Regulamentul (UE) 2024/2847 – Actul privind reziliența cibernetică (CRA)

Regulamentul (UE) 2024/2847 – Actul privind reziliența cibernetică (Cyber Resilience Act, CRA) este un nou regulament al UE care introduce cerințe orizontale de securitate cibernetică pentru „produsele cu elemente digitale”. A fost adoptat în octombrie 2024 și va deveni aplicabil direct în toate statele UE, după perioadele de tranziție, de la sfârșitul anului 2027. Dacă ești manager în industrie – fie că răspunzi de mentenanță, achiziții sau conformitate – merită să înțelegi deja de acum ce produse intră sub incidența acestui regulament, ce obligații noi impune producătorilor, importatorilor și distribuitorilor și cum să pregătești compania pentru schimbările care urmează. Mai jos prezentăm informațiile esențiale într-o formă practică, fără jargon juridic, dar cu precizie tehnică – astfel încât să fie mai ușor să iei măsurile de pregătire potrivite.

Domeniul de aplicare: ce produse sunt vizate de Actul privind reziliența cibernetică?

Regulamentul (UE) 2024/2847 se aplică tuturor „produselor cu elemente digitale” puse la dispoziție pe piața UE, a căror utilizare previzibilă include conectarea la un alt dispozitiv sau la o rețea (direct sau indirect, fizic ori logic). Cu alte cuvinte, majoritatea echipamentelor sau aplicațiilor software care pot comunica cu alte sisteme intră sub noile cerințe. În practică, este vorba, printre altele, despre dispozitive IoT și electronice de consum (de ex. smartwatch-uri, telefoane mobile, electrocasnice și echipamente audio-video inteligente, monitoare pentru bebeluși), dispozitive purtabile (de ex. brățări fitness), echipamente industriale cu funcții de rețea (senzori și mașini industriale conectate la rețea) și diverse tipuri de software (sisteme de operare, aplicații mobile și pentru calculator, software de business etc.). Este important de reținut că software-ul comercializat separat (ca produs) intră, de asemenea, sub incidența CRA, la fel ca serviciile de prelucrare a datelor la distanță care constituie parte integrantă a produsului – de exemplu, un serviciu cloud care controlează un dispozitiv smart home va fi tratat ca parte a produsului și trebuie să îndeplinească cerințele de securitate.

Regulamentul are un domeniu de aplicare foarte larg, dar prevede și excluderi pentru anumite categorii de produse care sunt deja reglementate prin norme sectoriale proprii. CRA nu se aplică, printre altele, dispozitivelor medicale (reglementate prin regulamentele MDR 2017/745 și 2017/746), vehiculelor și echipamentelor acestora (reglementate, printre altele, prin Regulamentul 2019/2144 privind omologarea vehiculelor), aeronavelor (Regulamentul 2018/1139 privind aviația) și nici echipamentelor maritime (Directiva 2014/90/UE). Aceste produse fac obiectul unor reglementări separate, care includ adesea deja cerințe adaptate sectorului respectiv, motiv pentru care au fost excluse din domeniul CRA. În plus, noile dispoziții nu se aplică echipamentelor și software-ului exclusiv militar sau destinate securității naționale (precum și prelucrării informațiilor clasificate). Sunt excluse și piesele de schimb furnizate ca înlocuitori ai unor componente identice – dacă produsul original a fost introdus legal pe piață, piesa identică nu trebuie să respecte separat CRA.

Merită remarcat că așa-numitul software liber și open source nu va intra sub incidența CRA, atât timp cât nu este pus la dispoziție în cadrul unei activități comerciale. Așadar, dacă un anumit software este dezvoltat și publicat gratuit, în afara circuitului comercial, creatorii săi (de ex. comunitatea open source) nu sunt considerați „producători” în sensul regulamentului și nu le revin obligațiile descrise mai jos. În schimb, dacă o companie utilizează o componentă open source în propriul produs comercial, răspunderea pentru îndeplinirea cerințelor de securitate revine producătorului produsului final. Pe scurt, CRA vizează în principal produsele digitale realizate și comercializate în mod profesionist, care ajung la utilizatorii finali pe piața internă a UE. Pentru un context mai larg, vezi și Actul privind reziliența cibernetică (CRA) – ce se știe deja și cum să pregătești produsul înainte de publicarea standardelor armonizate.

De ce a fost introdus CRA? Noi amenințări, un gol de reglementare și lanțul de aprovizionare

Uniunea Europeană a identificat o nevoie urgentă de a consolida reziliența cibernetică a produselor digitale în fața amenințărilor tot mai numeroase. În ultimii ani, numărul și diversitatea dispozitivelor conectate la internet au crescut exploziv – de la sisteme IoT industriale din fabrici până la echipamente inteligente pentru locuință. Din păcate, nivelul de securitate cibernetică al acestor produse este adesea scăzut, lucru vizibil prin vulnerabilități frecvente și prin furnizarea insuficientă și neuniformă a actualizărilor de securitate. Mulți producători nu au tratat până acum securitatea ca prioritate pe întreg ciclul de viață al produsului, iar utilizatorii nu au adesea nici conștientizarea, nici informațiile necesare pentru a ști ce dispozitive sunt sigure, cât timp vor primi actualizări și cum să le utilizeze în siguranță. Această combinație de factori duce la un risc crescut de atacuri cibernetice.

