Reglamentas (ES) 2024/2847 – Kibernetinio atsparumo aktas (CRA)

Reglamentas (ES) 2024/2847 – Kibernetinio atsparumo aktas (Cyber Resilience Act, CRA) – tai naujas ES reglamentas, nustatantis horizontaliuosius kibernetinio saugumo reikalavimus „produktams su skaitmeniniais elementais“. Jis buvo priimtas 2024 m. spalį ir, pasibaigus pereinamiesiems laikotarpiams, nuo 2027 m. pabaigos bus tiesiogiai taikomas visose ES valstybėse. Jei dirbate pramonės sektoriuje ir esate atsakingi už eksploatacijos priežiūrą, pirkimus ar atitiktį, verta jau dabar suprasti, kokiems produktams šis reglamentas taikomas, kokias naujas pareigas jis nustato gamintojams, importuotojams ir platintojams bei kaip parengti įmonę būsimiems pokyčiams. Toliau pateikiame svarbiausią informaciją praktiškai, be teisinio žargono, tačiau išlaikydami techninį tikslumą, kad būtų lengviau imtis tinkamų parengiamųjų veiksmų.

Taikymo sritis: kokiems produktams taikomas Kibernetinio atsparumo aktas?

Reglamentas (ES) 2024/2847 taikomas visiems „produktams su skaitmeniniais elementais“, tiekiamiems ES rinkai, kurių numatomas naudojimas apima ryšį su kitu įrenginiu arba tinklu (tiesiogiai ar netiesiogiai, fiziškai arba logiškai). Kitaip tariant, daugumai įrenginių ar programinės įrangos, galinčių komunikuoti su kitomis sistemomis, bus taikomi nauji reikalavimai. Praktikoje tai, be kita ko, apima IoT įrenginius ir buitinę elektroniką (pvz., išmaniuosius laikrodžius, mobiliuosius telefonus, išmaniuosius buitinės technikos ir vaizdo bei garso įrenginius, elektronines kūdikių stebėjimo priemones), dėvimus įrenginius (pvz., fizinio aktyvumo apyrankes), pramoninę įrangą su tinklo funkcijomis (prie tinklo prijungtus jutiklius ir pramonės mašinas) bei įvairią programinę įrangą (operacines sistemas, mobiliąsias ir kompiuterių programas, verslo programinę įrangą ir pan.). Svarbu tai, kad atskirai parduodamai programinei įrangai (kaip produktui) CRA taip pat taikomas, kaip ir nuotolinėms duomenų apdorojimo paslaugoms, kurios yra neatsiejama produkto dalis – pavyzdžiui, debesijos paslauga, valdanti išmaniojo namo įrenginį, bus laikoma produkto dalimi ir turės atitikti saugumo reikalavimus.

Reglamentas turi labai plačią taikymo sritį, tačiau taip pat numato išimtis tam tikroms gaminių kategorijoms, kurios jau reguliuojamos atskirais sektorių teisės aktais. CRA netaikomas, be kita ko, medicinos priemonėms (kurioms taikomi reglamentai MDR 2017/745 ir 2017/746), transporto priemonėms ir jų įrangai (kurioms, be kita ko, taikomas reglamentas 2019/2144 dėl transporto priemonių tipo patvirtinimo), orlaiviams (reglamentas 2018/1139 dėl aviacijos) ir jūrinei įrangai (direktyva 2014/90/ES). Šiems produktams taikomas atskiras reguliavimas, kuriame dažnai jau yra konkrečiai sričiai pritaikyti reikalavimai, todėl jie neįtraukti į CRA taikymo sritį. Be to, naujosios nuostatos netaikomos tik karinei paskirčiai skirtai įrangai ir programinei įrangai arba nacionaliniam saugumui skirtoms priemonėms (taip pat įslaptintos informacijos tvarkymui). Taip pat neįtraukiamos atsarginės dalys, tiekiamos kaip tapačių komponentų pakaitalai – jei originalus produktas buvo teisėtai pateiktas rinkai, tokiam tapačiam komponentui CRA atskirai taikyti nereikia.

Verta pažymėti, kad vadinamoji laisvoji ir atvirojo kodo programinė įranga (open source) nebus įtraukta į CRA taikymo sritį, jei ji neteikiama vykdant komercinę veiklą. Taigi, jei tam tikra programinė įranga kuriama ir skelbiama neatlygintinai, ne rinkos apyvartoje, jos kūrėjai (pvz., atvirojo kodo bendruomenė) nelaikomi „gamintojais“ pagal reglamento apibrėžtį ir jiems netaikomos toliau aprašytos pareigos. Tačiau jei įmonė panaudotų atvirojo kodo komponentą savo komerciniame gaminyje, atsakomybė už saugumo reikalavimų įvykdymą tektų galutinio produkto gamintojui. Apibendrinant, CRA pirmiausia skirtas profesionaliai kuriamiems ir parduodamiems skaitmeniniams produktams, kurie ES vidaus rinkoje pasiekia galutinius naudotojus.

Kodėl buvo įvestas CRA? Naujos grėsmės, reguliavimo spraga ir tiekimo grandinė

Europos Sąjunga pripažino, kad būtina skubiai stiprinti skaitmeninių produktų kibernetinį atsparumą didėjančių grėsmių akivaizdoje. Pastaraisiais metais prie interneto prijungtų įrenginių skaičius ir įvairovė sparčiai išaugo – nuo pramoninių IoT sistemų gamyklose iki išmaniųjų namų įrenginių. Deja, šių produktų kibernetinio saugumo lygis dažnai yra nepakankamas, o tai pasireiškia plačiai paplitusiais pažeidžiamumais ir nepakankamu bei nenuosekliu saugumo atnaujinimų teikimu. Daugelis gamintojų iki šiol neteikė saugumui prioriteto per visą gaminio gyvavimo ciklą, o naudotojams dažnai trūksta žinių ir informacijos apie tai, kurie įrenginiai yra saugūs, kiek laiko jie bus palaikomi atnaujinimais ir kaip juos saugiai naudoti. Šių veiksnių derinys lemia didesnę kibernetinių atakų riziką.

