Uredba (EU) 2024/2847 – Akt o kibernetski odpornosti (CRA)

Uredba (EU) 2024/2847 – Akt o kibernetski odpornosti (Cyber Resilience Act, CRA) je nova uredba EU, ki uvaja horizontalne zahteve s področja kibernetske varnosti za »izdelke z digitalnimi elementi«. Sprejeta je bila oktobra 2024 in se bo po prehodnih obdobjih od konca leta 2027 začela neposredno uporabljati v vseh državah EU. Če ste vodja v industriji – ne glede na to, ali ste odgovorni za vzdrževanje, nabavo ali skladnost poslovanja – je smiselno že zdaj razumeti, katere izdelke ta uredba zajema, katere nove obveznosti nalaga proizvajalcem, uvoznikom in distributerjem ter kako podjetje pripraviti na prihajajoče spremembe. V nadaljevanju predstavljamo ključne informacije s praktičnega vidika, brez pravniškega žargona, vendar s tehnično natančnostjo – da boste lažje sprejeli ustrezne pripravljalne ukrepe.

Področje uporabe: katere izdelke zajema Akt o kibernetski odpornosti?

Uredba (EU) 2024/2847 se nanaša na vse »izdelke z digitalnimi elementi«, ki so dani na trg EU in katerih predvidena uporaba vključuje povezavo z drugo napravo ali omrežjem (neposredno ali posredno, fizično ali logično). Z drugimi besedami: večina naprav ali programske opreme, ki lahko komunicira z drugimi sistemi, bo predmet novih zahtev. V praksi to med drugim vključuje naprave IoT in potrošniško elektroniko (npr. pametne ure, mobilne telefone, pametne gospodinjske in avdio-video naprave, elektronske varuške), nosljive naprave (npr. fitnes zapestnice), industrijsko opremo z omrežnimi funkcijami (senzorje in industrijske stroje, povezane v omrežje) ter različno programsko opremo (operacijske sisteme, mobilne in računalniške aplikacije, poslovno programsko opremo itd.). Pomembno je, da v področje uporabe CRA spada tudi programska oprema, ki se prodaja samostojno (kot izdelek), enako pa tudi storitve oddaljene obdelave podatkov, ki so sestavni del izdelka – na primer oblačna storitev za upravljanje naprave pametnega doma se bo obravnavala kot del izdelka in bo morala izpolnjevati varnostne zahteve.

Uredba ima zelo široko področje uporabe, vendar predvideva tudi izjeme za nekatere kategorije proizvodov, ki jih že urejajo lastni sektorski predpisi. CRA ne zajema med drugim: medicinskih pripomočkov (ki jih urejata uredbi MDR 2017/745 in 2017/746), vozil in njihove opreme (ki jih med drugim ureja uredba 2019/2144 na področju homologacije vozil), zrakoplovov (uredba 2018/1139 s področja letalstva) in pomorske opreme (direktiva 2014/90/EU). Za te izdelke veljajo ločeni predpisi, ki pogosto že vsebujejo zahteve, prilagojene posamezni panogi, zato so iz področja uporabe CRA izvzeti. Poleg tega novi predpisi ne veljajo za strojno in programsko opremo, namenjeno izključno vojaški rabi ali nacionalni varnosti (ter za obdelavo tajnih podatkov). Izvzeti so tudi nadomestni deli, dobavljeni kot zamenjava za enake komponente – če je bil izvirni izdelek zakonito dan na trg, enak nadomestni del ni dolžan posebej izpolnjevati zahtev CRA.

Omeniti velja, da t. i. prosta in odprtokodna programska oprema (open source) ne bo zajeta s CRA, če ni dana na voljo v okviru komercialne dejavnosti. Če se torej določena programska oprema razvija in objavlja brezplačno, zunaj tržnega prometa, njeni avtorji (npr. odprtokodna skupnost) niso obravnavani kot »proizvajalci« v smislu uredbe in zanje ne veljajo spodaj opisane obveznosti. Če pa podjetje uporabi odprtokodno komponento v svojem komercialnem izdelku, odgovornost za izpolnjevanje varnostnih zahtev nosi proizvajalec končnega izdelka. Skratka, CRA je usmerjen predvsem v profesionalno razvite in prodajane digitalne izdelke, ki pridejo do končnih uporabnikov na notranjem trgu EU.

