ellenőrizni kell, a nem EU-s beszállító átadta-e a megfelelőségi nyilatkozatot). Fontolja meg azt is, hogy ügyfelei számára tájékoztatást készít termékei biztonsági szabályzatáról – az átláthatóság ezen a téren kereskedelmi előnnyé válhat (a felhasználók egyre inkább figyelni fogják, hogy az adott termék megfelel-e a kiberbiztonsági követelményeknek, és biztosítottak-e hozzá a frissítések).
• Kövesse nyomon az útmutatásokat és a határidőket – Figyelje az Európai Bizottság és a nemzeti hatóságok CRA-val kapcsolatos közleményeit. Megjelenhetnek felhatalmazáson alapuló vagy végrehajtási jogi aktusok, amelyek pontosítanak bizonyos kérdéseket (például az ágazati kivételeket – a Bizottság dönthet úgy, hogy kizárja a CRA hatálya alól azokat a termékeket, amelyekre egyenértékű ágazati követelmények vonatkoznak). Kövesse a harmonizált szabványok közzétételének folyamatát is – egy szabvány alkalmazása lesz a legegyszerűbb út a megfelelőség vélelméhez. Ügyeljen a fent említett határidők betartására: 2026 szeptember (felkészültség az incidensek jelentésére) és 2027 december (az összes új termék teljes megfelelősége). A legjobb, ha jóval korábbra belső mérföldköveket jelöl ki – például az előzetes kockázatelemzés lezárása 2025 közepéig, a fejlesztési folyamat hozzáigazítása 2025 végéig, megfelelőségi tesztek és előtanúsítások 2026-ban stb., hogy 2027-be már szinte kész megfelelőséggel lépjen be. Az utolsó pillanatban érkező meglepetések az értékesítés felfüggesztésébe kerülhetnek, ezért a proaktív megközelítés kulcsfontosságú.

Ha ezt a „házi feladatot” időben elvégzik, elkerülhető a 2027-ben jelentkező kapkodás és az ebből fakadó kockázatok. A CRA-t ezért nem érdemes pusztán kötelezettségként kezelni: inkább lehetőségként kell tekinteni rá a termékek általános biztonsági szintjének emelésére – ami a vállalatot és az ügyfeleket egyaránt védi a költséges incidensektől.

CRA és a 2023/1230/EU géprendelet – mire melyik vonatkozik?

Sok iparági vezetőben felmerül a kérdés, hogyan viszonyulnak az új kiberrezilienciára vonatkozó előírások a már ismert 2023/1230/EU géprendelethez (amely felváltja a gépekről szóló irányelvet). Vajon átfedés van a követelmények között, vagy inkább kiegészítik egymást ezek a jogszabályok? A lényeg annak megértése, hogy a termék mely jellemzőit melyik jogi aktus szabályozza.

A 2023/1230 géprendelet a gépbiztonságra a hagyományos értelemben vonatkozik – középpontjában a gépek felhasználóinak egészsége és biztonsága áll. Meghatározza az úgynevezett alapvető egészségvédelmi és biztonsági követelményeket (EHSR), amelyek többek között a mechanikai, villamos, ergonómiai, zajjal kapcsolatos, EMC- és egyéb szempontokra terjednek ki. Az új géprendelet valóban bevezette azt a követelményt is, hogy figyelembe kell venni az internet-hozzáféréssel összefüggő veszélyeket és a kibertámadásokat mint lehetséges biztonsági kockázatokat. Ez azt jelenti, hogy a gép gyártójának a kockázatértékelés során olyan forgatókönyveket is mérlegelnie kell, amelyekben például a gép vezérlőrendszerébe történő távoli beavatkozás balesetet okozhat. Ennek megfelelően olyan intézkedéseket kell terveznie, amelyek megelőzik az ilyen helyzeteket (például olyan hálózati védelmet, amely megakadályozza, hogy illetéktelen személy átvegye a gép irányítását). Ugyanakkor a géprendelet a kiberbiztonságot csak annyiban szabályozza, amennyiben az hatással van a gépet kezelő személyek fizikai biztonságára. Ez a gép megfelelőségértékelésének egyik összetevője, de nem tér ki részletes, informatikai jellegű követelményekre – nem találunk benne kriptográfiai mechanizmusokra vonatkozó listát, és nem írja elő a gép szoftverének értékesítés utáni frissítését sem. Röviden: a géprendelet arról gondoskodik, hogy a gép ne jelentsen veszélyt az életre vagy az egészségre (akár kibertámadás következtében sem), míg a CRA a termék általános kiberbiztonságára ügyel (beleértve az adatok bizalmasságát, a szolgáltatások ellenálló képességét és a teljes életciklust).