Kibernetinio atsparumo aktas turi užpildyti reguliavimo spragą – iki šiol ES lygmeniu trūko vienodų, privalomų reikalavimų skaitmeninių produktų saugumui. Nors buvo tokių iniciatyvų kaip IRT saugumo sertifikavimas (pagal Kibernetinio saugumo aktą 2019/881) ar NIS2 direktyvos reikalavimai kritiniams sektoriams, nė vienas teisės aktas tiesiogiai nenustatė pareigos taikyti „kibernetinį saugumą pagal projektavimą“ visiems į rinką tiekiamiems įrenginiams ir programinei įrangai. CRA sukuria būtent tokią universalią sistemą – įpareigoja, kad techninė ir programinė įranga būtų projektuojama, gaminama ir prižiūrima, visą gyvavimo ciklą taikant patikimas apsaugos priemones. Tikslas – kad į rinką patektų produktai su mažiau pažeidžiamumų, o gamintojai užtikrintų greitą naujų grėsmių šalinimą (pvz., saugumo pataisomis), užuot palikę naudotojus su nesaugiais įrenginiais.

Kibernetinio atsparumo klausimas taip pat turi tiekimo grandinės ir tarpvalstybinį aspektą. Visuotinio tarpusavio sujungiamumo laikais incidentas viename, iš pirmo žvilgsnio nereikšmingame įrenginyje gali tapti atakos vektoriumi visai organizacijai ar verslo partneriams. Vienas užkrėstas IoT jutiklis gamybos ceche gali atverti kelią į įmonės tinklą; populiarios programėlės pažeidžiamumas gali būti išnaudotas visame pasaulyje per kelias minutes. Kaip pabrėžta reglamento pagrindime, kibernetinis incidentas viename produkte gali išplisti tiekimo grandinėje už vienos šalies ribų per kelias minutes. Tokių atakų kaštus patiria ne tik gamintojai ir naudotojai, bet ir visa visuomenė – kritinės infrastruktūros sutrikimai, finansiniai nuostoliai, viešojo saugumo pažeidimai. Bendros, privalomos taisyklės visoje ES turi padidinti bendrą apsaugos lygį ir užkirsti kelią situacijai, kai silpniausia grandis (neatsparus produktas) kelia grėsmę visiems.

Papildomas motyvas yra pasitikėjimo skaitmeniniais produktais didinimas ir vienodesnių konkurencijos sąlygų užtikrinimas. Šiuo metu gamintojai, investuojantys į saugumą pagal projektavimą, neretai pralaimi kainos požiūriu tiems, kurie šiuos klausimus ignoruoja. CRA turi užtikrinti, kad kibernetinis saugumas taptų kokybės standartu – visi turės atitikti minimalius reikalavimus, o tai suvienodins galimybes ir sumažins socialinius atakų kaštus (kurie šiandien perkeliami aukoms). Dėl to turėtų padidėti visos ES rinkos atsparumas ir klientų pasitikėjimas šiuolaikiniais įrenginiais su skaitmeniniais elementais. Šis aktas taip pat įsilieja į platesnę ES strategiją (kartu su BDAR, NIS2, DORA ir kt.), kuria siekiama stiprinti paslaugų ir produktų kibernetinį saugumą kaip skaitmeninės ekonomikos pagrindą.

Reglamentas (ES) 2024/2847: pagrindinės pareigos gamintojams, importuotojams ir platintojams

Naujasis reglamentas nustato konkrečių pareigų rinkinį ekonominės veiklos vykdytojams, dalyvaujantiems produktų su skaitmeniniais elementais tiekimo grandinėje. Atsakomybės apimtis priklauso nuo vaidmens – daugiausia reikalaujama iš gamintojų, tačiau importuotojai ir platintojai taip pat turi svarbių užduočių. Toliau apibendriname svarbiausias pareigas iš vadovo, atsakingo už įmonės produktų atitiktį teisės aktų reikalavimams, perspektyvos.

Gamintojų pareigos

Gamintojas (taip pat subjektas, tiekiantis produktą su savo prekės ženklu arba jį modifikuojantis – jis taip pat laikomas gamintoju) prisiima pagrindinę atsakomybę už CRA reikalavimų laikymąsi. Svarbiausios jo užduotys yra:

