Regula (ES) 2024/2847 – Kibernoturības akts (CRA)

Regula (ES) 2024/2847 – Kiberdrošības noturības akts (Cyber Resilience Act, CRA) ir jauna ES regula, kas nosaka horizontālas kiberdrošības prasības “produktiem ar digitāliem elementiem”. Tā tika pieņemta 2024. gada oktobrī un pēc pārejas periodiem sāks tieši piemērot visās ES valstīs no 2027. gada beigām. Ja strādājat rūpniecības nozarē kā vadītājs un atbildat par ekspluatācijas uzturēšanu, iepirkumiem vai atbilstību prasībām, jau tagad ir vērts saprast, uz kuriem produktiem šī regula attiecas, kādus jaunus pienākumus tā uzliek ražotājiem, importētājiem un izplatītājiem, kā arī kā sagatavot uzņēmumu gaidāmajām izmaiņām. Tālāk apkopota būtiskākā informācija praktiskā skatījumā, bez juridiska žargona, bet ar tehnisku precizitāti, lai atvieglotu atbilstošu sagatavošanās pasākumu plānošanu.

Piemērošanas joma: uz kādiem produktiem attiecas Kiberdrošības noturības akts?

Regula (ES) 2024/2847 attiecas uz visiem “produktiem ar digitāliem elementiem”, kas tiek darīti pieejami ES tirgū, kuru paredzētā lietošana ietver savienojumu ar citu ierīci vai tīklu (tieši vai netieši, fiziski vai loģiski). Citiem vārdiem, lielākajai daļai ierīču vai programmatūras, kas var sazināties ar citām sistēmām, būs jāatbilst jaunajām prasībām. Praksē tie būs, cita starpā, IoT ierīces un patēriņa elektronika (piemēram, viedpulksteņi, mobilie tālruņi, viedā sadzīves tehnika un elektronika, elektroniskās bērnu uzraudzības ierīces), valkājamās ierīces (piemēram, fitnesa aproces), rūpnieciskās iekārtas ar tīkla funkcijām (sensori un rūpnieciskās iekārtas, kas pieslēgtas tīklam), kā arī dažāda programmatūra (operētājsistēmas, mobilās un datorprogrammas, biznesa programmatūra u. c.). Būtiski, ka atsevišķi pārdota programmatūra (kā produkts) arī ietilpst CRA darbības jomā, tāpat kā attālināti datu apstrādes pakalpojumi, kas ir produkta neatņemama sastāvdaļa – piemēram, mākoņpakalpojums, kas vada viedās mājas ierīci, tiks uzskatīts par produkta daļu un tam būs jāatbilst drošības prasībām.

Regulai ir ļoti plaša piemērošanas joma, taču tajā paredzēti arī izņēmumi noteiktām izstrādājumu kategorijām, kuras jau reglamentē savi nozares noteikumi. CRA neattiecas, cita starpā, uz medicīniskām ierīcēm (uz kurām attiecas regulas MDR 2017/745 un 2017/746), transportlīdzekļiem un to aprīkojumu (uz kuriem cita starpā attiecas regula 2019/2144 transportlīdzekļu tipa apstiprināšanas jomā), gaisa kuģiem (regula 2018/1139 par aviāciju), kā arī jūras aprīkojumu (direktīva 2014/90/ES). Šiem produktiem ir atsevišķs regulējums, kurā bieži jau ir ietvertas attiecīgajai nozarei pielāgotas prasības, tāpēc tie ir izslēgti no CRA darbības jomas. Turklāt jaunie noteikumi neattiecas uz iekārtām un programmatūru, kas paredzēta tikai militārām vajadzībām vai valsts drošībai (kā arī klasificētas informācijas apstrādei). Izņēmums attiecas arī uz rezerves daļām, kas tiek piegādātas kā identisku komponentu aizstājēji – ja sākotnējais produkts tirgū tika laists likumīgi, identiskajai daļai CRA prasības nav jāizpilda atsevišķi.

Jāņem vērā, ka tā dēvētā brīvā un atvērtā pirmkoda programmatūra (open source) nebūs pakļauta CRA, ja vien tā netiek darīta pieejama komerciālas darbības ietvaros. Tātad, ja konkrēta programmatūra tiek izstrādāta un publicēta bez maksas, ārpus tirgus aprites, tās izstrādātāji (piemēram, open source kopiena) netiek uzskatīti par “ražotājiem” regulas izpratnē un uz viņiem neattiecas turpmāk aprakstītie pienākumi. Savukārt, ja uzņēmums izmantotu open source komponentu savā komerciālajā izstrādājumā, atbildība par drošības prasību izpildi gulstas uz galaprodukta ražotāju. Kopsavilkumā CRA galvenokārt ir vērsts uz profesionāli izstrādātiem un tirgotiem digitāliem produktiem, kas nonāk pie galalietotājiem ES iekšējā tirgū.

Kāpēc CRA tika ieviests? Jauni apdraudējumi, regulējuma plaisa un piegādes ķēde

Eiropas Savienība ir saskatījusi steidzamu nepieciešamību stiprināt digitālo produktu kiberdrošības noturību, ņemot vērā pieaugošos apdraudējumus. Pēdējos gados internetam pieslēgto ierīču skaits un daudzveidība ir strauji pieaugusi – no rūpnieciskām IoT sistēmām rūpnīcās līdz viedām mājsaimniecības ierīcēm. Diemžēl šo produktu kiberdrošības līmenis bieži ir zems, kas izpaužas kā plaši izplatītas ievainojamības un nepietiekama, nesaskaņota drošības atjauninājumu nodrošināšana. Daudzi ražotāji līdz šim drošību nav izvirzījuši par prioritāti visā izstrādājuma dzīves ciklā, bet lietotājiem bieži trūkst izpratnes un informācijas par to, kuras ierīces ir drošas, cik ilgi tās saņems atjauninājumus un kā tās lietot droši. Šo faktoru kopums palielina kiberuzbrukumu risku.