Zakaj je bil CRA uveden? Nove grožnje, regulativna vrzel in dobavna veriga

Evropska unija je prepoznala nujno potrebo po krepitvi kibernetske odpornosti digitalnih izdelkov zaradi naraščajočih groženj. V zadnjih letih je število in raznolikost naprav, povezanih z internetom, skokovito narasla – od industrijskih sistemov IoT v tovarnah do pametnih naprav za dom. Žal je raven kibernetske varnosti teh izdelkov pogosto nizka, kar se kaže v razširjenih ranljivostih ter nezadostnem in neusklajenem zagotavljanju varnostnih posodobitev. Številni proizvajalci doslej niso dajali prednosti varnosti skozi celoten življenjski cikel izdelka, uporabniki pa pogosto nimajo niti zavedanja niti informacij o tem, katere naprave so varne, kako dolgo bodo prejemale posodobitve in kako jih uporabljati na varen način. Ta kombinacija dejavnikov vodi v povečano tveganje za kibernetske napade.

Akt o kibernetski odpornosti naj bi zapolnil regulativno vrzel – doslej je na ravni EU manjkalo enotnih, obveznih zahtev glede digitalne varnosti izdelkov. Resda so obstajale pobude, kot so certifikacije varnosti IKT (na podlagi Akta o kibernetski varnosti 2019/881) ali zahteve direktive NIS2 za kritične sektorje, vendar noben predpis ni neposredno nalagal obveznosti „kibernetske varnosti že v zasnovi” za vse naprave in programsko opremo, dane na trg. CRA vzpostavlja prav tak univerzalen okvir – zahteva, da so strojna in programska oprema načrtovane, izdelane in vzdrževane ob upoštevanju zanesljivih zaščitnih ukrepov skozi celoten življenjski cikel. Cilj je, da na trg prihajajo izdelki z manj ranljivostmi, proizvajalci pa zagotovijo hitro odpravljanje novih groženj (npr. z varnostnimi popravki), namesto da uporabnike puščajo z nezadostno zaščitenimi napravami.

Vprašanje kibernetske odpornosti ima tudi razsežnost dobavne verige in čezmejni pomen. V času, ko je vse povezano z vsem, lahko incident v eni, na videz nepomembni napravi postane vektor napada na celotno organizacijo ali poslovne partnerje. En okužen IoT-senzor v proizvodni hali lahko odpre pot v omrežje obrata; ranljivost v priljubljeni aplikaciji pa je lahko v nekaj minutah izkoriščena po vsem svetu. Kot je poudarjeno v obrazložitvi uredbe, se lahko kibernetski incident v enem izdelku v nekaj minutah razširi po dobavni verigi prek meja ene države. Stroškov takšnih napadov ne nosijo le proizvajalci in uporabniki, temveč tudi celotna družba – motnje v kritični infrastrukturi, finančne izgube, ogrožanje javne varnosti. Skupna, obvezna pravila po vsej EU naj bi dvignila splošno raven zaščite in preprečila položaj, v katerem najšibkejši člen (neodporen izdelek) ogroža vse.

Dodatni motiv je povečanje zaupanja v digitalne izdelke in izenačitev konkurenčnih pogojev. Trenutno proizvajalci, ki vlagajo v varnost že v zasnovi, pogosto cenovno izgubljajo proti tistim, ki ta vprašanja zanemarjajo. CRA naj bi zagotovil, da kibernetska varnost postane standard kakovosti – vsi bodo morali izpolnjevati minimalne zahteve, kar bo izenačilo možnosti in zmanjšalo družbene stroške napadov (ki se danes prenašajo na žrtve). Posledično naj bi to povečalo odpornost celotnega trga EU ter zaupanje kupcev v sodobne naprave z digitalnimi elementi. Akt se umešča tudi v širšo strategijo EU (skupaj z RODO, NIS2, DORA itd.), katere cilj je okrepiti kibernetsko varnost storitev in izdelkov kot temelj digitalnega gospodarstva.