Actul privind reziliența cibernetică urmărește să acopere un gol de reglementare – până acum au lipsit, la nivelul UE, cerințe unitare și obligatorii privind securitatea digitală a produselor. Au existat, ce-i drept, inițiative precum schemele de certificare a securității ICT (în temeiul Actului privind securitatea cibernetică 2019/881) sau cerințele directivei NIS2 pentru sectoarele critice, însă niciun act normativ nu impunea în mod direct obligația de „cybersecurity by design” pentru toate dispozitivele și programele software introduse pe piață. CRA creează tocmai un astfel de cadru universal – impune ca echipamentele și software-ul să fie proiectate, fabricate și menținute ținând cont de măsuri solide de protecție pe întregul ciclu de viață. Scopul este ca pe piață să ajungă produse cu mai puține vulnerabilități, iar producătorii să asigure eliminarea rapidă a noilor amenințări (de exemplu, prin patch-uri de securitate), în loc să lase utilizatorii cu dispozitive vulnerabile.

Problema rezilienței cibernetice are și o dimensiune transfrontalieră și de lanț de aprovizionare. În epoca interconectării generalizate, un incident apărut într-un dispozitiv aparent nesemnificativ poate deveni vector de atac asupra întregii organizații sau a partenerilor de afaceri. Un singur senzor IoT infectat într-o hală de producție poate deschide accesul către rețeaua fabricii; o vulnerabilitate dintr-o aplicație populară poate fi exploatată la nivel global în doar câteva minute. După cum s-a subliniat în motivarea regulamentului, un incident cibernetic într-un singur produs se poate propaga de-a lungul lanțului de aprovizionare dincolo de granițele unei singure țări în câteva minute. Costurile unor astfel de atacuri nu sunt suportate doar de producători și utilizatori, ci de întreaga societate – perturbări ale infrastructurii critice, pierderi financiare, afectarea siguranței publice. Regulile comune și obligatorii aplicabile în întreaga UE trebuie să ridice nivelul general de protecție și să prevină situațiile în care cea mai slabă verigă (un produs lipsit de reziliență) îi pune în pericol pe toți.

Un motiv suplimentar este creșterea încrederii în produsele digitale și asigurarea unor condiții concurențiale echitabile. În prezent, producătorii care investesc în securitate by design pierd uneori la preț în fața celor care ignoră aceste aspecte. CRA trebuie să facă astfel încât securitatea cibernetică să devină un standard de calitate – toți vor trebui să îndeplinească cerințe minime, ceea ce va echilibra șansele și va reduce costurile sociale ale atacurilor (care astăzi sunt transferate asupra victimelor). În consecință, acest lucru ar trebui să crească reziliența întregii piețe a UE și încrederea clienților în dispozitivele moderne cu elemente digitale. Actul se înscrie și în strategia mai amplă a UE (alături de RODO, NIS2, DORA etc.) de consolidare a securității cibernetice a serviciilor și produselor ca fundament al economiei digitale.

Regulamentul (UE) 2024/2847: principalele obligații pentru producători, importatori și distribuitori

Noul regulament introduce o serie de obligații concrete pentru operatorii economici implicați în lanțul de aprovizionare al produselor cu elemente digitale. Întinderea răspunderii depinde de rolul fiecăruia – cele mai multe cerințe îi vizează pe producători, însă și importatorii, și distribuitorii au sarcini importante. Mai jos prezentăm pe scurt obligațiile-cheie din perspectiva unui manager preocupat de conformitatea produselor companiei cu cerințele legale.

Obligațiile producătorilor

Producătorul (precum și entitatea care introduce produsul sub propria marcă sau îl modifică – aceasta este, de asemenea, tratată ca producător) poartă răspunderea principală pentru îndeplinirea cerințelor CRA. Printre cele mai importante sarcini ale sale se numără:

• Asigurarea conformității produsului cu cerințele esențiale de securitate cibernetică prevăzute în anexa I la regulament. În practică, aceasta înseamnă că produsul trebuie să aibă, încă din faza de proiectare și construcție, caracteristici care să garanteze un nivel adecvat de securitate digitală, proporțional cu riscul asociat produsului respectiv. Regulamentul enumeră o serie de cerințe tehnice concrete – printre care absența vulnerabilităților cunoscute la momentul introducerii pe piață, utilizarea unor configurații implicite sigure (de exemplu, evitarea parolelor implicite), criptarea acolo unde este necesară, protecții împotriva accesului neautorizat, protecția datelor cu caracter personal ale utilizatorului, rezistența la atacuri care perturbă funcțiile (de exemplu, atacuri DoS), precum și posibilitatea efectuării unei resetări la setările din fabrică. Produsul trebuie proiectat astfel încât să își limiteze cât mai mult „suprafața de atac” – de exemplu, să nu aibă porturi sau servicii deschise inutile, care cresc expunerea la amenințări cibernetice. Aceste cerințe esențiale (partea I din anexa I CRA) constituie o listă de verificare a caracteristicilor de securitate pe care trebuie să le îndeplinească orice produs digital.
• Instituirea unui proces de gestionare a vulnerabilităților și incidentelor – producătorul trebuie să se ocupe activ de securitatea produsului după vânzarea acestuia, pe întreaga perioadă declarată de suport. În partea II a anexei I sunt stabilite cerințele privind procesul de gestionare a vulnerabilităților (vulnerability handling): testare și monitorizare periodică pentru identificarea unor noi breșe, primirea raportărilor privind vulnerabilitățile (de exemplu, de la cercetători sau utilizatori), precum și remedierea/corectarea rapidă a vulnerabilităților detectate prin furnizarea de actualizări de securitate. Producătorul trebuie să aplice o politică de divulgare coordonată a vulnerabilităților (coordinated disclosure) – adică să aibă un punct de contact desemnat la care pot fi raportate problemele și proceduri privind modul de reacție la aceste raportări. Este important ca actualizările să elimine vulnerabilitățile fără întârziere și să fie distribuite în mod sigur (de exemplu, semnate digital). Important este și faptul că producătorul este obligat să asigure suport și actualizări de securitate pentru o perioadă corespunzătoare ciclului de viață previzibil al produsului, de minimum 5 ani (cu excepția cazului în care natura produsului justifică o perioadă mai scurtă). Cu alte cuvinte, dacă echipamentul nostru este destinat în mod obișnuit să fie utilizat de clienți ~5+ ani, nu putem înceta emiterea de patch-uri după un an sau doi – va fi necesar un suport post-vânzare pe mai mulți ani, astfel încât utilizatorul să nu rămână cu un dispozitiv vulnerabil.
• Efectuarea evaluării riscului de securitate cibernetică – înainte de introducerea pe piață a unui produs cu elemente digitale, producătorul trebuie să realizeze o analiză sistematică a riscurilor asociate amenințărilor cibernetice pentru acel produs. Evaluarea riscului ar trebui să facă parte din procesul de proiectare (security by design) și să ia în considerare, printre altele, utilizarea prevăzută a produsului, posibilele utilizări necorespunzătoare, condițiile de utilizare (mediul IT, rețeaua, tipul de date pe care dispozitivul le prelucrează). Pe baza acestei analize trebuie planificate măsuri de protecție adecvate și integrate în construcție. Documentația privind evaluarea riscului în spațiul cibernetic devine parte a documentației tehnice a produsului și trebuie actualizată dacă apar noi amenințări. Producătorul are obligația de a păstra documentația cel puțin 10 ani de la introducerea produsului pe piață (iar dacă perioada declarată de suport este mai mare de 10 ani – în mod corespunzător, mai mult). Evaluarea riscului nu este o activitate singulară – ea trebuie verificată și actualizată atunci când este necesar, în special dacă sunt identificate noi vulnerabilități sau se schimbă contextul de utilizare al produsului.
• Supravegherea componentelor externe – producătorul trebuie să dea dovadă de diligență atunci când utilizează componente provenite de la terți, inclusiv biblioteci open source. Trebuie să se asigure că componentele externe (software și hardware) nu compromit securitatea cibernetică a produsului în ansamblu. În practică, aceasta înseamnă necesitatea de a controla versiunile și actualizările bibliotecilor utilizate, de a monitoriza vulnerabilitățile cunoscute (de exemplu, publicate în CVE) din aceste componente și de a le actualiza/înlocui atunci când apar breșe. Dacă în produs a fost utilizat software open source și este detectată o vulnerabilitate în acesta, producătorul are obligația de a informa entitatea responsabilă de mentenanța acelui open source (de exemplu, proiectul open source) cu privire la problema apărută, iar dacă elimină vulnerabilitatea pe cont propriu – să transmită comunității informații despre corecția aplicată. Scopul este implicarea producătorilor în ecosistemul remedierii coordonate a vulnerabilităților și în cazul componentelor open source.
• Evaluarea formală a conformității și documentele – înainte ca produsul să ajungă pe piață, producătorul trebuie să efectueze procedura de evaluare a conformității cu cerințele CRA și să întocmească documentația care confirmă îndeplinirea cerințelor. În cazul majorității produselor „obișnuite” (care nu sunt încadrate în categoria de risc ridicat), va fi suficientă verificarea internă (evaluarea internă) și pregătirea documentației tehnice care să conțină, printre altele, descrierea produsului, rezultatele analizei de risc, lista măsurilor de securitate aplicate, procedurile de testare și actualizare etc. Ulterior, producătorul emite declarația UE de conformitate, în care declară că produsul îndeplinește toate cerințele CRA aplicabile, și aplică pe produs marcajul CE. Atenție: dacă un anumit produs a fost clasificat drept „important” sau „critic” din perspectiva securității cibernetice (Annex III și IV CRA), i se pot aplica proceduri mai stricte de evaluare a conformității. Pentru produsele importante din clasa II și pentru cele critice va fi necesară certificarea de către o terță parte, adică testare și certificat emise de un organism notificat (de exemplu, un laborator acreditat). Pentru produsele importante din clasa I este permisă autocertificarea doar dacă există standarde armonizate adecvate, pe care producătorul le aplică – în caz contrar, este necesară și aici implicarea unei terțe părți. Prin urmare, managerul ar trebui să stabilească în ce categorie se încadrează produsul companiei și dacă este necesară planificarea unei certificări externe (ceea ce poate influența calendarul introducerii produsului pe piață).
• Monitorizarea securității după introducerea pe piață și raportarea – o noutate introdusă de CRA este obligația de raportare a problemelor grave de securitate către autoritățile competente. Producătorul trebuie să notifice fiecare vulnerabilitate exploatată activ a produsului său, precum și fiecare incident grav care afectează securitatea produsului, către CSIRT-ul național (echipa de răspuns) desemnat ca coordonator și către agenția ENISA. Termenul pentru raportare este foarte scurt – 24 de ore de la detectarea vulnerabilității/evenimentului (similar rigorilor din GDPR sau NIS2). Raportările se vor face printr-o platformă europeană unică administrată de ENISA. Obligația de raportare va intra în vigoare mai devreme decât restul cerințelor (septembrie 2026 – vezi termenele de mai jos) și se va aplica tuturor produselor de pe piață din acel moment. De aceea, producătorul trebuie să aibă proceduri interne capabile să detecteze incidentul/vulnerabilitatea și să transmită, în termen de o zi, informațiile cerute de regulament. Scopul este de a oferi autorităților de supraveghere o imagine de ansamblu asupra amenințărilor emergente și de a coordona reacția (de exemplu, avertizarea altor utilizatori atunci când un anumit produs are o vulnerabilitate critică).