Kiberdrošības noturības akta mērķis ir aizpildīt regulējuma plaisu – līdz šim ES līmenī trūka vienotu, obligātu prasību attiecībā uz digitālo produktu drošību. Lai gan pastāvēja tādas iniciatīvas kā IKT drošības sertifikācija (saskaņā ar Kiberdrošības aktu 2019/881) vai NIS2 direktīvas prasības kritiski svarīgām nozarēm, neviens tiesību akts tieši nenoteica pienākumu ievērot “kiberdrošību jau projektēšanas stadijā” visām tirgū laistajām ierīcēm un programmatūrai. CRA tieši šādu universālu regulējumu arī ievieš – tas nosaka, ka aparatūra un programmatūra ir jāprojektē, jāražo un jāuztur, visā dzīves ciklā paredzot stabilus aizsardzības pasākumus. Mērķis ir panākt, lai tirgū nonāktu produkti ar mazāku ievainojamību skaitu un lai ražotāji nodrošinātu ātru jaunu apdraudējumu novēršanu (piemēram, ar drošības ielāpiem), nevis atstātu lietotājus ar nedrošām ierīcēm.

Kiberdrošības noturībai ir arī piegādes ķēdes un pārrobežu dimensija. Laikmetā, kad viss ir savienots ar visu, incidents vienā šķietami nenozīmīgā ierīcē var kļūt par uzbrukuma vektoru visai organizācijai vai tās biznesa partneriem. Viens inficēts IoT sensors ražošanas cehā var pavērt piekļuvi uzņēmuma tīklam; ievainojamība populārā lietotnē dažu minūšu laikā var tikt izmantota visā pasaulē. Kā uzsvērts regulas pamatojumā, kiberincidents vienā produktā dažu minūšu laikā var izplatīties pa piegādes ķēdi pāri vienas valsts robežām. Šādu uzbrukumu izmaksas sedz ne tikai ražotāji un lietotāji, bet arī sabiedrība kopumā – kritiskās infrastruktūras darbības traucējumi, finansiāli zaudējumi, sabiedriskās drošības apdraudējumi. Vienoti, obligāti noteikumi visā ES ir paredzēti, lai paaugstinātu kopējo aizsardzības līmeni un novērstu situāciju, kurā vājākais posms (nenoturīgs produkts) apdraud visus.

Papildu motīvs ir uzticēšanās digitālajiem produktiem palielināšana un vienlīdzīgu konkurences apstākļu nodrošināšana. Pašlaik ražotāji, kuri iegulda drošībā jau projektēšanas stadijā, nereti cenu ziņā zaudē tiem, kuri šos jautājumus ignorē. CRA ir paredzēts, lai kiberdrošība kļūtu par kvalitātes standartu – visiem būs jāizpilda minimālās prasības, kas izlīdzinās iespējas un samazinās uzbrukumu sociālās izmaksas (kuras šobrīd tiek pārliktas uz cietušajiem). Rezultātā tam vajadzētu palielināt visa ES tirgus noturību un klientu uzticēšanos modernām ierīcēm ar digitāliem elementiem. Akts iekļaujas arī plašākā ES stratēģijā (kopā ar VDAR, NIS2, DORA u. c.), kuras mērķis ir stiprināt pakalpojumu un produktu kiberdrošību kā digitālās ekonomikas pamatu. Plašāku kontekstu skatiet rakstā Kiberdrošības noturības akts (CRA) – produkta praktiskā sagatavošana.

Regula (ES) 2024/2847: galvenie pienākumi ražotājiem, importētājiem un izplatītājiem

Jaunā regula ievieš virkni konkrētu pienākumu saimnieciskās darbības veicējiem, kas iesaistīti produktu ar digitāliem elementiem piegādes ķēdē. Atbildības apjoms ir atkarīgs no lomas – visplašākās prasības attiecas uz ražotājiem, taču arī importētājiem un izplatītājiem ir būtiski uzdevumi. Tālāk apkopojam galvenos pienākumus no vadītāja skatpunkta, kurš rūpējas par uzņēmuma produktu atbilstību tiesību aktu prasībām.

Ražotāju pienākumi

Ražotājs (kā arī subjekts, kas laiž produktu tirgū ar savu zīmolu vai to modificē – arī tas tiek uzskatīts par ražotāju) uzņemas galveno atbildību par CRA prasību izpildi. Viņa svarīgākie uzdevumi ir:

• Nodrošināt produkta atbilstību regulas I pielikumā noteiktajām kiberdrošības pamatprasībām. Praksē tas nozīmē, ka produktam jau projektēšanas un konstruēšanas posmā jābūt aprīkotam ar īpašībām, kas garantē atbilstošu digitālās drošības līmeni, samērīgu ar risku, kas saistīts ar konkrēto izstrādājumu. Regula uzskaita virkni konkrētu tehnisko prasību, tostarp zināmu ievainojamību neesamību laišanas tirgū brīdī, drošu noklusējuma konfigurāciju izmantošanu (piemēram, izvairoties no noklusējuma parolēm), šifrēšanu, kur tas ir pamatoti, aizsardzību pret neautorizētu piekļuvi, lietotāja personas datu aizsardzību, noturību pret uzbrukumiem, kas traucē funkciju darbību (piemēram, DoS uzbrukumiem), kā arī iespēju veikt atiestatīšanu uz rūpnīcas iestatījumiem. Produkts jāprojektē tā, lai maksimāli samazinātu tā “uzbrukuma virsmu” – piemēram, tam nevajadzētu būt nevajadzīgi atvērtiem portiem vai pakalpojumiem, kas palielina pakļautību kiberdraudiem. Šīs pamatprasības (CRA I pielikuma I daļa) veido drošības īpašību kontrolsarakstu, kam jāatbilst ikvienam digitālajam produktam.
• Ievainojamību un incidentu pārvaldības procesa izveide – ražotājam aktīvi jārūpējas par produkta drošību arī pēc tā pārdošanas, visā deklarētajā atbalsta periodā. I pielikuma II daļā noteiktas prasības ievainojamību pārvaldības procesam (vulnerability handling): regulāra testēšana un uzraudzība, lai atklātu jaunas ievainojamības, ziņojumu par ievainojamībām pieņemšana (piemēram, no pētniekiem vai lietotājiem), kā arī atklāto ievainojamību ātra novēršana/labošana, nodrošinot drošības atjauninājumus. Ražotājam jāievieš koordinētas ievainojamību atklāšanas politika (coordinated disclosure) – proti, jābūt noteiktam kontaktpunktam, uz kuru var ziņot par problēmām, un procedūrām, kā uz šādiem ziņojumiem reaģēt. Svarīgi, lai atjauninājumi novērstu ievainojamības nekavējoties un tiktu izplatīti drošā veidā (piemēram, ar digitālu parakstu). Būtiski, ka ražotājam ir pienākums nodrošināt atbalstu un drošības atjauninājumus laikposmā, kas atbilst paredzamajam produkta dzīves ciklam, vismaz 5 gadus (ja vien produkta raksturs nepamato īsāku periodu). Citiem vārdiem, ja mūsu iekārta klientiem parasti kalpo ~5+ gadus, mēs nevaram pārtraukt izlaist ielāpus pēc gada vai diviem – būs nepieciešams vairāku gadu pēcpārdošanas atbalsts, lai lietotājs nepaliktu ar ievainojamu ierīci.
• Kiberdrošības riska novērtējuma veikšana – pirms produkta ar digitāliem elementiem laišanas tirgū ražotājam jāveic sistemātiska ar kiberdraudiem saistīto risku analīze attiecībā uz šo produktu. Riska novērtējumam jābūt projektēšanas procesa daļai (security by design), un tajā jāņem vērā cita starpā izstrādājuma paredzētais lietojums, iespējamā nepareiza lietošana, lietošanas apstākļi (IT vide, tīkls, datu veids, ko ierīce apstrādā). Pamatojoties uz šo analīzi, jāplāno atbilstoši aizsardzības pasākumi un jāiekļauj tie konstrukcijā. Kibertelpas riska novērtējuma dokumentācija kļūst par produkta tehniskās dokumentācijas daļu un ir jāatjaunina, ja parādās jauni apdraudējumi. Ražotājam ir pienākums glabāt dokumentāciju vismaz 10 gadus no produkta laišanas tirgū (un, ja deklarētais atbalsta periods ir ilgāks par 10 gadiem – attiecīgi ilgāk). Riska novērtējums nav vienreizējs pasākums – tas ir jāpārskata un jāatjaunina pēc vajadzības, īpaši tad, ja tiek atklātas jaunas ievainojamības vai mainās produkta lietošanas konteksts.
• Ārējo komponentu uzraudzība – ražotājam jāievēro pienācīga rūpība, izmantojot trešo pušu komponentus, tostarp atvērtā pirmkoda bibliotēkas. Jānodrošina, ka ārējie komponenti (programmatūras un aparatūras) neapdraud visa produkta kiberdrošību. Praksē tas nozīmē nepieciešamību kontrolēt izmantoto bibliotēku versijas un atjauninājumus, uzraudzīt šajos komponentos zināmās ievainojamības (piemēram, publicētās CVE) un tās atjaunināt vai aizstāt, kad tiek atklātas nepilnības. Ja produktā izmantota atvērtā pirmkoda programmatūra un tajā konstatēta ievainojamība, ražotājam ir pienākums informēt par šīs atvērtā pirmkoda programmatūras uzturēšanu atbildīgo subjektu (piemēram, open source projektu) par radušos problēmu, bet, ja tas ievainojamību novērš saviem spēkiem – nodot kopienai informāciju par veikto labojumu. Tā mērķis ir iesaistīt ražotājus koordinētas ievainojamību labošanas ekosistēmā arī attiecībā uz atvērtā pirmkoda komponentiem.
• Formāla atbilstības novērtēšana un dokumenti – pirms produkts nonāk tirgū, ražotājam jāveic atbilstības novērtēšanas procedūra atbilstoši CRA prasībām un jāsagatavo dokumentācija, kas apliecina prasību izpildi. Lielākajai daļai “parasto” produktu (kas nav klasificēti kā paaugstināta riska kategorija) pietiks ar iekšējo pārbaudi (iekšējo novērtējumu) un tehniskās dokumentācijas sagatavošanu, kurā cita starpā ietverts produkta apraksts, riska analīzes rezultāti, izmantoto drošības pasākumu saraksts, testēšanas un atjaunināšanas procedūras utt. Pēc tam ražotājs sagatavo ES atbilstības deklarāciju, kurā apliecina, ka izstrādājums atbilst visām piemērojamajām CRA prasībām, un uz produkta izvieto CE marķējumu. Uzmanību: ja konkrētais produkts kiberdrošības ziņā ir klasificēts kā “svarīgs” vai “kritisks” (CRA III un IV pielikums), uz to var attiekties stingrākas atbilstības novērtēšanas procedūras. Svarīgiem II klases un kritiskiem izstrādājumiem būs nepieciešama trešās puses sertifikācija, t. i., pārbaude un sertifikāts, ko izsniedz notificētā iestāde (piemēram, akreditēta laboratorija). Svarīgiem I klases produktiem pašsertifikācija ir pieļaujama tikai tad, ja pastāv atbilstoši harmonizētie standarti, kurus ražotājs izmanto – pretējā gadījumā arī šeit nepieciešama trešās puses iesaiste. Tāpēc vadītājam būtu jānosaka, kurai kategorijai pieder uzņēmuma produkts un vai būs jāplāno ārējā sertifikācija (tas var ietekmēt produkta laišanas tirgū grafiku).
• Drošības uzraudzība pēc laišanas tirgū un ziņošana – jaunums, ko ievieš CRA, ir pienākums ziņot par nopietnām drošības problēmām attiecīgajām iestādēm. Ražotājam jāziņo par katru aktīvi izmantotu sava produkta ievainojamību un par katru nopietnu incidentu, kas ietekmē produkta drošību, valsts CSIRT (reaģēšanas vienībai), kas noteikta par koordinatoru, kā arī ENISA aģentūrai. Ziņošanas termiņš ir ļoti īss – 24 stundas no ievainojamības/notikuma atklāšanas (līdzīgi kā GDPR vai NIS2 stingrajās prasībās). Ziņošana notiks, izmantojot vienotu Eiropas platformu, ko uztur ENISA. Ziņošanas pienākums stāsies spēkā agrāk nekā pārējās prasības (2026. gada septembrī – skatīt termiņus zemāk) un no tā brīža attieksies uz visiem tirgū esošajiem produktiem. Tāpēc ražotājam jābūt iekšējām procedūrām, kas spēj atklāt incidentu vai ievainojamību un diennakts laikā nodot regulā prasīto informāciju. Mērķis ir sniegt uzraudzības iestādēm pārskatu par jaunajiem apdraudējumiem un koordinēt reakciju (piemēram, brīdināt citus lietotājus, ja konkrētam produktam ir kritiska ievainojamība).