• Užtikrinti gaminio atitiktį reglamento I priede nustatytiems esminiams kibernetinio saugumo reikalavimams. Praktikoje tai reiškia, kad gaminys jau projektavimo ir konstravimo etape turi turėti savybes, užtikrinančias tinkamą skaitmeninio saugumo lygį, atitinkantį riziką, susijusią su konkrečiu gaminiu. Reglamente išvardyta nemažai konkrečių techninių reikalavimų, įskaitant žinomų pažeidžiamumų nebuvimą pateikimo rinkai momentu, saugių numatytųjų konfigūracijų taikymą (pvz., vengiant numatytųjų slaptažodžių), šifravimą, kai tai tikslinga, apsaugą nuo neteisėtos prieigos, naudotojo asmens duomenų apsaugą, atsparumą atakoms, trikdančioms funkcijų veikimą (pvz., DoS atakoms), taip pat galimybę atlikti gamyklinių nustatymų atkūrimą. Gaminys turėtų būti projektuojamas taip, kad jo „atakos paviršius“ būtų kuo mažesnis – pavyzdžiui, kad nebūtų nereikalingų atvirų prievadų ar paslaugų, didinančių kibernetinių grėsmių poveikio tikimybę. Šie esminiai reikalavimai (CRA I priedo I dalis) sudaro saugumo savybių kontrolinį sąrašą, kurį turi atitikti kiekvienas skaitmeninis gaminys.
• Pažeidžiamumų ir incidentų valdymo proceso nustatymas – gamintojas privalo aktyviai rūpintis gaminio saugumu po jo pardavimo, visą deklaruotą palaikymo laikotarpį. I priedo II dalyje nustatyti reikalavimai pažeidžiamumų valdymo procesui (vulnerability handling): reguliarus testavimas ir stebėsena ieškant naujų spragų, pranešimų apie pažeidžiamumus priėmimas (pvz., iš tyrėjų ar naudotojų) ir greitas nustatytų pažeidžiamumų šalinimas / taisymas teikiant saugumo atnaujinimus. Gamintojas turi vykdyti koordinuoto pažeidžiamumų atskleidimo politiką (coordinated disclosure), t. y. turėti paskirtą kontaktinį tašką, kuriam būtų galima pranešti apie problemas, ir procedūras, kaip į tokius pranešimus reaguoti. Svarbu, kad atnaujinimai pažeidžiamumus pašalintų nedelsiant ir būtų platinami saugiu būdu (pvz., pasirašyti skaitmeniniu parašu). Be to, gamintojas privalo užtikrinti palaikymą ir saugumo atnaujinimus laikotarpiu, atitinkančiu numatomą gaminio gyvavimo ciklą, ne trumpiau kaip 5 metus (nebent gaminio pobūdis pagrindžia trumpesnį laikotarpį). Kitaip tariant, jei mūsų įranga klientams paprastai tarnauja apie 5 ar daugiau metų, negalime nustoti leisti pataisų po vienų ar dvejų metų – bus reikalaujamas kelerių metų popardaviminis palaikymas, kad naudotojas neliktų su nesaugiu įrenginiu.
• Kibernetinio saugumo rizikos vertinimo atlikimas – prieš pateikdamas rinkai gaminį su skaitmeniniais elementais, gamintojas privalo atlikti sisteminę su šio gaminio kibernetinėmis grėsmėmis susijusių rizikų analizę. Rizikos vertinimas turėtų būti projektavimo proceso dalis (security by design) ir apimti, be kita ko, numatytąją gaminio paskirtį, galimus netinkamo naudojimo atvejus, naudojimo sąlygas (IT aplinką, tinklą, duomenų, kuriuos įrenginys apdoroja, pobūdį). Remiantis šia analize, reikia suplanuoti tinkamas apsaugos priemones ir jas numatyti konstrukcijoje. Kibernetinės erdvės rizikos vertinimo dokumentacija tampa gaminio techninės dokumentacijos dalimi ir turi būti atnaujinama, jei atsiranda naujų grėsmių. Gamintojas privalo saugoti dokumentaciją ne trumpiau kaip 10 metų nuo gaminio pateikimo rinkai dienos (o jeigu deklaruotas palaikymo laikotarpis ilgesnis nei 10 metų – atitinkamai ilgiau). Rizikos vertinimas nėra vienkartinis veiksmas – prireikus jis turi būti peržiūrimas ir atnaujinamas, ypač kai nustatomi nauji pažeidžiamumai arba pasikeičia gaminio naudojimo kontekstas.
• Išorinių komponentų priežiūra – naudodamas trečiųjų šalių komponentus, įskaitant atvirojo kodo bibliotekas, gamintojas privalo elgtis itin rūpestingai. Reikia užtikrinti, kad išoriniai komponentai (programiniai ir aparatiniai) nekenktų viso gaminio kibernetiniam saugumui. Praktikoje tai reiškia būtinybę kontroliuoti naudojamų bibliotekų versijas ir atnaujinimus, stebėti žinomus šių komponentų pažeidžiamumus (pvz., skelbiamus CVE) ir juos atnaujinti arba pakeisti, kai atsiranda spragų. Jeigu gaminyje naudojama atvirojo kodo programinė įranga ir joje nustatomas pažeidžiamumas, gamintojas privalo informuoti subjektą, atsakingą už šio atvirojo kodo palaikymą (pvz., atvirojo kodo projektą) apie nustatytą problemą, o jei pažeidžiamumą pašalina savarankiškai – perduoti bendruomenei informaciją apie atliktą pataisą. Taip siekiama įtraukti gamintojus į koordinuoto spragų taisymo ekosistemą ir atvirojo kodo komponentų srityje.
• Formali atitikties vertinimo procedūra ir dokumentai – prieš gaminiui patenkant į rinką, gamintojas turi atlikti atitikties CRA reikalavimams vertinimo procedūrą ir parengti reikalavimų atitiktį patvirtinančią dokumentaciją. Daugumos „įprastų“ gaminių atveju (nepriskirtų padidintos rizikos kategorijai) pakaks vidinio patikrinimo (vidinio vertinimo) ir parengti techninę dokumentaciją, kurioje būtų, be kita ko, gaminio aprašymas, rizikos analizės rezultatai, taikytų saugumo priemonių sąrašas, testavimo ir atnaujinimų procedūros ir pan. Vėliau gamintojas parengia ES atitikties deklaraciją, kurioje pareiškia, kad gaminys atitinka visus taikomus CRA reikalavimus, ir pažymi gaminį CE ženklu. Dėmesio: jeigu konkretus gaminys pagal kibernetinį saugumą priskirtas „svarbių“ arba „kritinių“ kategorijai (CRA III ir IV priedai), jam gali būti taikomos griežtesnės atitikties vertinimo procedūros. Svarbiems II klasės ir kritiniams gaminiams bus privalomas trečiosios šalies sertifikavimas, t. y. tyrimas ir sertifikatas, išduotas notifikuotosios įstaigos (pvz., akredituotos laboratorijos). Svarbiems I klasės gaminiams savideklaracija leidžiama tik tuo atveju, jei yra tinkami darnieji standartai, kuriais gamintojas pasinaudoja – priešingu atveju taip pat reikalingas trečiosios šalies dalyvavimas. Todėl vadovas turėtų nustatyti, kuriai kategorijai priklauso įmonės gaminys ir ar reikės numatyti išorinį sertifikavimą (tai gali turėti įtakos gaminio pateikimo rinkai grafikui).
• Saugumo stebėsena po pateikimo rinkai ir pranešimų teikimas – viena iš CRA įvestų naujovių yra pareiga pranešti apie rimtas saugumo problemas atitinkamoms institucijoms. Gamintojas turi pranešti apie kiekvieną aktyviai išnaudojamą savo gaminio pažeidžiamumą ir kiekvieną rimtą incidentą, darantį poveikį gaminio saugumui, nacionaliniam CSIRT (reagavimo komandai), paskirtam koordinatoriumi, taip pat agentūrai ENISA. Pranešimo terminas yra labai trumpas – 24 valandos nuo pažeidžiamumo / įvykio nustatymo (panašiai kaip pagal BDAR ar NIS2 taikomus griežtus terminus). Pranešimai bus teikiami per vieningą Europos platformą, kurią administruos ENISA. Pareiga teikti pranešimus įsigalios anksčiau nei likusieji reikalavimai (2026 m. rugsėjį – žr. terminus toliau) ir nuo to momento bus taikoma visiems rinkoje esantiems gaminiams. Todėl gamintojas turi turėti vidines procedūras, leidžiančias nustatyti incidentą ar pažeidžiamumą ir per parą perduoti reglamente reikalaujamą informaciją. Tikslas – suteikti priežiūros institucijoms bendrą vaizdą apie atsirandančias grėsmes ir koordinuoti reagavimą (pvz., įspėti kitus naudotojus, kai konkretus gaminys turi kritinę spragą).