Obligațiile de mai sus impun adesea schimbări organizaționale semnificative – de la implementarea Secure SDLC în departamentul R&D, la noi politici de mentenanță și suport pentru produse, precum și documentație suplimentară și instruirea personalului. În schimb, compania câștigă o mai mare certitudine că produsul său nu va deveni sursa unui incident cibernetic grav, precum și conformitatea cu legislația care urmează să intre în vigoare, ceea ce va permite continuarea vânzărilor pe piața UE.

Regulamentul (UE) 2024/2847: Obligațiile importatorilor și distribuitorilor

Entitățile care aduc în UE produse cu elemente digitale din afara Uniunii (importatori) sau le revând ulterior pe piața unională (distribuitori) trebuie, la rândul lor, să se asigure că aceste produse sunt conforme cu CRA. Rolul lor constă în principal în verificare și reacție la eventualele neconformități.

Importatorul, înainte de introducerea produsului pe piața UE, trebuie să verifice dacă producătorul și-a îndeplinit obligațiile – cu alte cuvinte, dacă produsul poartă marcajul CE și este însoțit de declarația UE de conformitate, dacă au fost incluse instrucțiunile și informațiile de siguranță și dacă producătorul a elaborat documentația tehnică necesară. Importatorul nu este obligat să testeze el însuși securitatea cibernetică a produsului, însă dacă are îndoieli justificate cu privire la conformitatea produsului cu cerințele (de exemplu, lipsa marcajului CE, lipsa informațiilor privind perioada de suport etc.), nu ar trebui să pună produsul la dispoziție pe piață până când nu se asigură că neconformitatea a fost eliminată. Dacă se constată că produsul nu îndeplinește cerințele CRA, importatorul este obligat să informeze autoritățile de supraveghere și să ia măsuri corective – să asigure aducerea produsului în conformitate, iar dacă acest lucru nu este posibil, să îl retragă din circuitul comercial sau de pe piață. Importatorii, la fel ca producătorii, trebuie să păstreze o copie a declarației de conformitate și să se asigure că documentația tehnică este disponibilă pentru autorități la cerere. De asemenea, trebuie să își indice datele de contact pe produs (sau pe ambalaj) și să se asigure că produsul este marcat corespunzător. În practică, rolul importatorului se reduce la o poartă de siguranță – el trebuie să împiedice distribuirea în UE a produselor care nu au „documentele” ce atestă respectarea CRA.

Distribuitorii (angrosiști naționali, comercianți cu amănuntul etc.) se află într-o situație similară cu cea a importatorilor, cu diferența că verifică îndeplinirea cerințelor atât de către producător, cât și, dacă este cazul, de către importator, atunci când produsul provine din afara UE. Prin urmare, înainte de revânzare, distribuitorul ar trebui să verifice dacă produsul poartă marcajul CE, dacă este însoțit de declarația sau instrucțiunile cerute de lege și dacă nu au fost publicate comunicări potrivit cărora modelul respectiv nu respectă cerințele de siguranță. În caz de îndoială, are și el obligația de a suspenda vânzarea până la clarificarea situației. Dacă apreciază (sau este informat) că produsul prezintă un risc grav sau nu îndeplinește cerințele CRA, ar trebui să informeze producătorul sau importatorul, precum și autoritățile de supraveghere, și să coopereze la măsurile corective (de exemplu, în cadrul acțiunilor de retragere de pe piață).

Din perspectiva unui manager de achiziții, aceste reglementări înseamnă necesitatea unei vigilențe sporite la alegerea furnizorilor de echipamente/software. Este necesar să vă asigurați că partenerii din afara UE livrează produse deja conforme cu CRA, pentru că altfel compania noastră (în calitate de importator) va răspunde pentru aceste lipsuri. Pentru distribuitor (de exemplu, o companie care comercializează automatizări industriale) se adaugă obligația de a monitoriza dacă produsele diferitelor mărci din ofertă au declarații de conformitate actualizate și îndeplinesc cerințele – în practică, acest lucru va necesita o colaborare strânsă cu producătorii și o reacție rapidă la orice alerte de securitate privind echipamentele vândute.

Merită remarcat: dacă importatorul sau distribuitorul introduce produsul sub propriul logo/brand ori modifică produsul (de exemplu, îi schimbă funcționalitatea, software-ul sau configurația într-un mod relevant pentru securitatea cibernetică), atunci, potrivit regulamentului, devine el însuși producătorul acelui produs. În acest caz, trebuie să preia toate obligațiile producătorului (să efectueze evaluarea conformității, să emită propria declarație etc.). Această situație privește, de exemplu, companiile care integrează sisteme și vând echipamente OEM sub propriul brand – acestea trebuie să fie foarte atente, deoarece, din punct de vedere formal, răspund pentru conformitate la fel ca producătorul inițial.