Iepriekš minētie pienākumi bieži vien prasa būtiskas organizatoriskas pārmaiņas — sākot ar Secure SDLC ieviešanu R&D nodaļā, turpinot ar jaunām produktu uzturēšanas un atbalsta politikām, un beidzot ar papildu dokumentāciju un personāla apmācībām. Pretī uzņēmums iegūst lielāku pārliecību, ka tā izstrādājums nekļūs par bīstama kiberincidenta avotu, kā arī atbilstību gaidāmajam regulējumam, kas ļaus turpināt tirdzniecību ES tirgū.

Regula (ES) 2024/2847: importētāju un izplatītāju pienākumi

Subjektiem, kas ieved produktus ar digitāliem elementiem no valstīm ārpus ES (importētāji) vai tālāk tos pārdod ES tirgū (izplatītāji), arī ir jānodrošina šo izstrādājumu atbilstība CRA. To loma galvenokārt ir saistīta ar atbilstības pārbaudi un rīcību iespējamu neatbilstību gadījumā.

Importētājam pirms produkta laišanas ES tirgū ir jāpārbauda, vai ražotājs ir izpildījis savus pienākumus — citiem vārdiem, vai produktam ir nepieciešamais CE marķējums un ES atbilstības deklarācija, vai ir pievienotas instrukcijas un drošības informācija, kā arī vai ražotājs ir sagatavojis prasīto tehnisko dokumentāciju. Importētājam nav pašam jāveic produkta kiberdrošības testēšana, taču, ja tam ir pamatotas šaubas par izstrādājuma atbilstību prasībām (piemēram, nav CE marķējuma, nav informācijas par atbalsta periodu u. tml.), šādu produktu nedrīkst laist tirgū, kamēr nav pārliecības, ka neatbilstība ir novērsta. Ja tiek konstatēts, ka produkts neatbilst CRA prasībām, importētājam ir pienākums informēt uzraudzības iestādes un veikt korektīvus pasākumus — nodrošināt produkta atbilstības panākšanu, bet, ja tas nav iespējams, izņemt to no aprites vai atsaukt no tirgus. Importētājiem, tāpat kā ražotājiem, ir jāglabā atbilstības deklarācijas kopija un jānodrošina, lai tehniskā dokumentācija pēc pieprasījuma būtu pieejama iestādēm. Viņiem arī jānorāda uz produkta (vai iepakojuma) sava kontaktinformācija un jānodrošina, ka produkts ir pienācīgi marķēts. Praksē importētāja loma ir drošības vārtejas funkcija — nepieļaut tādu produktu izplatīšanu ES, kuriem nav “papīru”, kas apliecina atbilstību CRA.

Izplatītāji (vietējie vairumtirgotāji, mazumtirgotāji u. c.) ir līdzīgā situācijā kā importētāji, ar to atšķirību, ka tie pārbauda prasību izpildi gan no ražotāja, gan — ja produkts nāk no ārpus ES — arī no importētāja puses. Tādēļ izplatītājam pirms tālākpārdošanas jāpārbauda, vai precei ir CE marķējums, pievienota deklarācija vai tiesību aktos prasītās instrukcijas, kā arī vai nav publiski izplatītu paziņojumu par to, ka konkrētais modelis neatbilst drošības prasībām. Šaubu gadījumā arī tam ir pienākums apturēt pārdošanu līdz apstākļu noskaidrošanai. Ja tas uzskata (vai tiek informēts), ka produkts rada nopietnu risku vai neatbilst CRA prasībām, tam par to jāinformē ražotājs vai importētājs, kā arī uzraudzības iestādes, un jāsadarbojas korektīvo pasākumu īstenošanā (piemēram, produkta atsaukšanā no tirgus).

No iepirkumu vadītāja skatpunkta šie noteikumi nozīmē nepieciešamību pēc lielākas modrības, izvēloties iekārtu/programmatūras piegādātājus. Ir jāpārliecinās, ka sadarbības partneri ārpus ES piegādā jau CRA atbilstošus produktus, jo pretējā gadījumā mūsu uzņēmums (kā importētājs) uzņemsies atbildību par trūkumiem. Izplatītājam (piemēram, uzņēmumam, kas tirgo automatizācijas risinājumus) papildus rodas pienākums uzraudzīt, vai dažādu zīmolu produktiem tā piedāvājumā ir aktuālas atbilstības deklarācijas un vai tie izpilda prasības — praksē tas prasīs ciešu sadarbību ar ražotājiem un ātru reakciju uz jebkādiem drošības brīdinājumiem par tirgotajām ierīcēm.