Uredba (EU) 2024/2847: Glavne obveznosti proizvajalcev, uvoznikov in distributerjev

Nova uredba uvaja vrsto konkretnih obveznosti za gospodarske subjekte, vključene v dobavno verigo izdelkov z digitalnimi elementi. Obseg odgovornosti je odvisen od vloge – največ zahtev velja za proizvajalce, vendar imajo pomembne naloge tudi uvozniki in distributerji. V nadaljevanju povzemamo ključne obveznosti z vidika vodje, ki skrbi za skladnost izdelkov podjetja s predpisi.

Obveznosti proizvajalcev

Proizvajalec (pa tudi subjekt, ki izdelek daje na trg pod lastno blagovno znamko ali ga spreminja – tudi ta se obravnava kot proizvajalec) nosi glavno odgovornost za izpolnjevanje zahtev CRA. Med njegove najpomembnejše naloge spada:

• Zagotovitev skladnosti izdelka z bistvenimi zahtevami kibernetske varnosti, določenimi v Prilogi I uredbe. V praksi to pomeni, da mora imeti izdelek že v fazi zasnove in konstrukcije lastnosti, ki zagotavljajo ustrezno raven digitalne varnosti, sorazmerno s tveganjem, povezanim s konkretnim izdelkom. Uredba navaja vrsto konkretnih tehničnih zahtev – med drugim odsotnost znanih ranljivosti ob dajanju na trg, uporabo varnih privzetih nastavitev (npr. izogibanje privzetim geslom), šifriranje, kjer je to primerno, zaščito pred nepooblaščenim dostopom, varstvo osebnih podatkov uporabnika, odpornost proti napadom, ki motijo delovanje (npr. napadi DoS), ter možnost izvedbe ponastavitve na tovarniške nastavitve. Izdelek mora biti zasnovan tako, da se njegova »napadalna površina« čim bolj omeji – na primer da nima nepotrebno odprtih vrat ali storitev, ki povečujejo izpostavljenost kibernetskim grožnjam. Te bistvene zahteve (del I Priloge I CRA) predstavljajo kontrolni seznam varnostnih lastnosti, ki jih mora izpolnjevati vsak digitalni izdelek.
• Vzpostavitev procesa obravnave ranljivosti in incidentov – proizvajalec mora za varnost izdelka aktivno skrbeti tudi po prodaji, skozi celotno deklarirano obdobje podpore. V delu II Priloge I so določene zahteve glede procesa obravnave ranljivosti (vulnerability handling): redno testiranje in spremljanje novih vrzeli, sprejemanje prijav ranljivosti (npr. od raziskovalcev ali uporabnikov) ter hitro odpravljanje/krpanje odkritih ranljivosti z zagotavljanjem varnostnih posodobitev. Proizvajalec mora voditi politiko usklajenega razkrivanja ranljivosti (coordinated disclosure) – to pomeni, da mora imeti določeno kontaktno točko, kamor je mogoče prijaviti težave, in postopke za odzivanje na takšne prijave. Pomembno je, da se ranljivosti z posodobitvami odpravijo nemudoma in da se posodobitve distribuirajo na varen način (npr. z digitalnim podpisom). Ključno je, da je proizvajalec dolžan zagotavljati podporo in varnostne posodobitve v obdobju, ki ustreza predvidenemu življenjskemu ciklu izdelka, najmanj 5 let (razen če narava izdelka upravičuje krajše obdobje). Z drugimi besedami: če je naša oprema običajno namenjena uporabi pri strankah približno 5+ let, po enem ali dveh letih ne moremo prenehati izdajati popravkov – zahtevana bo večletna poprodajna podpora, da uporabnik ne ostane z ranljivo napravo.
• Izvedba ocene tveganja kibernetske varnosti – pred dajanjem izdelka z digitalnimi elementi na trg mora proizvajalec izvesti sistematično analizo tveganj, povezanih s kibernetskimi grožnjami za ta izdelek. Ocena tveganja mora biti del procesa načrtovanja (security by design) in mora upoštevati med drugim predvideno uporabo izdelka, možne napačne uporabe ter pogoje uporabe (IT-okolje, omrežje, vrsto podatkov, ki jih naprava obdeluje). Na podlagi te analize je treba načrtovati ustrezne zaščitne ukrepe in jih vključiti v konstrukcijo. Dokumentacija ocene tveganja v kibernetskem prostoru postane del tehnične dokumentacije izdelka in jo je treba posodabljati, če se pojavijo nove grožnje. Proizvajalec mora dokumentacijo hraniti najmanj 10 let od dajanja izdelka na trg (če pa je deklarirano obdobje podpore daljše od 10 let, pa ustrezno dlje). Ocena tveganja ni enkratno dejanje – po potrebi jo je treba preverjati in posodabljati, zlasti kadar se odkrijejo nove ranljivosti ali se spremeni kontekst uporabe izdelka.