Šios pareigos dažnai reiškia reikšmingus organizacinius pokyčius – nuo Secure SDLC diegimo R&D skyriuje, naujų produktų priežiūros ir palaikymo politikų įvedimo iki papildomos dokumentacijos ir darbuotojų mokymų. Mainais įmonė įgyja didesnį užtikrintumą, kad jos gaminys netaps pavojingo kibernetinio incidento šaltiniu, taip pat atitiks būsimus teisės aktų reikalavimus, o tai leis toliau prekiauti ES rinkoje.

Reglamentas (ES) 2024/2847: importuotojų ir platintojų pareigos

Subjektai, kurie įveža produktus su skaitmeniniais elementais iš ne ES šalių (importuotojai) arba juos toliau perparduoda Sąjungos rinkoje (platintojai), taip pat privalo užtikrinti šių gaminių atitiktį CRA. Jų vaidmuo daugiausia susijęs su atitikties tikrinimu ir reagavimu į galimus neatitikimus.

Importuotojas prieš pateikdamas produktą ES rinkai turi patikrinti, ar gamintojas įvykdė savo pareigas – kitaip tariant, ar produktas pažymėtas reikalaujamu CE ženklu ir ar turi ES atitikties deklaraciją, ar pridėtos instrukcijos ir saugos informacija, taip pat ar gamintojas parengė reikalaujamą techninę dokumentaciją. Importuotojas neprivalo pats atlikti produkto kibernetinio saugumo bandymų, tačiau jei jam kyla pagrįstų abejonių dėl gaminio atitikties reikalavimams (pvz., nėra CE ženklinimo, nėra informacijos apie palaikymo laikotarpį ir pan.), jis neturėtų tokio produkto tiekti rinkai, kol neįsitikins, kad neatitiktis pašalinta. Nustačius, kad produktas neatitinka CRA reikalavimų, importuotojas privalo informuoti rinkos priežiūros institucijas ir imtis taisomųjų veiksmų – užtikrinti, kad produktas būtų suderintas su reikalavimais, o jei tai neįmanoma, pašalinti jį iš apyvartos arba iš rinkos. Importuotojai, kaip ir gamintojai, turi saugoti atitikties deklaracijos kopiją ir užtikrinti, kad techninė dokumentacija institucijoms būtų prieinama jų prašymu. Jie taip pat turi nurodyti ant produkto (arba pakuotės) savo kontaktinius duomenis ir užtikrinti, kad produktas būtų tinkamai paženklintas. Praktikoje importuotojo vaidmuo yra tarsi saugos vartai – jis turi neleisti ES platinti produktų, kurie neturi „dokumentų“, patvirtinančių atitiktį CRA.

Platintojai (vietiniai didmenininkai, mažmenininkai ir pan.) yra panašioje padėtyje kaip importuotojai, tik tuo skirtumu, kad tikrina, ar reikalavimų laikosi ir gamintojas, ir, jei taikoma, importuotojas, kai produktas kilęs iš ne ES šalies. Todėl platintojas prieš tolesnį perpardavimą turėtų patikrinti, ar prekė pažymėta CE ženklu, ar prie jos pridėta teisės aktuose reikalaujama deklaracija arba instrukcijos, taip pat ar nėra viešai paskelbtų pranešimų, kad konkretus modelis neatitinka saugos reikalavimų. Kilus abejonių, jis taip pat privalo sustabdyti pardavimą, kol situacija bus išaiškinta. Jeigu jis mano (arba yra informuojamas), kad produktas kelia didelę riziką arba neatitinka CRA reikalavimų, jis turėtų apie tai pranešti gamintojui arba importuotojui bei rinkos priežiūros institucijoms ir bendradarbiauti vykdant taisomuosius veiksmus (pvz., šalinant produktus iš rinkos).

Pirkimų vadovo požiūriu šie reglamentai reiškia būtinybę atidžiau rinktis įrangos ir programinės įrangos tiekėjus. Reikia įsitikinti, kad ne ES kontrahentai tiekia jau CRA atitinkančius produktus, nes priešingu atveju mūsų įmonė (kaip importuotoja) prisiims atsakomybę už trūkumus. Platintojui (pvz., įmonei, prekiaujančiai pramonės automatika) papildomai tenka pareiga stebėti, ar skirtingų prekių ženklų produktai, esantys jo pasiūloje, turi galiojančias atitikties deklaracijas ir atitinka reikalavimus – praktiškai tam reikės glaudaus bendradarbiavimo su gamintojais ir greitos reakcijos į visus su parduodamais įrenginiais susijusius saugos perspėjimus.