A kiberrezilienciáról szóló jogszabály a géprendeletnél jóval szélesebb körű informatikai kérdéseket fed le. Még ipari gépek esetében is a CRA előír például sérülékenységek jelentésére, X évig biztosított frissítésekre, valamint az adatvesztés elleni védelemre vonatkozó követelményeket – vagyis olyan kérdéseket, amelyek nem közvetlenül a gépkezelő biztonságához, hanem a kiberbiztonsághoz mint olyanhoz kapcsolódnak. A gyakorlatban ez azt jelenti, hogy egy digitális elemeket tartalmazó géptermékre egyidejűleg mindkét rendelet előírásai vonatkoznak. Az ilyen gép gyártójának mindkét jogi aktus követelményeit teljesítenie kell – egyrészt a például mechanikai szempontból biztonságos kialakításra vonatkozókat (géprendelet), másrészt a szoftver, a hálózatok és az adatok védelmére vonatkozókat (CRA). Az egyik rendelet követelményeinek teljesítése nem jelenti automatikusan a másiknak való megfelelést, mert az értékelési szempontok eltérnek.

A megfelelőségértékelési eljárás szempontjából az a termék, amelyre egynél több uniós rendelet vonatkozik, csak akkor kaphat CE-jelölést, ha minden alkalmazandó előírásnak megfelel. Például: egy távfelügyeleti funkcióval ellátott kollaboratív ipari robotot piacra bocsátó gyártónak meg kell győződnie arról, hogy a robot megfelel a gépbiztonság alapvető követelményeinek (2023/1230 rendelet) és az alapvető kiberbiztonsági követelményeknek (2024/2847/EU rendelet). Az ilyen gépre vonatkozó EU-megfelelőségi nyilatkozatban mindkét jogi aktust fel kell tüntetni. Ugyanígy az ilyen berendezést beszerző karbantartási vezetőnek is ellenőriznie kell mind a „gépes CE”, mind a „kiber CE” megfelelőséget. A gyakorlatban a CE-jelölés egyetlen jelölés – a dokumentációnak azonban igazolnia kell a termékre vonatkozó valamennyi új megközelítésű előírásnak való megfelelést.

Érdemes néhány példát is megemlíteni arra, hogy mire melyik rendelet vonatkozik:

• Tisztán elektronikus IT-eszközök (gépi funkciók nélkül) – például routerek, okostelefonok, IP-kamerák – nem tartoznak a Géprendelet hatálya alá (mert nem minősülnek gépnek), viszont a CRA hatálya alá tartoznak, ha digitális elemeket tartalmaznak és hálózati kommunikációra képesek. Esetükben elsősorban a kiberbiztonság számít, a felhasználó fizikai biztonságával kapcsolatos kérdéseknek nincs jelentőségük (az általános munkavédelmi/EMC-előírásokon túl).
• Hagyományos gépek digitális kapcsolat nélkül – például tisztán analóg vezérlésű hidraulikus prés – a Géprendelet hatálya alá tartoznak (teljesíteni kell a kialakításra, védőburkolatokra, biztonsági áramkörökre stb. vonatkozó követelményeket), de közvetlenül nem tartoznak a CRA hatálya alá, mivel nem tartalmaznak kifelé kommunikáló digitális elemeket. Természetesen, ha a gépben van vezérlőelektronika, az önmagában digitális berendezésnek minősülhet – azonban amíg nincs csatlakozási lehetőség (pl. nincsenek hálózati portok, nincs távoli hozzáférés), addig nem felel meg a CRA szerinti „digitális elemeket tartalmazó termék” fogalmának.
• Modern gépek digitális funkciókkal – például robotok, gyártósorok IoT-megoldásokkal, irányítási rendszerrel kommunikáló AGV-járművek – mindkét jogszabály hatálya alá tartoznak. Itt a Géprendelet többek között megköveteli a hagyományos kockázatértékelést (annak érdekében, hogy a gép ne jelentsen mechanikai vagy villamos veszélyt), valamint azt is, hogy például a robothoz való távoli hozzáférés ne idézhessen elő veszélyes helyzetet (vagyis a biztonságot érintő kiberfenyegetéseket is figyelembe kell venni). A CRA ezzel párhuzamosan további kötelezettségeket ír elő: a robot szoftverét általánosságban védeni kell (pl. titkosított adatátvitel, egyedi jelszavak), a gyártónak frissítéseket kell biztosítania, és ha sérülékenységet észlelnek, azt javítani kell, valamint jelenteni kell a hatóságoknak. Az ilyen berendezés gyártójának tehát a kibertámadásokkal szembeni ellenálló képességet egyszerre kell biztosítania az emberek biztonsága, az üzletmenet folytonossága, az adatok bizalmassága stb. szempontjából.

Összefoglalva: a Géprendelet és a CRA nem versenyez egymással, hanem kiegészítik egymást. Az előbbi a gépek funkcionális biztonságáról gondoskodik (beleértve a minimális kiberkövetelményeket is, hogy a gép biztonságos legyen), az utóbbi pedig a termék teljes életciklusára kiterjedő, tágabb értelemben vett kiberbiztonságot szabályozza. A vezetők számára ez több szempontú megfelelési kötelezettséget jelent: egy intelligens terméknek egyszerre kell konstrukciós szempontból biztonságosnak és kiberbiztonságilag védettnek lennie. Ezért mindkét szabályozás követelményeit nyomon kell követni. Szerencsére alkalmazásuk időpontja közel esik egymáshoz – a Géprendelet is 2027 januárjától lesz a gyakorlatban alkalmazandó (felváltva az irányelvet), a CRA pedig 2027 végétől. Így a két területre való felkészülés egy egységes compliance-programba szervezhető. Például új gép tervezésekor már a kezdetektől figyelembe lehet venni egyszerre a gépbiztonsági követelményeket és az IT-védelmi megoldásokat; a prototípus tesztelése során pedig nemcsak az olyan szabványoknak való megfelelést érdemes ellenőrizni, mint az ISO 13849 (safety), hanem például a vezérlőrendszer penetrációs tesztjeit is. Ezzel a megközelítéssel a vállalat átfogó megfelelést érhet el, és elkerülheti azt a helyzetet, hogy az egyik jogszabálynak megfelel, miközben a másikat figyelmen kívül hagyja.

Az (EU) 2024/2847 rendelet kétségtelenül kihívást jelent a gyártók és beszállítók számára, ugyanakkor szükséges válasz a mai valóságra. A gépek és berendezések egyre intelligensebbé és összekapcsoltabbá válnak – a szabályozásnak ezt követnie kell. Azok a vezetők, akik már most megkezdik a felkészülést, előnyre tesznek szert: vállalataik nemcsak zökkenőmentesen alkalmazkodnak az új jogi keretekhez, hanem növelik termékeik versenyképességét és hitelességét is a vevők szemében, akik számára a digitális biztonság egyre inkább ugyanolyan fontos, mint az ár vagy a funkcionalitás. A gépbiztonsági és IT-szakértők megfelelő támogatásával a CRA-követelményekre való felkészülés nem pusztán szabályozási kötelezettségként, hanem a folyamatos fejlesztés egyik elemeként is kezelhető. Ennek eredményeként a vállalat, a végfelhasználók és a teljes digitális ökoszisztéma egyaránt profitál. A biztonságosabb termékek kisebb leállási, támadási és veszteségi kockázatot jelentenek – ez pedig olyan cél, amely egyszerre vezérli a jogalkotót és a piac felelős szereplőit.