Vērts atzīmēt: ja importētājs vai izplatītājs laiž produktu tirgū ar savu logotipu/zīmolu vai modificē produktu (piemēram, būtiski kiberdrošību ietekmējošā veidā maina tā funkcionalitāti, programmatūru vai konfigurāciju), tad saskaņā ar regulu tas pats kļūst par šī izstrādājuma ražotāju. Tādā gadījumā tam jāuzņemas visi ražotāja pienākumi (jāveic atbilstības novērtēšana, jāizdod sava deklarācija utt.). Šī situācija attiecas, piemēram, uz sistēmu integratoriem, kas pārdod OEM ierīces ar savu zīmolu — tiem jābūt īpaši uzmanīgiem, jo formāli tie par atbilstību atbild tāpat kā sākotnējais ražotājs.

Spēkā stāšanās termiņi un pārejas periodi

Regula (ES) 2024/2847 tika publicēta Oficiālajā Vēstnesī 2024. gada 20. novembrī. Tā stājās spēkā 2024. gada 10. decembrī (20 dienas pēc publicēšanas), tomēr galvenie pienākumi kļūs saistoši tikai pēc 36 mēnešiem no šī datuma. Likumdevējs ir paredzējis ilgu pārejas periodu, lai dotu nozarei laiku pielāgoties. Lūk, galvenie datumi:

• 2026. gada 11. septembris – no šīs dienas stāsies spēkā ievainojamību un incidentu ziņošanas pienākumi. Katra tāda produkta ražotājam, kurā ir digitāli elementi un kas atrodas ES tirgū, būs pienākums kompetentajām iestādēm ziņot par visām aktīvi izmantotām ievainojamībām un nopietniem drošības incidentiem, kas skar attiecīgo izstrādājumu. Šis datums iestājas 21 mēnesi pēc CRA stāšanās spēkā un nozīmē, ka jau 2026. gadā uzņēmumiem jābūt ieviestām drošības uzraudzības un problēmu ziņošanas procedūrām. Tas nav atkarīgs no tā, kad produkts tika laists tirgū – tas attiecas arī uz produktiem, kas pārdoti pirms 2026. gada un joprojām tiek lietoti. Citiem vārdiem, pat ja ierīce tirgū nonāca, piemēram, 2025. gadā (pirms regulas piemērošanas), bet 2026. gada septembrī tajā tiek atklāta kritiska ievainojamība, ražotājam ir pienākums par to ziņot un to novērst.
• 2026. gada 11. jūnijs – no šīs dienas jāstājas spēkā noteikumiem par notificētajām struktūrām un atbilstības novērtēšanas iestādēm. Dalībvalstis līdz 2026. gada vidum sagatavos sistēmu to struktūru izraudzīšanai un notificēšanai, kuras būs tiesīgas sertificēt produktus (svarīgus un kritiskus) atbilstībai CRA prasībām. Ražotājiem ir būtiski, lai 2026. gada otrajā pusē jau būtu pieejama infrastruktūra nepieciešamo pārbaužu un sertifikācijas veikšanai.
• 2027. gada 11. decembris – CRA regulas pilnīga piemērošana. No šīs dienas nevienu produktu ar digitāliem elementiem, kas neatbilst CRA prasībām, vairs nedrīkstēs likumīgi laist ES tirgū. Šis termiņš (3 gadi no stāšanās spēkā) ir galīgais datums produktu un procesu pielāgošanai. Pēc 11.12.2027 visām jaunajām ierīcēm un programmatūrai, ko pārdod ES, jābūt projektētām, ražotām un uzturētām atbilstoši CRA – pretējā gadījumā uzņēmums riskē ar nopietnām sankcijām. Jāuzsver, ka noteikumi paredz zināmu atvieglojumu izstrādājumiem, kas jau atrodas tirgū: ja konkrētais produkts (konkrētais eksemplārs) ir jau darīts pieejams tirgū pirms 2027. gada 11. decembra, tas varēs arī turpmāk atrasties apritē bez atbilstības CRA. Tomēr tas attiecas tikai uz atsevišķiem eksemplāriem – produkta tips, kas izstrādāts pirms CRA, automātiski neiegūst izņēmumu. Katrai jaunai partijai, katram jaunam eksemplāram, kas pēc šī datuma tiek laists pārdošanā, jāatbilst CRA, ja vien tas fiziski jau iepriekš nav atradies apritē (kas praksē nozīmē, piemēram, noliktavu pie izplatītāja, kurš preces jau bija iegādājies pirms termiņa). Tātad noteikumus nevar apiet, saražojot preces “uz priekšu” un pārdodot tās pēc 2027. gada – katram produktam tā laišanas tirgū brīdī piemēro aktuālās prasības. Izņēmums vēl ir spēkā esošie ES tipa pārbaudes sertifikāti, kas izdoti pirms šī datuma saskaņā ar citiem noteikumiem – tie paliks spēkā līdz 2028. gada jūnijam, ja vien nav noteikts īsāks termiņš.

Uzņēmumiem praktiskais secinājums ir šāds: reālais gala termiņš ir 2027. gada beigas. No 2028. gada ES vairs nevarēs pārdot ierīces, kas neatbilst CRA prasībām. Taču jau 2026. gadā jābūt gataviem jaunajiem incidentu ziņošanas pienākumiem. Atlikušo laiku jāizmanto produktu analīzei un pielāgošanai. Lai gan 3 gadi šķietami ir daudz, izmaiņas var izrādīties būtiskas – tāpēc darbus labāk sākt savlaicīgi. Zemāk sniedzam kontrolsarakstu ar darbībām, kas vadītājam būtu jāapsver, sagatavojot savu organizāciju atbilstībai Kiberdrošības noturības akta (CRA) prasībām.