• Nadzor nad zunanjimi komponentami – proizvajalec mora pri uporabi komponent tretjih oseb, vključno z odprtokodnimi knjižnicami, ravnati z ustrezno skrbnostjo. Treba je zagotoviti, da zunanje komponente (programske in strojne) ne ogrožajo kibernetske varnosti celotnega izdelka. V praksi to pomeni potrebo po nadzoru različic in posodobitev uporabljenih knjižnic, spremljanju znanih ranljivosti (npr. objavljenih v CVE) v teh komponentah ter njihovem posodabljanju oziroma zamenjavi, ko se pojavijo vrzeli. Če je bilo v izdelku uporabljeno odprtokodno programje in je v njem odkrita ranljivost, mora proizvajalec obvestiti subjekt, odgovoren za vzdrževanje te odprtokodne rešitve (npr. odprtokodni projekt) o nastali težavi, če pa ranljivost odpravi samostojno – skupnosti posredovati informacije o uvedenem popravku. Namen tega je vključiti proizvajalce v ekosistem usklajenega krpanja ranljivosti tudi v odprtokodnih komponentah.
• Formalna ocena skladnosti in dokumentacija – preden izdelek pride na trg, mora proizvajalec izvesti postopek ocene skladnosti z zahtevami CRA in pripraviti dokumentacijo, ki potrjuje izpolnjevanje zahtev. Pri večini »običajnih« izdelkov (ki niso uvrščeni v kategorijo povečanega tveganja) bo zadostovalo notranje preverjanje (notranja ocena) in priprava tehnične dokumentacije, ki med drugim vsebuje opis izdelka, rezultate analize tveganja, seznam uporabljenih varnostnih ukrepov, postopke testiranja in posodabljanja itd. Nato proizvajalec izda EU-izjavo o skladnosti, v kateri izjavi, da izdelek izpolnjuje vse veljavne zahteve CRA, in na izdelek namesti oznako CE. Pozor: če je določen izdelek z vidika kibernetske varnosti razvrščen kot »pomemben« ali »kritičen« (Annex III in IV CRA), zanj lahko veljajo strožji postopki ocene skladnosti. Za pomembne izdelke razreda II ter kritične izdelke bo zahtevano certificiranje s strani tretje osebe, torej preskus in certifikat, ki ga izda priglašeni organ (npr. akreditirani laboratorij). Za pomembne izdelke razreda I je samocertificiranje dovoljeno le, če obstajajo ustrezni harmonizirani standardi CRA, ki jih proizvajalec uporabi – v nasprotnem primeru je prav tako potrebno sodelovanje tretje osebe. Vodja mora zato ugotoviti, v katero kategorijo spada izdelek podjetja in ali bo treba načrtovati zunanjo certifikacijo (kar lahko vpliva na časovni načrt uvedbe izdelka na trg).
• Spremljanje varnosti po dajanju na trg in poročanje – novost, ki jo uvaja CRA, je obveznost prijavljanja resnih varnostnih težav pristojnim organom. Proizvajalec mora prijaviti vsako aktivno izkoriščano ranljivost svojega izdelka ter vsak resen incident, ki vpliva na varnost izdelka, nacionalnemu CSIRT-u (odzivni skupini), določenemu kot koordinator, in agenciji ENISA. Rok za prijavo je zelo kratek – znaša 24 ur od odkritja ranljivosti/dogodka (podobno kot pri zahtevah GDPR ali NIS2). Prijave bodo potekale prek enotne evropske platforme, ki jo vodi ENISA. Obveznost poročanja bo začela veljati prej kot preostale zahteve (september 2026 – glej roke spodaj) in bo od takrat veljala za vse izdelke na trgu. Zato mora proizvajalec imeti notranje postopke, ki omogočajo odkrivanje incidenta/ranljivosti in posredovanje informacij, ki jih zahteva uredba, v 24 urah. Cilj je nadzornim organom zagotoviti pregled nad nastajajočimi grožnjami in uskladiti odziv (npr. opozoriti druge uporabnike, kadar ima določen izdelek kritično ranljivost).