Termene de intrare în vigoare și perioade de tranziție

Regulamentul (UE) 2024/2847 a fost publicat în Jurnalul Oficial la 20 noiembrie 2024. A intrat în vigoare la 10 decembrie 2024 (la 20 de zile de la publicare), însă obligațiile principale vor deveni aplicabile abia după 36 de luni de la această dată. Legiuitorul a prevăzut o perioadă de tranziție lungă pentru a oferi industriei timp de adaptare. Iată datele-cheie:

• 11 septembrie 2026 – din această zi vor intra în vigoare obligațiile de raportare a vulnerabilităților și incidentelor. Producătorul fiecărui produs cu elemente digitale prezent pe piața UE va trebui să raporteze autorităților competente toate vulnerabilitățile exploatate activ, precum și incidentele grave de securitate care privesc produsul său. Această dată survine la 21 de luni de la intrarea în vigoare a CRA și înseamnă că, încă din 2026, companiile trebuie să aibă proceduri de monitorizare a securității și de raportare a problemelor. Acest lucru nu depinde de momentul în care produsul a fost introdus pe piață – se aplică și produselor vândute înainte de 2026, care sunt încă utilizate. Cu alte cuvinte, chiar dacă un dispozitiv a fost introdus pe piață, de exemplu, în 2025 (înainte de aplicarea regulamentului), iar în septembrie 2026 se descoperă în el o vulnerabilitate critică, producătorul are obligația să o raporteze și să o remedieze.
• 11 iunie 2026 – din această zi urmează să se aplice dispozițiile privind organismele notificate și organismele de evaluare a conformității. Până la jumătatea anului 2026, statele membre vor pregăti sistemul de desemnare și notificare a organismelor care vor fi autorizate să certifice produsele (importante și critice) din perspectiva îndeplinirii cerințelor CRA. Pentru producători, este esențial ca, în a doua jumătate a anului 2026, să existe deja infrastructura necesară pentru efectuarea testelor și certificărilor cerute.
• 11 decembrie 2027 – aplicarea deplină a regulamentului CRA. Din această zi, niciun produs cu elemente digitale care nu îndeplinește cerințele CRA nu va mai putea fi introdus legal pe piață în UE. Acest termen (3 ani de la intrarea în vigoare) este data-limită pentru adaptarea produselor și proceselor. După 11.12.2027, toate dispozitivele și programele software noi vândute în UE trebuie să fie proiectate, fabricate și menținute în conformitate cu CRA – în caz contrar, compania se expune unor sancțiuni serioase. Merită subliniat că prevederile oferă o anumită derogare pentru produsele deja aflate pe piață: dacă un anumit produs (un exemplar concret) a fost deja pus la dispoziție pe piață înainte de 11 decembrie 2027, acesta va putea continua să circule pe piață fără a respecta CRA. Totuși, acest lucru se aplică doar exemplarelor individuale – tipul de produs proiectat înainte de CRA nu beneficiază automat de o excludere. Fiecare lot nou, fiecare exemplar nou introdus la vânzare după această dată trebuie să fie conform cu CRA, cu excepția cazului în care se afla deja efectiv în circuitul comercial anterior (ceea ce, în practică, înseamnă, de exemplu, stocul aflat la distribuitor, care cumpărase deja marfa înainte de termen). Așadar, cerințele nu pot fi ocolite prin producție „în avans” și vânzare după 2027 – fiecare produs, în momentul introducerii pe piață, este supus cerințelor în vigoare la acel moment. O excepție o reprezintă încă valabilele certificate UE de examinare de tip emise înainte de această dată în baza altor reglementări – acestea vor rămâne valabile până în iunie 2028, cu excepția cazului în care a fost stabilit un termen mai scurt.

Pentru companii, concluzia practică este că termenul-limită real este sfârșitul anului 2027. Din 2028, nu vom mai putea vinde în UE dispozitive care nu îndeplinesc cerințele CRA. În schimb, încă din 2026 trebuie să fim pregătiți pentru noile obligații de raportare a incidentelor. Timpul rămas trebuie folosit pentru analiza și adaptarea produselor. Deși 3 ani par, la prima vedere, o perioadă lungă, schimbările se pot dovedi profunde – este mai bine ca lucrările să înceapă din timp. Mai jos prezentăm o listă de verificare a acțiunilor pe care un manager ar trebui să le ia în considerare atunci când își pregătește organizația pentru a îndeplini cerințele Actului privind reziliența cibernetică (CRA).