Regula (ES) 2024/2847: kā sagatavoties 2026./2027. gadam – kontrolsaraksts vadītājam

• Identificējiet produktus, uz kuriem attiecas CRA – Izveidojiet uzņēmuma izstrādājumu sarakstu, kas kvalificējas kā “produkti ar digitāliem elementiem” (iekārtas vai programmatūra, kas savienojas ar tīklu vai citām ierīcēm). Katram nosakiet, vai to saskaņā ar regulu (Annex III/IV) var uzskatīt par svarīgu vai kritisku – piemēram, vai tas pilda būtiskas drošības funkcijas, vai tā kompromitēšana var radīt plašu kaitējumu. No šīs klasifikācijas cita starpā ir atkarīga nepieciešamā atbilstības novērtēšanas procedūra (piemēram, vai būs vajadzīga trešās puses iesaiste).
• Iepazīstieties ar prasībām un standartiem – Izanalizējiet CRA I pielikumā noteiktās kiberdrošības pamatprasības un attieciniet tās uz saviem produktiem. Pārbaudiet, vai jau pastāv atbilstoši harmonizētie standarti vai nozares standarti, kas var atvieglot prasību izpildi (piemēram, IEC 62443 standartu saime rūpnieciskās automatizācijas sistēmu aizsardzībai var būt noderīga mašīnu aizsardzības risinājumu projektēšanā). Sekojiet līdzi standartizācijas darbam – iespējams, parādīsies vadlīnijas, kas atvieglos CRA prasību ieviešanu jūsu jomā.
• Veiciet nepilnību analīzi (gap analysis) – Salīdziniet savu produktu un procesu pašreizējo stāvokli ar jaunajām prasībām. Novērtējiet, cik lielā mērā esošais aizsardzības līmenis atbilst prasībām (piemēram, vai ierīcēm ir autentifikācijas mehānismi, šifrēšana, droši atjauninājumi utt.). Izanalizējiet programmatūras izstrādes procesu uzņēmumā – vai tiek ievēroti drošas programmēšanas principi, vai tiek veikti penetrācijas testi, cik ātri jūs reaģējat uz ziņotajām ievainojamībām. Identificējiet trūkumus un uzlabojamās jomas gan organizācijas līmenī (procedūras), gan tehnoloģiju līmenī (drošības funkcijas).
• Pielāgojiet produktu projektēšanu un izstrādi – Ja nepilnību analīze atklāj trūkumus, ieplānojiet trūkstošo mehānismu un prakšu ieviešanu. Tas var ietvert izmaiņas produkta arhitektūrā (piemēram, šifrēšanas moduļa pievienošanu, komunikācijas interfeisu aizsardzību), SDLC (Software Development Life Cycle) procesa pilnveidošanu ar threat modeling, code review no drošības viedokļa, fuzzing testiem u. c., kā arī jaunu produkta drošības politiku ieviešanu. Pārliecinieties, ka R&D komanda kiberdrošību uztver kā projektēšanas prasību līdzvērtīgi funkcionalitātei – regula nosaka pieeju “security by design/default”.
• Izplānojiet atjauninājumu un atbalsta sistēmu – Izvērtējiet, vai jūsu uzņēmums ir gatavs produktus atbalstīt pietiekami ilgi. Iespējams, būs jāizveido grafiks un jāparedz resursi regulāru atjauninājumu izdošanai programmatūrai un firmware vairākus gadus pēc pārdošanas. Pārbaudiet, vai produktiem ir tehniskas atjaunināšanas iespējas (attālināti vai lokāli) – ja nav, tā ir nopietna problēma, jo CRA prasa iespēju novērst ievainojamības arī pēc pārdošanas. Nosakiet reālistisku atbalsta periodu (minimums 5 gadi) un paziņojiet to lietotājiem. Sagatavojiet arī plānu klientu drošības ziņojumu tehniskai apstrādei.
• Sagatavojiet nepieciešamo dokumentāciju – Pārliecinieties, ka katram produktam tiek sagatavota pilnīga tehniskā dokumentācija kiberdrošības aspektā. Tajā cita starpā jāiekļauj riska novērtējuma ziņojums, aizsardzības arhitektūras apraksts, izmantoto pasākumu saraksts (piemēram, šifrēšana, autorizācija), drošības testu rezultāti, atjauninājumu procedūras, ievainojamību atklāšanas politika utt. Šī dokumentācija būs pamats atbilstības pierādīšanai pārbaudes gadījumā (un, ja nepieciešams, arī iesniegšanai sertificējošajai iestādei). Noorganizējiet arī tās arhivēšanas procesu noteiktajam periodam (10 gadi vai ilgāk). Papildus sagatavojiet savu produktu ES atbilstības deklarāciju veidnes, atceroties, ka tajās jābūt jaunajam formulējumam, kas apliecina atbilstību visām regulas prasībām.
• Parūpējieties par piegādes ķēdi – Sazinieties ar komponentu piegādātājiem (īpaši programmatūras, IoT moduļu u. tml. piegādātājiem), lai pārrunātu atbilstības jautājumus saistībā ar CRA. Atjauniniet līgumus ar piegādātājiem, iekļaujot tajos klauzulas par prasīto komponentu kiberdrošības līmeni un pienākumu informēt par atklātajām ievainojamībām. Pārliecinieties, ka jums ir pieejama informācija par komponentu izcelsmi un versijām (uzturiet produktu SBOM – Software Bill of Materials, kas atvieglos ievainojamību izsekošanu atkarīgajās bibliotēkās). Ja izmantojat ar produktu saistītus ārējos mākoņpakalpojumus, pārbaudiet to aizsardzību un atbilstību NIS2 (jo SaaS var būt pakļauts NIS2, nevis CRA). Produkta kiberdrošība nozīmē arī visu tā sastāvdaļu drošību – piegādātājiem jāstrādā vienotā virzienā.
• Apmāciet personālu un informējiet klientus – Jaunie pienākumi nozīmē, ka dažādām uzņēmuma struktūrvienībām jābūt pamatzināšanām par CRA. Organizējiet apmācības projektēšanas, kvalitātes, IT un servisa nodaļām par regulas prasībām un iekšējām procedūrām (piemēram, kā reaģēt uz ziņojumu par ievainojamību, kā dokumentēt izmaiņas atbilstības vajadzībām). Ir vērts informēt arī iepirkumu un pārdošanas nodaļas, lai tās apzinātos jaunās marķējuma un deklarāciju prasības (piemēram, nepieciešamību pārbaudīt, vai piegādātājs ārpus ES ir iesniedzis atbilstības deklarāciju). Apsveriet iespēju sagatavot klientiem informāciju par jūsu produktu drošības politiku – pārredzamība šajā jomā var kļūt par komerciālu priekšrocību (lietotāji sāks pievērst uzmanību tam, vai konkrētais izstrādājums atbilst kiberdrošības prasībām un vai tam ir garantēti atjauninājumi).
• Uzraugiet vadlīnijas un termiņus – Sekojiet Eiropas Komisijas un valsts iestāžu paziņojumiem par CRA. Var tikt pieņemti deleģētie vai īstenošanas akti, kas precizēs atsevišķus jautājumus (piemēram, nozaru izņēmumus – Komisija var lemt par tādu produktu izslēgšanu no CRA tvēruma, uz kuriem attiecas līdzvērtīgas nozares prasības). Vērojiet arī harmonizēto standartu publicēšanas procesu – standarta piemērošana būs vienkāršākais ceļš uz atbilstības prezumpciju. Nodrošiniet minēto termiņu ievērošanu: 2026. gada septembris (gatavība incidentu ziņošanai) un 2027. gada decembris (pilnīga visu jauno produktu atbilstība). Vislabāk ir noteikt iekšējos atskaites punktus krietni agrāk – piemēram, sākotnējās riska analīzes pabeigšanu līdz 2025. gada vidum, izstrādes procesa pielāgošanu līdz 2025. gada beigām, atbilstības testus un pirmssertifikāciju 2026. gadā utt., lai 2027. gadā ieietu ar gandrīz pilnībā izpildītām prasībām. Nepatīkams pārsteigums pēdējā brīdī var nozīmēt pārdošanas apturēšanu, tāpēc proaktīva pieeja ir izšķiroši svarīga.