Verta atkreipti dėmesį: jei importuotojas ar platintojas pateikia produktą su savo logotipu ar prekės ženklu arba modifikuoja produktą (pvz., pakeičia jo funkcionalumą, programinę įrangą ar konfigūraciją taip, kad tai būtų reikšminga kibernetiniam saugumui), pagal reglamentą jis pats tampa to gaminio gamintoju. Tuomet jis turi perimti visas gamintojo pareigas (atlikti atitikties vertinimą, parengti savo deklaraciją ir t. t.). Tokia situacija taikoma, pavyzdžiui, sistemas integruojančioms įmonėms, kurios parduoda OEM įrenginius su savo prekės ženklu – jos turi būti ypač atsargios, nes formaliai už atitiktį atsako taip pat, kaip ir pirminis gamintojas.

Įsigaliojimo terminai ir pereinamieji laikotarpiai

Reglamentas (ES) 2024/2847 buvo paskelbtas Oficialiajame leidinyje 2024 m. lapkričio 20 d. Jis įsigaliojo 2024 m. gruodžio 10 d. (praėjus 20 dienų nuo paskelbimo), tačiau pagrindinės pareigos bus pradėtos taikyti tik po 36 mėnesių nuo šios datos. Įstatymų leidėjas numatė ilgą pereinamąjį laikotarpį, kad suteiktų sektoriui laiko prisitaikyti. Štai svarbiausios datos:

• 2026 m. rugsėjo 11 d. – nuo šios dienos pradės galioti pažeidžiamumų ir incidentų pranešimo pareigos. Kiekvieno produkto su skaitmeniniais elementais, esančio ES rinkoje, gamintojas privalės kompetentingoms institucijoms pranešti apie visas aktyviai išnaudojamas spragas ir rimtus su jo gaminiu susijusius saugumo incidentus. Ši data sueina praėjus 21 mėnesiui nuo CRA įsigaliojimo ir reiškia, kad jau 2026 m. įmonės turi turėti saugumo stebėsenos ir problemų pranešimo procedūras. Tai nepriklauso nuo to, kada produktas buvo pateiktas rinkai – reikalavimas taikomas ir iki 2026 m. parduotiems produktams, kurie vis dar naudojami. Kitaip tariant, net jei įrenginys buvo pateiktas rinkai, pavyzdžiui, 2025 m. (dar iki reglamento taikymo pradžios), o 2026 m. rugsėjį jame paaiškėtų kritinis pažeidžiamumas, gamintojas privalo apie jį pranešti ir jį pašalinti.
• 2026 m. birželio 11 d. – nuo šios dienos turi būti taikomos nuostatos dėl notifikuotųjų įstaigų ir atitikties vertinimo įstaigų. Valstybės narės iki 2026 m. vidurio parengs įstaigų skyrimo ir notifikavimo sistemą; šios įstaigos bus įgaliotos sertifikuoti produktus (svarbius ir kritinius) pagal CRA reikalavimus. Gamintojams svarbu, kad 2026 m. antroje pusėje jau būtų prieinama infrastruktūra, reikalinga privalomiems bandymams ir sertifikavimui atlikti.
• 2027 m. gruodžio 11 d. – visiškas CRA reglamento taikymas. Nuo šios dienos joks produktas su skaitmeniniais elementais, neatitinkantis CRA reikalavimų, negalės būti teisėtai pateiktas ES rinkai. Šis terminas (3 metai nuo įsigaliojimo) yra galutinė data produktams ir procesams pritaikyti. Po 2027-12-11 visi nauji ES parduodami įrenginiai ir programinė įranga turės būti suprojektuoti, pagaminti ir prižiūrimi pagal CRA – priešingu atveju įmonei gresia rimtos sankcijos. Verta pabrėžti, kad teisės aktuose numatyta tam tikra išimtis gaminiams, kurie jau yra rinkoje: jei konkretus produktas (konkretus vienetas) buvo jau pateiktas rinkai iki 2027 m. gruodžio 11 d., jis galės ir toliau būti tiekiamas rinkai neatitikdamas CRA. Tačiau tai taikoma tik pavieniams vienetams – iki CRA sukurtas produkto tipas automatiškai neįgyja išimties. Kiekviena nauja partija, kiekvienas naujas po šios datos parduoti pateikiamas vienetas turi atitikti CRA, nebent jis fiziškai jau buvo rinkoje anksčiau (praktikoje tai reiškia, pavyzdžiui, atsargas pas platintoją, kuris prekes buvo įsigijęs iki termino). Taigi reikalavimų apeiti nepavyks gaminant „į sandėlį“ ir parduodant po 2027 m. – kiekvienam produktui jo pateikimo rinkai momentu taikomi tuo metu galiojantys reikalavimai. Išimtis dar taikoma galiojantiems ES tipo tyrimo sertifikatams, išduotiems iki šios datos pagal kitus teisės aktus – jie liks galioti iki 2028 m. birželio, nebent būtų nustatytas trumpesnis terminas.

Praktinė išvada įmonėms yra tokia: realus galutinis terminas – 2027 m. pabaiga. Nuo 2028 m. ES nebus galima parduoti įrenginių, neatitinkančių CRA reikalavimų. Tačiau jau 2026 m. reikia būti pasirengus vykdyti naujas incidentų pranešimo pareigas. Likusį laiką būtina išnaudoti produktų analizei ir jų pritaikymui. Nors 3 metai iš pirmo žvilgsnio atrodo daug, pokyčiai gali būti esminiai, todėl darbus geriau pradėti iš anksto. Toliau pateikiame veiksmų kontrolinį sąrašą, kurį vadovas turėtų apsvarstyti rengdamas savo organizaciją atitikti Kibernetinio atsparumo akto (CRA) reikalavimus.