Regulamentul (UE) 2024/2847: cum să te pregătești pentru 2026/2027 – listă de verificare pentru manager

• Identifică produsele care intră sub incidența CRA – Întocmește o listă cu produsele companiei care sunt „produse cu elemente digitale” (hardware sau software care se conectează la rețea/la alte dispozitive). Pentru fiecare, stabilește dacă poate fi considerat important sau critic în sensul regulamentului (Annex III/IV) – de exemplu, dacă îndeplinește funcții de siguranță esențiale sau dacă compromiterea lui poate provoca prejudicii pe scară largă. De această clasificare depinde, printre altele, procedura de evaluare a conformității necesară (inclusiv dacă va fi nevoie de implicarea unei părți terțe).
• Familiarizează-te cu cerințele și standardele – Analizează cerințele esențiale de securitate cibernetică din anexa I a CRA și raportează-le la produsele tale. Verifică dacă există deja standarde armonizate sau standarde de industrie relevante care pot facilita îndeplinirea cerințelor (de exemplu, standardele din familia IEC 62443 pentru securizarea sistemelor de automatizări industriale pot fi utile la proiectarea măsurilor de protecție pentru mașini). Urmărește permanent evoluția lucrărilor de standardizare – este posibil să apară orientări care să ușureze implementarea cerințelor CRA în domeniul tău.
• Efectuează o analiză a lacunelor (gap analysis) – Compară starea actuală a produselor și proceselor tale cu noile cerințe. Evaluează în ce măsură nivelul actual de protecție îndeplinește cerințele (de exemplu, dacă dispozitivele au mecanisme de autentificare, criptare, actualizări sigure etc.). Analizează procesul de dezvoltare software din companie – dacă se aplică principiile de secure coding, dacă se efectuează teste de penetrare, cât de repede reacționați la vulnerabilitățile raportate. Identifică lipsurile și ariile de îmbunătățire atât la nivel de organizare (proceduri), cât și la nivel de tehnologie (funcții de securitate).
• Adaptează proiectarea și dezvoltarea produselor – Dacă analiza lacunelor evidențiază deficiențe, planifică implementarea mecanismelor și practicilor care lipsesc. Acest lucru poate include modificări ale arhitecturii produsului (de exemplu, adăugarea unui modul de criptare, securizarea interfețelor de comunicație), îmbunătățirea procesului SDLC (Software Development Life Cycle) prin includerea unor elemente precum threat modeling, code review din perspectiva securității, teste de fuzzing etc., precum și stabilirea unor noi politici de securitate a produsului. Asigură-te că echipa de R&D tratează securitatea cibernetică ca pe o cerință de proiectare la fel de importantă ca funcționalitatea – regulamentul impune abordarea „security by design/default”.
• Planifică sistemul de actualizări și suport – Analizează dacă firma ta este pregătită să susțină produsele pe o perioadă suficient de lungă. Poate fi necesar să creezi un calendar și să aloci resurse pentru emiterea de actualizări regulate de firmware timp de câțiva ani de la vânzare. Verifică dacă produsele au posibilități tehnice de actualizare (de la distanță sau local) – dacă nu, aceasta este o problemă serioasă, deoarece CRA impune posibilitatea eliminării vulnerabilităților după vânzare. Stabilește o perioadă de suport realistă (minimum 5 ani) și comunic-o utilizatorilor. Pregătește, de asemenea, un plan de asistență tehnică pentru gestionarea sesizărilor de securitate venite de la clienți.
• Pregătește documentația necesară – Asigură-te că pentru fiecare produs va exista o documentație tehnică completă din perspectiva securității cibernetice. Aceasta ar trebui să includă, printre altele, raportul de evaluare a riscurilor, descrierea arhitecturii de securitate, lista măsurilor aplicate (de exemplu, criptare, autorizare), rezultatele testelor de securitate, procedurile de actualizare, politica de divulgare a vulnerabilităților etc. Această documentație va constitui baza pentru demonstrarea conformității în cazul unui control (și, eventual, pentru prezentarea către organismul de certificare). Organizează și procesul de arhivare a acesteia pentru perioada cerută (10 ani sau mai mult). În plus, pregătește modele de declarație UE de conformitate pentru produsele tale – ținând cont că acestea trebuie să includă noua formulare care confirmă îndeplinirea tuturor cerințelor regulamentului.
• Ai grijă de lanțul de aprovizionare – Ia legătura cu furnizorii de componente (în special software, module IoT etc.) pentru a discuta aspectele legate de conformitatea cu CRA. Actualizează contractele cu furnizorii, introducând clauze privind nivelul necesar de securitate cibernetică al componentelor și obligația de a informa despre vulnerabilitățile detectate. Asigură-te că ai acces la informații despre proveniența și versiunile componentelor (menține un SBOM – Software Bill of Materials pentru produse, ceea ce va facilita urmărirea vulnerabilităților din bibliotecile dependente). Dacă utilizezi servicii cloud externe asociate produsului, verifică măsurile lor de securitate și conformitatea cu NIS2 (deoarece SaaS poate intra sub incidența NIS2 în loc de CRA). Securitatea cibernetică a produsului înseamnă și securitatea tuturor elementelor din care este alcătuit – furnizorii trebuie să acționeze în aceeași direcție.
• Instruiește personalul și informează clienții – Noile obligații fac ca diferite departamente ale companiei să aibă nevoie de cunoștințe de bază despre CRA. Organizează instruiri pentru departamentele de proiectare, calitate, IT și service privind cerințele regulamentului și procedurile interne (de exemplu, cum se reacționează la o raportare de vulnerabilitate, cum se documentează modificările din perspectiva conformității). Merită, de asemenea, să informezi departamentele de achiziții și vânzări, astfel încât să fie conștiente de noile marcaje și declarații (de exemplu, necesitatea de a verifica dacă un furnizor din afara UE a furnizat declarația de conformitate). Ia în calcul și pregătirea unor informații pentru clienți despre politica de securitate a produselor voastre – transparența în acest domeniu poate deveni un avantaj comercial (utilizatorii vor începe să acorde atenție faptului dacă un anumit produs îndeplinește cerințele de securitate cibernetică și are actualizări garantate).
• Monitorizează orientările și termenele – Urmărește comunicările Comisiei Europene și ale autorităților naționale referitoare la CRA. Pot apărea acte delegate sau de punere în aplicare care să clarifice anumite aspecte (de exemplu, excluderi sectoriale – Comisia poate decide excluderea de sub incidența CRA a produselor care sunt deja acoperite de cerințe sectoriale echivalente). Urmărește și procesul de publicare a standardelor armonizate – aplicarea unui standard va fi cea mai simplă cale pentru prezumția de conformitate. Asigură respectarea termenelor menționate: septembrie 2026 (pregătire pentru raportarea incidentelor) și decembrie 2027 (conformitate deplină pentru toate produsele noi). Ideal este să stabilești repere interne cu mult mai devreme – de exemplu, finalizarea analizei preliminare de risc până la jumătatea lui 2025, adaptarea procesului de dezvoltare până la sfârșitul lui 2025, teste de conformitate și pre-certificări în 2026 etc., astfel încât să intri în 2027 cu îndeplinirea cerințelor aproape finalizată. O surpriză în ultimul moment poate duce la suspendarea vânzărilor, de aceea o abordare proactivă este esențială.