Ja šo “mājasdarbu” paveic savlaicīgi, 2027. gadā var izvairīties no saspringtas steigas un ar to saistītajiem riskiem. CRA nevajadzētu uztvert tikai kā pienākumu — to ir vērts skatīt arī kā iespēju paaugstināt produktu kopējo drošības līmeni, tādējādi pasargājot gan uzņēmumu, gan klientus no dārgiem incidentiem.

CRA un Mašīnu regula (ES) 2023/1230 – uz ko attiecas kura?

Daudzi rūpniecības nozares vadītāji domā, kā jaunie kiberdrošības noturības noteikumi sasaucas ar jau zināmo Mašīnu regulu (ES) 2023/1230 (kas aizstās Mašīnu direktīvu). Vai prasības pārklājas, vai arī šie regulējumi viens otru papildina? Būtiski ir saprast, kādus produkta aspektus regulē katrs no šiem tiesību aktiem.

Mašīnu regula 2023/1230 attiecas uz mašīnu drošību tās tradicionālajā izpratnē — tā koncentrējas uz mašīnu lietotāju veselības un drošības aizsardzību. Tā nosaka tā dēvētās būtiskās veselības aizsardzības un drošuma prasības (EHSR), kas cita starpā attiecas uz mehāniskajiem un elektriskajiem aspektiem, ergonomiku, troksni, EMC u. c. Jaunā mašīnu regula ir ieviesusi arī prasību ņemt vērā apdraudējumus, kas saistīti ar piekļuvi internetam un kiberuzbrukumiem kā iespējamu drošības risku. Tas nozīmē, ka mašīnas ražotājam riska novērtēšanas laikā jāizvērtē scenāriji, kuros, piemēram, attālināta iejaukšanās mašīnas vadības sistēmā varētu izraisīt negadījumu. Tāpēc jāparedz pasākumi, kas šādas situācijas novērš (piemēram, tīkla aizsardzības risinājumi, kas neļauj nepilnvarotai personai pārņemt kontroli pār mašīnu). Tomēr mašīnu regula kiberdrošību regulē tikai tiktāl, ciktāl tā ietekmē cilvēku fizisko drošību, strādājot ar mašīnām. Tas ir viens no daudziem mašīnas atbilstības novērtēšanas elementiem, taču tā neiedziļinās detalizētās IT prasībās — tajā nav atrodams ne kriptogrāfisko mehānismu saraksts, ne pienākums pēc pārdošanas atjaunināt mašīnas programmatūru. To var formulēt šādi: Mašīnu regula rūpējas par to, lai mašīna neradītu apdraudējumu dzīvībai vai veselībai (arī kiberincidenta rezultātā), savukārt Kiberdrošības noturības akts (CRA) rūpējas par produkta vispārējo kiberdrošību (tostarp datu konfidencialitāti, pakalpojumu noturību un visu dzīves ciklu).

Kiberdrošības noturības akts aptver daudz plašāku IT jautājumu loku nekā mašīnu regula. Pat rūpnieciskām mašīnām CRA nosaka, piemēram, ievainojamību ziņošanas prasības, atjauninājumu nodrošināšanu X gadus, aizsardzību pret datu zudumu — tātad jautājumus, kas nav tieši saistīti ar mašīnas lietotāja drošību, bet gan ar kiberdrošību kā tādu. Praksē tas nozīmē, ka mašīnai, kas ir produkts ar digitāliem elementiem, vienlaikus būs jāatbilst abu regulu prasībām. Šādas mašīnas ražotājam jāizpilda abu tiesību aktu prasības — gan tās, kas attiecas uz drošu konstrukciju, piemēram, no mehānikas viedokļa (Mašīnu regula), gan tās, kas attiecas uz programmatūras, tīklu un datu aizsardzību (CRA). Atbilstība vienai regulai automātiski nenozīmē atbilstību otrai, jo vērtēšanas kritēriji ir atšķirīgi.