Navedene obveznosti pogosto zahtevajo precejšnje organizacijske spremembe – od uvedbe Secure SDLC v oddelku R&D, prek novih politik vzdrževanja in podpore izdelkom, do dodatne dokumentacije in usposabljanja osebja. V zameno podjetje pridobi večjo gotovost, da njegov izdelek ne bo postal vir nevarnega kibernetskega incidenta, hkrati pa tudi skladnost s prihajajočo zakonodajo, kar bo omogočilo nadaljnjo prodajo na trgu EU.

Uredba (EU) 2024/2847: Obveznosti uvoznikov in distributerjev

Subjekti, ki uvozijo izdelke z digitalnimi elementi iz držav zunaj EU (uvozniki) ali jih nato prodajajo naprej na trgu EU (distributerji), morajo prav tako skrbeti za skladnost teh izdelkov s CRA. Njihova vloga je predvsem v preverjanju skladnosti ter ukrepanju ob morebitnih neskladnostih.

Uvoznik mora pred dajanjem izdelka na trg EU preveriti, ali je proizvajalec izpolnil svoje obveznosti – z drugimi besedami, ali ima izdelek zahtevano oznako CE in EU-izjavo o skladnosti, ali so priložena navodila in varnostne informacije ter ali je proizvajalec pripravil zahtevano tehnično dokumentacijo. Uvozniku ni treba samostojno preskušati kibernetske varnosti izdelka, vendar pa ga ne sme dati na trg, če ima utemeljene dvome o skladnosti izdelka z zahtevami (npr. manjkajoča oznaka CE, manjkajoče informacije o obdobju podpore ipd.), dokler se ne prepriča, da je bila neskladnost odpravljena. Če ugotovi, da izdelek ne izpolnjuje zahtev CRA, je uvoznik dolžan obvestiti nadzorne organe in sprejeti korektivne ukrepe – zagotoviti uskladitev izdelka, če pa to ni mogoče, ga umakniti iz prometa ali s trga. Uvozniki morajo, podobno kot proizvajalci, hraniti kopijo izjave o skladnosti in poskrbeti, da je tehnična dokumentacija na zahtevo dostopna organom. Na izdelek (ali embalažo) morajo navesti tudi svoje kontaktne podatke in zagotoviti, da je izdelek ustrezno označen. V praksi je vloga uvoznika varnostni filter – preprečiti mora distribucijo v EU izdelkov, ki nimajo ustrezne dokumentacije, ki bi potrjevala skladnost s CRA.

Distributerji (domači veletrgovci, trgovci na drobno ipd.) so v podobnem položaju kot uvozniki, s to razliko, da preverjajo izpolnjevanje zahtev tako pri proizvajalcu kot tudi pri morebitnem uvozniku, če izdelek prihaja iz držav zunaj EU. Distributer mora zato pred nadaljnjo prodajo preveriti, ali je na izdelku oznaka CE, ali so priložene izjava oziroma navodila, ki jih zahteva zakonodaja, ter ali niso bila javno objavljena obvestila, da določen model ni skladen z varnostnimi zahtevami. Tudi v primeru dvomov mora prodajo zadržati, dokler zadeva ni pojasnjena. Če presodi (ali je obveščen), da izdelek predstavlja resno tveganje ali ne izpolnjuje zahtev CRA, mora o tem obvestiti proizvajalca ali uvoznika ter nadzorne organe in sodelovati pri korektivnih ukrepih (npr. pri postopkih umika s trga).

Z vidika vodje nabave te zahteve pomenijo potrebo po večji previdnosti pri izbiri dobaviteljev strojne in programske opreme. Poskrbeti je treba, da dobavitelji iz držav zunaj EU dobavljajo izdelke, ki so že skladni s CRA, sicer bo naše podjetje (kot uvoznik) odgovarjalo za pomanjkljivosti. Za distributerja (npr. podjetje, ki trguje z avtomatizacijo) pa to pomeni še obveznost spremljanja, ali imajo izdelki različnih blagovnih znamk v njegovi ponudbi veljavne izjave o skladnosti in ali izpolnjujejo zahteve – v praksi bo to zahtevalo tesno sodelovanje s proizvajalci in hitro odzivanje na vsa varnostna opozorila v zvezi s prodajanimi napravami. Več o praktični pripravi izdelka na CRA je opisano ločeno.