Faptul că faceți din timp această „temă pentru acasă” vă va ajuta să evitați graba și tensiunea din 2027, precum și riscurile aferente. În loc să priviți CRA doar ca pe o obligație, merită să îl tratați ca pe o oportunitate de a crește nivelul general de securitate al produselor – ceea ce protejează atât compania, cât și clienții de incidente costisitoare.

CRA și Regulamentul privind mașinile (UE) 2023/1230 – ce intră sub incidența fiecăruia?

Mulți manageri din industrie se întreabă cum se raportează noile reglementări privind reziliența cibernetică la deja cunoscutul Regulament privind mașinile (UE) 2023/1230 (care va înlocui Directiva privind mașinile). Există o suprapunere a cerințelor sau, dimpotrivă, aceste regulamente se completează reciproc? Esențial este să înțelegem ce aspecte ale produsului sunt reglementate de fiecare act normativ.

Regulamentul privind mașinile 2023/1230 vizează siguranța mașinilor în sensul tradițional – se concentrează pe protecția sănătății și siguranței utilizatorilor mașinilor. Acesta stabilește așa-numitele cerințe esențiale de securitate și sănătate (EHSR), care privesc, printre altele, aspecte mecanice, electrice, ergonomie, zgomot, EMC etc. Este adevărat că noul regulament privind mașinile a introdus și cerința de a lua în considerare riscurile asociate accesului la internet și atacurilor cibernetice ca potențiale pericole pentru siguranță. Aceasta înseamnă că producătorul mașinii trebuie să analizeze, în cadrul evaluării riscurilor, scenarii în care, de exemplu, o intervenție de la distanță în sistemul de comandă al mașinii ar putea provoca un accident. Prin urmare, trebuie să proiecteze măsuri care să prevină astfel de situații (de exemplu, protecții de rețea care să împiedice preluarea controlului asupra mașinii de către persoane neautorizate). Totuși, regulamentul privind mașinile reglementează securitatea cibernetică doar în măsura în care aceasta influențează siguranța fizică a persoanelor care operează mașinile. Acesta este doar unul dintre numeroasele elemente ale evaluării conformității unei mașini, fără a intra însă în cerințe IT detaliate – nu vom găsi acolo o listă de mecanisme criptografice și nici obligația de a actualiza software-ul mașinii după vânzare. Se poate spune astfel: Regulamentul privind mașinile are grijă ca mașina să nu creeze un pericol pentru viață/sănătate (inclusiv ca urmare a unui incident cibernetic), în timp ce CRA se ocupă de securitatea cibernetică generală a produsului (inclusiv confidențialitatea datelor, reziliența serviciilor, întregul ciclu de viață).

Actul privind reziliența cibernetică acoperă un spectru mult mai larg de aspecte IT decât regulamentul privind mașinile. Chiar și în cazul mașinilor industriale, CRA impune, de exemplu, cerințe privind raportarea vulnerabilităților, asigurarea actualizărilor timp de X ani, protecția împotriva pierderii datelor – adică aspecte care nu sunt legate direct de siguranța utilizatorului mașinii, ci de securitatea cibernetică în sine. În practică, aceasta înseamnă că o mașină care este un produs cu elemente digitale va intra simultan sub incidența ambelor regulamente. Producătorul unei astfel de mașini trebuie să respecte cerințele ambelor acte – atât pe cele referitoare la proiectarea sigură din punct de vedere, de exemplu, mecanic (Regulamentul privind mașinile), cât și pe cele privind protecția software-ului, a rețelei și a datelor (CRA). Respectarea cerințelor unui regulament nu înseamnă automat conformitate cu celălalt, deoarece criteriile de evaluare sunt diferite.