No atbilstības novērtēšanas procedūras viedokļa produktam, uz kuru attiecas vairāk nekā viena ES regula, pirms CE marķējuma piešķiršanas jāatbilst visiem piemērojamajiem noteikumiem. Piemēram, ražotājam, kas tirgū laiž kollaboratīvu rūpniecisko robotu ar attālinātās uzraudzības funkciju, būs jāpārliecinās, ka robots atbilst mašīnu drošuma būtiskajām prasībām (regula 2023/1230) un kiberdrošības būtiskajām prasībām (Regula (ES) 2024/2847). Šādas mašīnas ES atbilstības deklarācijā jānorāda abi tiesību akti. Savukārt tehniskās uzturēšanas vadītājam, kurš iegādājas šādu iekārtu, jāpārbauda gan atbilstība “mašīnu CE”, gan “kiber CE”. Praksē CE marķējums ir viens, taču dokumentācijai ir jāpierāda atbilstība visiem jaunās pieejas noteikumiem, kas attiecas uz konkrēto izstrādājumu.

Ir vērts norādīt dažus piemērus, uz ko attiecas kura regula:

• Tikai elektroniskas IT ierīces (bez mašīnu funkcijām) – piemēram, maršrutētāji, viedtālruņi, IP kameras – neietilpst Mašīnu regulas darbības jomā (jo tās nav mašīnas), taču uz tām attiecas CRA, ja tām ir digitāli elementi un tās sazinās tīklā. Šajā gadījumā galvenā nozīme ir kiberdrošībai, savukārt lietotāja fiziskās drošības jautājumi nav būtiski (izņemot vispārīgās darba aizsardzības/EMC prasības).
• Tradicionālas mašīnas bez digitāla savienojuma – piemēram, hidrauliskā prese ar pilnībā analogu vadību – ietilpst Mašīnu regulas darbības jomā (jāizpilda prasības attiecībā uz konstrukciju, aizsargiem, drošības ķēdēm utt.), bet tieši neietilpst CRA darbības jomā, jo tajās nav digitālu elementu, kas sazinās ar ārējo vidi. Protams, ja mašīnā ir vadības elektronika, tā pati par sevi var tikt uzskatīta par digitālu aprīkojumu – tomēr, kamēr nav savienojamības (piemēram, nav tīkla portu, nav attālinātas piekļuves), tā neatbilst CRA izpratnē dotajai definīcijai “produkts ar digitāliem elementiem”.
• Mūsdienīgas mašīnas ar digitālām funkcijām – piemēram, roboti, ražošanas līnijas ar IoT, AGV ratiņi, kas sazinās ar pārvaldības sistēmu – ietilpst abu aktu darbības jomā. Šeit Mašīnu regula cita starpā prasīs tradicionālo risku novērtējumu (lai mašīna neradītu mehāniskus/elektriskus apdraudējumus), kā arī prasību, lai, piemēram, attālināta piekļuve robotam nevarētu izraisīt bīstamu situāciju (t. i., kiberdraudu ņemšanu vērā drošības kontekstā). Savukārt CRA papildus noteiks pienākumu nodrošināt, lai šim robotam būtu vispārēji aizsargāta programmatūra (piemēram, šifrēta datu pārraide, unikālas paroles), lai ražotājs to atjauninātu un lai ievainojamības atklāšanas gadījumā tā tiktu novērsta un par to tiktu ziņots iestādēm. Tādēļ šāda aprīkojuma ražotājam jānodrošina noturība pret kiberuzbrukumiem gan cilvēku drošības, gan darbības nepārtrauktības, datu konfidencialitātes u. c. aspektos.

Apkopojot, Mašīnu regula un CRA nekonkurē savā starpā, bet gan viena otru papildina. Pirmā rūpējas par mašīnu funkcionālo drošību (tostarp par minimālajām kiberdrošības prasībām, lai mašīna būtu droša), savukārt otrā – par plašāku produkta kiberdrošību visā tā dzīves ciklā. Vadītājiem tas nozīmē nepieciešamību nodrošināt daudzdimensionālu atbilstību: viedam produktam jābūt gan konstruktīvi drošam, gan kiberdrošam. Tāpēc ir jāseko abu regulējumu prasībām. Par laimi, to piemērošanas termiņi ir līdzīgi – arī Mašīnu regulu praksē sāks piemērot no 2027. gada janvāra (aizstājot direktīvu), bet CRA – no 2027. gada beigām. Tāpēc sagatavošanos abām var apvienot vienotā atbilstības programmā. Piemēram, projektējot jaunu mašīnu, jau uzreiz ņemt vērā gan mašīnu drošības prasības, gan IT aizsardzības pasākumus; prototipa testēšanas laikā pārbaudīt ne tikai atbilstību tādiem standartiem kā ISO 13849 (safety), bet arī, piemēram, vadības sistēmas penetrācijas testus. Ar šādu pieeju uzņēmums nodrošinās sev visaptverošu atbilstību un izvairīsies no situācijas, kad viena tiesību akta prasības tiek izpildītas uz otra ignorēšanas rēķina.

Regula (ES) 2024/2847 noteikti ir izaicinājums ražotājiem un piegādātājiem, taču vienlaikus tā ir nepieciešama atbilde uz mūsdienu realitāti. Mašīnas un iekārtas kļūst arvien viedākas un savstarpēji savienotākas – noteikumiem tam ir jātiek līdzi. Vadītāji, kuri jau tagad sāks sagatavošanās darbus, iegūs priekšrocību: viņu uzņēmumi ne tikai bez sarežģījumiem iekļausies jaunajā tiesiskajā regulējumā, bet arī palielinās savu produktu konkurētspēju un uzticamību klientu acīs, kuriem digitālā drošība kļūst tikpat svarīga kā cena vai funkcionalitāte. Ar atbilstošu mašīnu drošības un IT ekspertu atbalstu CRA prasību ieviešanu var uztvert kā nepārtrauktas pilnveides elementu, nevis tikai kā regulatīvu pienākumu. Rezultātā ieguvējs būs gan uzņēmums, gan galalietotāji, gan visa digitālā ekosistēma. Drošāki produkti nozīmē mazāku dīkstāvju, uzbrukumu un zaudējumu risku – un tas ir mērķis, kas ir svarīgs gan likumdevējam, gan atbildīgiem tirgus dalībniekiem.