Reglamentas (ES) 2024/2847: kaip pasirengti 2026/2027 m. – kontrolinis sąrašas vadovui

• Nustatykite produktus, kuriems taikomas CRA – Sudarykite įmonės gaminių, kurie laikomi „produktais su skaitmeniniais elementais“, sąrašą (aparatinė įranga arba programinė įranga, jungiama prie tinklo / kitų įrenginių). Kiekvienam produktui nustatykite, ar pagal reglamentą (Annex III/IV) jis gali būti priskirtas svarbiems arba kritiniams – pvz., ar atlieka esmines saugos funkcijas, ar jo pažeidimas galėtų sukelti didelę žalą plačiu mastu. Nuo šios klasifikacijos, be kita ko, priklauso reikalaujama atitikties vertinimo procedūra (ar reikės trečiosios šalies dalyvavimo).
• Susipažinkite su reikalavimais ir standartais – Išanalizuokite esminius kibernetinio saugumo reikalavimus, nustatytus CRA I priede, ir susiekite juos su savo produktais. Patikrinkite, ar jau yra tinkamų darnųjų standartų arba šakinių standartų, kurie galėtų padėti įvykdyti reikalavimus (pvz., IEC 62443 šeimos standartai, skirti pramonės automatikos sistemų apsaugai, gali būti naudingi projektuojant mašinų apsaugos priemones). Sekite standartizacijos darbus – gali atsirasti gairių, kurios palengvins CRA reikalavimų įgyvendinimą jūsų srityje.
• Atlikite spragų analizę (gap analysis) – Palyginkite dabartinę savo produktų ir procesų būklę su naujais reikalavimais. Įvertinkite, kiek esamas apsaugos lygis atitinka reikalavimus (pvz., ar įrenginiai turi autentifikavimo, šifravimo, saugaus atnaujinimo mechanizmus ir pan.). Išanalizuokite programinės įrangos kūrimo procesą įmonėje – ar taikomi saugaus programavimo principai, ar atliekami įsiskverbimo testai, kaip greitai reaguojate į praneštus pažeidžiamumus. Nustatykite trūkumus ir tobulintinas sritis tiek organizaciniu požiūriu (procedūros), tiek technologiniu požiūriu (saugos funkcijos).
• Pritaikykite produktų projektavimą ir kūrimą – Jei spragų analizė parodys neatitikimų, suplanuokite trūkstamų mechanizmų ir praktikų diegimą. Tai gali apimti produkto architektūros pakeitimus (pvz., šifravimo modulio pridėjimą, ryšio sąsajų apsaugą), SDLC (Software Development Life Cycle) proceso papildymą threat modeling, kodo peržiūra saugumo požiūriu, fuzzing testais ir pan., taip pat naujų produkto saugumo politikų nustatymą. Įsitikinkite, kad R&D komanda kibernetinį saugumą laiko projektavimo reikalavimu, lygiaverčiu funkcionalumui – reglamentas įtvirtina „security by design/default“ principą.
• Suplanuokite atnaujinimų ir palaikymo sistemą – Įvertinkite, ar jūsų įmonė yra pasirengusi pakankamai ilgai palaikyti produktus. Gali tekti sudaryti grafiką ir numatyti išteklius reguliariems programinės įrangos ir mikroprograminės įrangos atnaujinimams leisti keletą metų po pardavimo. Patikrinkite, ar produktai turi technines atnaujinimo galimybes (nuotoliniu arba vietiniu būdu) – jei ne, tai rimta problema, nes CRA reikalauja galimybės pašalinti pažeidžiamumus ir po pardavimo. Nustatykite realų palaikymo laikotarpį (mažiausiai 5 metai) ir apie jį informuokite naudotojus. Taip pat parenkite techninio saugumo pranešimų iš klientų nagrinėjimo planą.
• Parenkite reikiamą dokumentaciją – Įsitikinkite, kad kiekvienam produktui bus parengta išsami techninė dokumentacija kibernetinio saugumo požiūriu. Joje, be kita ko, turėtų būti rizikos vertinimo ataskaita, apsaugos architektūros aprašymas, taikytų priemonių sąrašas (pvz., šifravimo, autorizavimo), saugumo bandymų rezultatai, atnaujinimų procedūros, pažeidžiamumų atskleidimo politika ir pan. Ši dokumentacija bus pagrindas atitikčiai įrodyti patikrinimo atveju (o prireikus – pateikti ją sertifikavimo įstaigai). Taip pat sutvarkykite jos archyvavimo procesą reikalaujamam laikotarpiui (10 metų ar ilgiau). Be to, parenkite savo produktams ES atitikties deklaracijos šablonus – nepamirškite, kad juose turi būti nauja formuluotė, patvirtinanti atitiktį visiems reglamento reikalavimams.
• Pasirūpinkite tiekimo grandine – Susisiekite su komponentų tiekėjais (ypač programinės įrangos, IoT modulių ir pan.), kad aptartumėte atitikties CRA klausimus. Atnaujinkite sutartis su tiekėjais, įtraukdami nuostatas dėl reikalaujamo komponentų kibernetinio saugumo lygio ir pareigos informuoti apie nustatytus pažeidžiamumus. Įsitikinkite, kad turite prieigą prie informacijos apie komponentų kilmę ir versijas (tvarkykite SBOM – Software Bill of Materials savo produktams, nes tai palengvina pažeidžiamumų priklausomose bibliotekose sekimą). Jei naudojatės su produktu susietomis išorinėmis debesijos paslaugomis, patikrinkite jų apsaugą ir atitiktį NIS2 (nes SaaS gali patekti ne į CRA, o į NIS2 taikymo sritį). Produkto kibernetinis saugumas reiškia ir visų jo sudedamųjų dalių saugumą – tiekėjai turi veikti išvien.
• Apmokykite darbuotojus ir informuokite klientus – Dėl naujų pareigų skirtingi įmonės padaliniai turi turėti bent pagrindinių žinių apie CRA. Surenkite mokymus projektavimo, kokybės, IT ir serviso padaliniams apie reglamento reikalavimus ir vidaus procedūras (pvz., kaip reaguoti į pranešimą apie pažeidžiamumą, kaip dokumentuoti pakeitimus atitikties požiūriu). Taip pat verta informuoti pirkimų ir pardavimų padalinius, kad jie žinotų apie naujus žymėjimus ir deklaracijas (pvz., būtinybę patikrinti, ar tiekėjas iš ne ES šalies pateikė atitikties deklaraciją). Apsvarstykite galimybę parengti klientams informaciją apie jūsų produktų saugumo politiką – skaidrumas šioje srityje gali tapti komerciniu pranašumu (naudotojai pradės kreipti dėmesį, ar konkretus gaminys atitinka kibernetinio saugumo reikalavimus ir ar jam užtikrinami atnaujinimai).
• Stebėkite gaires ir terminus – Sekite Europos Komisijos ir nacionalinių institucijų pranešimus dėl CRA. Gali būti priimami deleguotieji arba įgyvendinimo aktai, kurie tikslins tam tikrus klausimus (pvz., sektorines išimtis – Komisija gali nuspręsti netaikyti CRA produktams, kuriems jau taikomi lygiaverčiai sektoriniai reikalavimai). Taip pat stebėkite darniųjų standartų skelbimo procesą – standarto taikymas bus paprasčiausias kelias į atitikties prezumpciją. Užtikrinkite, kad būtų laikomasi minėtų terminų: rugsėjis 2026 (pasirengimas incidentų pranešimui) ir gruodis 2027 (visiška visų naujų produktų atitiktis). Geriausia gerokai anksčiau nusistatyti vidinius etapus – pvz., užbaigti pirminę rizikos analizę iki 2025 m. vidurio, pritaikyti kūrimo procesą iki 2025 m. pabaigos, atlikti atitikties bandymus ir išankstinį sertifikavimą 2026 m. ir t. t., kad į 2027 metus įžengtumėte beveik visiškai pasirengę atitikti reikalavimus. Netikėtumai paskutinę akimirką gali kainuoti pardavimo sustabdymą, todėl proaktyvus požiūris čia yra esminis.