Vredno je poudariti: če uvoznik ali distributer izdelek daje na trg pod lastnim logotipom oziroma blagovno znamko ali izdelek spremeni (npr. spremeni njegovo funkcionalnost, programsko opremo ali konfiguracijo na način, ki je bistven za kibernetsko varnost), potem v skladu z uredbo sam postane proizvajalec tega izdelka. V takem primeru mora prevzeti vse obveznosti proizvajalca (izvesti oceno skladnosti, izdati lastno izjavo itd.). To velja na primer za podjetja, ki integrirajo sisteme in prodajajo naprave OEM pod svojo blagovno znamko – biti morajo zelo previdna, saj za skladnost formalno odgovarjajo enako kot izvirni proizvajalec.

Datumi začetka veljavnosti in prehodna obdobja

Uredba (EU) 2024/2847 je bila objavljena v Uradnem listu 20. novembra 2024. Veljati je začela 10. decembra 2024 (20 dni po objavi), vendar bodo glavne obveznosti začele veljati šele po 36 mesecih od tega datuma. Zakonodajalec je namreč predvidel dolgo prehodno obdobje, da bi panogi omogočil čas za prilagoditev. Ključni datumi so naslednji:

• 11. september 2026 – s tem dnem bodo začele veljati obveznosti poročanja o ranljivostih in incidentih. Proizvajalec vsakega izdelka z digitalnimi elementi, ki je prisoten na trgu EU, bo moral pristojnim organom prijaviti vse aktivno izkoriščane ranljivosti ter resne varnostne incidente, povezane z njegovim izdelkom. Ta datum nastopi 21 mesecev po začetku veljavnosti CRA in pomeni, da morajo podjetja že v letu 2026 imeti vzpostavljene postopke za spremljanje varnosti in prijavljanje težav. To ni odvisno od tega, kdaj je bil izdelek dan na trg – velja tudi za izdelke, prodane pred letom 2026, ki so še vedno v uporabi. Z drugimi besedami: tudi če je bila naprava dana na trg na primer leta 2025 (pred začetkom uporabe uredbe), v njej pa se septembra 2026 razkrije kritična ranljivost, jo mora proizvajalec prijaviti in odpraviti.
• 11. junij 2026 – s tem dnem naj bi začele veljati določbe glede priglašenih organov in organov za ugotavljanje skladnosti. Države članice bodo do sredine leta 2026 pripravile sistem za imenovanje in priglasitev organov, ki bodo pooblaščeni za certificiranje izdelkov (pomembnih in kritičnih) glede izpolnjevanja zahtev CRA. Za proizvajalce je pomembno, da bo v drugi polovici leta 2026 že na voljo infrastruktura za izvajanje zahtevanih preskusov in certificiranja.
• 11. december 2027 – polna uporaba uredbe CRA. Od tega dne noben izdelek z digitalnimi elementi, ki ne izpolnjuje zahtev CRA, ne sme biti zakonito dan na trg v EU. Ta rok (3 leta po začetku veljavnosti) je skrajni datum za prilagoditev izdelkov in procesov. Po 11.12.2027 morajo biti vse nove naprave in programska oprema, ki se prodajajo v EU, zasnovane, izdelane in vzdrževane v skladu s CRA – sicer se podjetje izpostavlja resnim sankcijam. Poudariti velja, da predpisi predvidevajo določeno olajšavo za izdelke, ki so že na trgu: če je bil določen izdelek (konkretni primerek) že dostopen na trgu pred 11. decembrom 2027, bo lahko ostal v prometu tudi brez izpolnjevanja CRA. Vendar to velja samo za posamezne primerke – tip izdelka, zasnovan pred CRA, s tem ne pridobi samodejne izjeme. Vsaka nova serija, vsak nov primerek, dan v prodajo po tem datumu, mora biti skladen s CRA, razen če je bil fizično že prej v prometu (kar v praksi pomeni na primer zalogo pri distributerju, ki je blago kupil pred rokom). Predpisov torej ni mogoče obiti tako, da se proizvaja »na zalogo« in prodaja po letu 2027 – za vsak izdelek ob dajanju na trg veljajo takratne zahteve. Izjema so še veljavni EU-certifikati o pregledu tipa, izdani pred tem datumom na podlagi drugih predpisov – ostali bodo veljavni do junija 2028, razen če je določen krajši rok.