Din perspectiva procedurii de evaluare a conformității, un produs care intră sub incidența a mai mult de un regulament UE trebuie să respecte toate prevederile aplicabile înainte de aplicarea marcajului CE. De exemplu: un producător care introduce pe piață un robot industrial colaborativ cu funcție de monitorizare de la distanță va trebui să se asigure că robotul îndeplinește cerințele esențiale de siguranță pentru mașini (Regulamentul 2023/1230) și cerințele esențiale de securitate cibernetică (Regulamentul (UE) 2024/2847). Declarația UE de conformitate pentru o astfel de mașină ar trebui să menționeze ambele acte normative. La rândul său, directorul de mentenanță care achiziționează un astfel de echipament trebuie să verifice atât conformitatea cu „CE pentru mașini”, cât și cu „CE cibernetic”. În practică, marcajul CE este unul singur – însă documentația trebuie să demonstreze conformitatea cu toate reglementările din noua abordare care se aplică produsului respectiv.

Merită indicate câteva exemple despre ce intră sub incidența fiecărui regulament:

• Echipamente IT exclusiv electronice (fără funcții de mașină) – de exemplu routere, smartphone-uri, camere IP – nu intră sub incidența Regulamentului privind mașinile (pentru că nu sunt mașini), dar intră sub incidența CRA dacă au elemente digitale și comunică prin rețea. În cazul lor, contează în principal securitatea cibernetică, iar aspectele legate de siguranța fizică a utilizatorului nu sunt relevante (în afara prevederilor generale privind securitatea și sănătatea în muncă/EMC).
• Mașini tradiționale fără conexiune digitală – de exemplu o presă hidraulică cu comandă exclusiv analogică – intră sub incidența Regulamentului privind mașinile (trebuie îndeplinite cerințele privind construcția, apărătorile, circuitele de siguranță etc.), dar nu intră direct sub incidența CRA, deoarece nu conțin elemente digitale care comunică în exterior. Desigur, dacă în mașină există electronică de comandă, aceasta poate fi considerată în sine echipament digital – însă atât timp cât nu există conectivitate (de exemplu lipsa porturilor de rețea, lipsa accesului de la distanță), nu este îndeplinită definiția de „produs cu elemente digitale” în sensul CRA.
• Mașini moderne cu funcții digitale – de exemplu roboți, linii de producție cu IoT, vehicule AGV care comunică cu sistemul de management – intră sub incidența ambelor acte. Aici, Regulamentul privind mașinile va impune, printre altele, evaluarea riscurilor clasice (astfel încât mașina să nu genereze pericole mecanice/electrice), precum și cerința ca, de exemplu, accesul de la distanță la robot să nu poată provoca o situație periculoasă (adică luarea în considerare a amenințărilor cibernetice pentru siguranță). La rândul său, CRA va impune suplimentar ca robotul respectiv să aibă software securizat la nivel general (de exemplu transmisii de date criptate, parole unice), să fie actualizat de producător, iar în cazul identificării unei vulnerabilități – aceasta să fie remediată și raportată autorităților. Prin urmare, producătorul unui astfel de echipament trebuie să asigure reziliența la atacuri cibernetice atât în contextul siguranței oamenilor, cât și al continuității funcționării, confidențialității datelor etc.

În concluzie, Regulamentul privind mașinile și CRA nu se exclud, ci se completează reciproc. Primul are în vedere siguranța funcțională a mașinilor (inclusiv cerințele minime privind securitatea cibernetică, astfel încât mașina să fie sigură), iar al doilea vizează securitatea cibernetică mai amplă a produsului pe întregul său ciclu de viață. Pentru manageri, aceasta înseamnă necesitatea unei conformități pe mai multe planuri: un produs inteligent trebuie să fie atât sigur din punct de vedere constructiv, cât și sigur din punct de vedere cibernetic. Prin urmare, trebuie urmărite cerințele ambelor reglementări. Din fericire, termenele lor de aplicare sunt apropiate – Regulamentul privind mașinile va începe, de asemenea, să se aplice în practică din ianuarie 2027 (înlocuind directiva), iar CRA de la sfârșitul anului 2027. Astfel, pregătirile pentru ambele pot fi reunite într-un program coerent de compliance. De exemplu, la proiectarea unei mașini noi se pot lua în calcul din start atât cerințele privind siguranța mașinilor, cât și măsurile de securitate IT; în timpul testelor prototipului se poate verifica nu doar conformitatea cu standarde precum ISO 13849 (safety), ci și, de exemplu, teste de penetrare ale sistemului de comandă. Printr-o astfel de abordare, compania își va asigura o conformitate completă și va evita situația în care respectă o reglementare ignorând-o pe cealaltă.

Regulamentul (UE) 2024/2847 reprezintă, fără îndoială, o provocare pentru producători și furnizori, dar în același timp este și un răspuns necesar la realitățile actuale. Mașinile și echipamentele devin tot mai inteligente și mai conectate – iar reglementările trebuie să țină pasul. Managerii care încep deja acum acțiunile de pregătire vor obține un avantaj: companiile lor nu doar că vor intra fără dificultăți în noul cadru juridic, ci își vor crește și competitivitatea și credibilitatea produselor în ochii clienților, pentru care securitatea digitală devine la fel de importantă ca prețul sau funcționalitatea. Cu sprijinul adecvat al experților în siguranța mașinilor și IT, implementarea cerințelor CRA poate fi tratată ca un element al îmbunătățirii continue, nu doar ca o obligație de reglementare. În final, vor avea de câștigat atât întreprinderea, cât și utilizatorii finali, precum și întregul ecosistem digital. Produse mai sigure înseamnă un risc mai mic de opriri, atacuri și pierderi – iar acesta este obiectivul urmărit atât de legiuitor, cât și de participanții responsabili la piață.