Iš anksto atlikus šiuos „namų darbus“, 2027 m. bus galima išvengti skubos ir su ja susijusių rizikų. Todėl į CRA verta žiūrėti ne vien kaip į prievolę, bet ir kaip į galimybę padidinti bendrą produktų saugos lygį – tai apsaugo ir įmonę, ir klientus nuo brangiai kainuojančių incidentų.

CRA ir Mašinų reglamentas (ES) 2023/1230 – kam kas taikoma?

Daugeliui pramonės sektoriaus vadovų kyla klausimas, kaip naujieji kibernetinio atsparumo reikalavimai siejasi su jau žinomu Mašinų reglamentu (ES) 2023/1230 (kuris pakeis Mašinų direktyvą). Ar čia dubliuojami reikalavimai, o gal šie reglamentai vienas kitą papildo? Svarbiausia suprasti, kokius produkto aspektus reglamentuoja kiekvienas teisės aktas.

Mašinų reglamentas 2023/1230 apima mašinų saugą tradicine prasme – jis orientuotas į mašinų naudotojų sveikatos ir saugos apsaugą. Jame nustatyti vadinamieji esminiai saugos ir sveikatos apsaugos reikalavimai (EHSR), susiję, be kita ko, su mechaniniais, elektriniais aspektais, ergonomika, triukšmu, EMC ir pan. Tiesa, naujajame mašinų reglamente taip pat įtvirtintas reikalavimas atsižvelgti į grėsmes, susijusias su prieiga prie interneto ir kibernetinėmis atakomis kaip į galimą pavojų saugai. Tai reiškia, kad mašinos gamintojas, atlikdamas rizikos vertinimą, turi įvertinti scenarijus, kai, pavyzdžiui, nuotolinis įsikišimas į mašinos valdymo sistemą galėtų sukelti nelaimingą atsitikimą. Todėl jis turi numatyti priemones, kurios užkirstų kelią tokioms situacijoms (pvz., tinklo apsaugos priemones, neleidžiančias neįgaliotam asmeniui perimti mašinos valdymo). Tačiau mašinų reglamentas kibernetinį saugumą reglamentuoja tik tiek, kiek jis daro įtaką fiziniam žmonių, dirbančių su mašinomis, saugumui. Tai yra viena iš daugelio mašinos atitikties vertinimo sudedamųjų dalių, tačiau jame nenustatyti išsamūs IT pobūdžio reikalavimai – jame nerasime nei kriptografinių mechanizmų sąrašo, nei pareigos po pardavimo atnaujinti mašinos programinę įrangą. Paprastai tariant, Mašinų reglamentas rūpinasi tuo, kad mašina nekeltų pavojaus gyvybei ar sveikatai (taip pat ir dėl kibernetinio incidento), o CRA – bendruoju produkto kibernetiniu saugumu (įskaitant duomenų konfidencialumą, paslaugų atsparumą ir visą gyvavimo ciklą).

Kibernetinio atsparumo aktas apima gerokai platesnį IT klausimų spektrą nei mašinų reglamentas. Net ir pramoninėms mašinoms CRA nustato, pavyzdžiui, pažeidžiamumų pranešimo, atnaujinimų užtikrinimo X metų laikotarpiu, apsaugos nuo duomenų praradimo reikalavimus – tai yra klausimai, tiesiogiai nesusiję su mašinos naudotojo sauga, bet susiję su pačiu kibernetiniu saugumu. Praktikoje tai reiškia, kad mašina, kuri yra produktas su skaitmeniniais elementais, tuo pačiu metu pateks į abiejų reglamentų taikymo sritį. Tokios mašinos gamintojas turi atitikti abiejų teisės aktų reikalavimus – tiek susijusius su saugia konstrukcija, pavyzdžiui, mechanikos požiūriu (Mašinų reglamentas), tiek susijusius su programinės įrangos, tinklų ir duomenų apsauga (Kibernetinio atsparumo aktas (CRA)). Vieno reglamento reikalavimų įvykdymas savaime nereiškia atitikties kitam, nes vertinimo kriterijai skiriasi.