Za podjetja je praktični sklep tak, da je dejanski rok konec leta 2027. Od leta 2028 v EU ne bo več mogoče prodajati naprav, ki ne izpolnjujejo zahtev CRA. Hkrati pa je treba biti že v letu 2026 pripravljen na nove obveznosti poročanja o incidentih. Preostali čas je treba izkoristiti za analizo in prilagoditev izdelkov. Čeprav se 3 leta na prvi pogled zdi veliko, so lahko spremembe zelo obsežne – zato je bolje začeti pravočasno. V nadaljevanju predstavljamo kontrolni seznam ukrepov, ki naj jih vodja preuči pri pripravi svoje organizacije na izpolnjevanje zahtev akta o kibernetski odpornosti. Več o tem, kako poteka priprava izdelka na CRA, je opisano v ločenem prispevku.

Uredba (EU) 2024/2847: Kako se pripraviti na 2026/2027 – kontrolni seznam za vodjo

• Opredelite izdelke, za katere velja CRA – Pripravite seznam izdelkov podjetja, ki so »izdelki z digitalnimi elementi« (strojna ali programska oprema, ki se povezuje v omrežje/z drugimi napravami). Za vsak izdelek določite, ali se lahko po uredbi šteje za pomembnega ali kritičnega (Annex III/IV) – na primer, ali opravlja bistvene varnostne funkcije ali pa bi njegova kompromitacija lahko povzročila obsežno škodo. Od te razvrstitve je med drugim odvisen zahtevani postopek ugotavljanja skladnosti (ali bo potrebno sodelovanje tretje strani).
• Seznanite se z zahtevami in standardi – Preučite bistvene zahteve kibernetske varnosti iz Priloge I CRA in jih povežite s svojimi izdelki. Preverite, ali že obstajajo ustrezni harmonizirani standardi ali panožni standardi, ki lahko olajšajo izpolnjevanje zahtev (na primer standardi iz družine IEC 62443 za zaščito sistemov industrijske avtomatizacije so lahko v pomoč pri načrtovanju zaščite strojev). Spremljajte tudi delo na področju standardizacije – mogoče bodo objavljene smernice, ki bodo olajšale izvajanje zahtev CRA na vašem področju.
• Izvedite analizo vrzeli (gap analysis) – Primerjajte trenutno stanje svojih izdelkov in procesov z novimi zahtevami. Ocenite, v kolikšni meri sedanja raven zaščite izpolnjuje zahteve (npr. ali imajo naprave mehanizme za avtentikacijo, šifriranje, varne posodobitve itd.). Analizirajte proces razvoja programske opreme v podjetju – ali se uporabljajo načela secure coding, ali se izvajajo penetracijski testi, kako hitro se odzivate na prijavljene ranljivosti. Ugotovite pomanjkljivosti in področja za izboljšave na ravni organizacije (postopki) ter tehnologije (varnostne funkcije).
• Prilagodite načrtovanje in razvoj izdelkov – Če analiza vrzeli pokaže pomanjkljivosti, načrtujte uvedbo manjkajočih mehanizmov in praks. To lahko vključuje spremembe v arhitekturi izdelka (npr. dodajanje modula za šifriranje, zaščito komunikacijskih vmesnikov), izboljšanje procesa SDLC (Software Development Life Cycle) z elementi threat modeling, pregleda kode z vidika varnosti, fuzzing testiranja ipd., pa tudi uvedbo novih politik varnosti izdelka. Poskrbite, da bo ekipa R&D kibernetsko varnost obravnavala kot projektno zahtevo enakovredno funkcionalnosti – uredba namreč zahteva pristop »security by design/default«.
• Načrtujte sistem posodobitev in podpore – Preverite, ali je vaše podjetje pripravljeno izdelke podpirati dovolj dolgo. Morda bo treba pripraviti časovni načrt in zagotoviti vire za izdajanje rednih posodobitev programske opreme firmware več let po prodaji. Preverite tudi, ali izdelki tehnično omogočajo posodabljanje (na daljavo ali lokalno) – če tega ne omogočajo, je to resna težava, saj CRA zahteva možnost odpravljanja ranljivosti po prodaji. Določite realno obdobje podpore (najmanj 5 let) in o njem obvestite uporabnike. Pripravite tudi načrt tehnične obravnave varnostnih prijav strank.