Atitikties vertinimo procedūros požiūriu produktas, kuriam taikomas daugiau nei vienas ES reglamentas, prieš ženklinant CE turi atitikti visus taikomus reikalavimus. Pavyzdžiui, gamintojas, tiekiantis rinkai bendradarbiaujantį pramoninį robotą su nuotolinės stebėsenos funkcija, turės įsitikinti, kad robotas atitinka esminius mašinų saugos reikalavimus (regl. 2023/1230) ir esminius kibernetinio saugumo reikalavimus (Reglamentas (ES) 2024/2847). Tokios mašinos ES atitikties deklaracijoje turi būti nurodyti abu teisės aktai. Savo ruožtu techninės priežiūros vadovas, įsigyjantis tokį įrenginį, turi patikrinti ir atitiktį „mašinų CE“, ir „kibernetinio saugumo CE“. Praktikoje CE ženklas yra vienas, tačiau dokumentacija turi įrodyti atitiktį visiems naujojo požiūrio teisės aktams, taikomiems konkrečiam gaminiui.

Verta pateikti keletą pavyzdžių, kam kuris reglamentas taikomas:

• Vien tik elektroniniai IT įrenginiai (be mašininių funkcijų) – pvz., maršrutizatoriai, išmanieji telefonai, IP kameros – nepatenka į Mašinų reglamento taikymo sritį (nes tai nėra mašinos), tačiau jiems taikomas CRA, jei jie turi skaitmeninių elementų ir jungiasi prie tinklo. Tokiu atveju svarbiausia yra kibernetinis saugumas, o fizinio naudotojo saugos klausimai neturi esminės reikšmės (išskyrus bendruosius darbuotojų saugos ir EMC reikalavimus).
• Tradicinės mašinos be skaitmeninio ryšio – pvz., hidraulinis presas su visiškai analoginiu valdymu – patenka į Mašinų reglamento taikymo sritį (reikia atitikti konstrukcijos, apsaugų, saugos grandinių ir kt. reikalavimus), tačiau CRA joms tiesiogiai netaikomas, nes jose nėra skaitmeninių elementų, komunikuojančių su išore. Žinoma, jei mašinoje yra valdymo elektronika, ji pati savaime gali būti laikoma skaitmenine įranga, tačiau kol nėra ryšio galimybės (pvz., nėra tinklo prievadų, nėra nuotolinės prieigos), ji neatitinka CRA vartojamos sąvokos „produktas su skaitmeniniais elementais“.
• Šiuolaikinės mašinos su skaitmeninėmis funkcijomis – pvz., robotai, gamybos linijos su IoT, AGV vežimėliai, komunikuojantys su valdymo sistema – patenka į abiejų teisės aktų taikymo sritį. Šiuo atveju Mašinų reglamentas, be kita ko, reikalaus atlikti tradicinį rizikos vertinimą (kad mašina nekeltų mechaninių ar elektrinių pavojų) ir užtikrinti, kad, pavyzdžiui, nuotolinė prieiga prie roboto negalėtų sukelti pavojingos situacijos (t. y. būtų įvertintos kibernetinės grėsmės saugai). Tuo tarpu CRA papildomai nustatys pareigą užtikrinti, kad tokio roboto programinė įranga būtų apsaugota bendrai (pvz., šifruojamas duomenų perdavimas, naudojami unikalūs slaptažodžiai), kad gamintojas teiktų atnaujinimus, o nustačius pažeidžiamumą – jis būtų pašalintas ir apie tai pranešta institucijoms. Todėl tokios įrangos gamintojas turi užtikrinti atsparumą kibernetinėms atakoms tiek žmonių saugos, tiek veiklos tęstinumo, duomenų konfidencialumo ir kitais aspektais.

Apibendrinant, Mašinų reglamentas ir CRA ne konkuruoja tarpusavyje, o vienas kitą papildo. Pirmasis rūpinasi mašinų funkcine sauga (įskaitant minimalius su kibernetiniu saugumu susijusius reikalavimus, kad mašina būtų saugi), o antrasis – platesniu produkto kibernetiniu saugumu per visą jo gyvavimo ciklą. Vadovams tai reiškia poreikį užtikrinti daugiaaspektę atitiktį: išmanus produktas turi būti ir saugus konstrukciškai, ir kibernetiškai saugus. Todėl būtina sekti abiejų reglamentų reikalavimus. Laimei, jų taikymo terminai yra panašūs – Mašinų reglamentas taip pat bus praktiškai pradėtas taikyti nuo 2027 m. sausio (pakeisdamas direktyvą), o CRA – nuo 2027 m. pabaigos. Todėl pasirengimą abiem galima sujungti į nuoseklią atitikties programą. Pavyzdžiui, projektuojant naują mašiną iš karto numatyti ir mašinų saugos reikalavimus, ir IT apsaugos priemones; bandant prototipą tikrinti ne tik atitiktį tokiems standartams kaip ISO 13849 (safety), bet ir, pavyzdžiui, valdymo sistemos penetracinius testus. Taikydama tokį požiūrį įmonė užsitikrins visapusišką atitiktį ir išvengs situacijos, kai vieno teisės akto laikomasi kito ignoravimo sąskaita.

Reglamentas (ES) 2024/2847 neabejotinai yra iššūkis gamintojams ir tiekėjams, tačiau kartu tai ir būtinas atsakas į šiandienos realijas. Mašinos ir įrenginiai tampa vis išmanesni ir labiau susieti tarpusavyje – teisės aktai turi neatsilikti nuo šių pokyčių. Vadovai, kurie jau dabar imsis parengiamųjų veiksmų, įgis pranašumą: jų įmonės ne tik sklandžiai prisitaikys prie naujos teisinės sistemos, bet ir padidins savo produktų konkurencingumą bei patikimumą klientų akyse, kuriems skaitmeninis saugumas tampa ne mažiau svarbus nei kaina ar funkcionalumas. Turint tinkamą mašinų saugos ir IT ekspertų pagalbą, CRA reikalavimų įgyvendinimą galima vertinti kaip nuolatinio tobulinimo dalį, o ne vien kaip reguliacinę pareigą. Dėl to laimės ir įmonė, ir galutiniai naudotojai, ir visa skaitmeninė ekosistema. Saugesni produktai reiškia mažesnę prastovų, atakų ir nuostolių riziką – o tai tikslas, kuriuo vadovaujasi ir teisėkūros institucijos, ir atsakingi rinkos dalyviai.