• Pripravite zahtevano dokumentacijo – Poskrbite, da bo za vsak izdelek pripravljena celovita tehnična dokumentacija z vidika kibernetske varnosti. Vsebovati mora med drugim poročilo o oceni tveganja, opis arhitekture zaščite, seznam uporabljenih ukrepov (npr. šifriranja, avtorizacije), rezultate varnostnih testov, postopke posodabljanja, politiko razkrivanja ranljivosti itd. Ta dokumentacija bo podlaga za dokazovanje skladnosti ob nadzoru (in po potrebi tudi za predložitev certifikacijskemu organu). Organizirajte tudi postopek njenega arhiviranja za zahtevano obdobje (10 let ali več). Poleg tega pripravite predloge EU-izjave o skladnosti za svoje izdelke – pri tem ne pozabite, da morajo vsebovati novo besedilo, ki potrjuje izpolnjevanje vseh zahtev uredbe.
• Poskrbite za dobavno verigo – Stopite v stik z dobavitelji komponent (zlasti programske opreme, IoT-modulov ipd.), da uskladite vprašanja skladnosti s CRA. Posodobite pogodbe z dobavitelji in vanje vključite klavzule o zahtevani ravni kibernetske varnosti komponent ter obveznosti obveščanja o odkritih ranljivostih. Poskrbite, da boste imeli dostop do informacij o izvoru in različicah komponent (vzdržujte SBOM – Software Bill of Materials za izdelke, saj to olajša sledenje ranljivostim v odvisnih knjižnicah). Če uporabljate zunanje oblačne storitve, povezane z izdelkom, preverite njihovo zaščito in skladnost z NIS2 (ker lahko SaaS spada pod NIS2 namesto pod CRA). Kibernetska varnost izdelka pomeni tudi varnost vseh gradnikov, iz katerih je sestavljen – dobavitelji morajo delovati usklajeno.
• Usposobite osebje in ozavestite stranke – Nove obveznosti pomenijo, da morajo različni oddelki v podjetju imeti osnovno znanje o CRA. Izvedite usposabljanja za razvojni oddelek, kakovost, IT in servis o zahtevah uredbe in notranjih postopkih (npr. kako se odzvati na prijavo ranljivosti, kako dokumentirati spremembe z vidika skladnosti). Smiselno je obvestiti tudi oddelek nabave in prodaje, da bodo seznanjeni z novimi oznakami in izjavami (npr. s potrebo po preverjanju, ali je dobavitelj zunaj EU predložil izjavo o skladnosti). Razmislite tudi o pripravi informacij za stranke o varnostni politiki vaših izdelkov – preglednost na tem področju lahko postane prodajna prednost (uporabniki bodo začeli preverjati, ali določen izdelek izpolnjuje kibernetske zahteve in ali ima zagotovljene posodobitve).
• Spremljajte smernice in roke – Spremljajte obvestila Evropske komisije in nacionalnih organov v zvezi s CRA. Lahko se pojavijo delegirani ali izvedbeni akti, ki bodo natančneje opredelili posamezna vprašanja (npr. sektorske izjeme – Komisija se lahko odloči, da iz področja CRA izvzame izdelke, za katere že veljajo enakovredne sektorske zahteve). Spremljajte tudi postopek objave harmoniziranih standardov – uporaba standarda bo najpreprostejša pot do domneve o skladnosti. Poskrbite, da boste spoštovali navedene roke: september 2026 (pripravljenost na poročanje o incidentih) in december 2027 (popolna skladnost vseh novih izdelkov). Najbolje je, da precej prej določite notranje mejnike – na primer zaključek začetne analize tveganja do sredine 2025, prilagoditev razvojnega procesa do konca 2025, testi skladnosti in predcertifikacija v 2026 itd., da boste v leto 2027 vstopili s skoraj v celoti izpolnjenimi zahtevami. Neprijetno presenečenje v zadnjem trenutku lahko pomeni ustavitev prodaje, zato je proaktiven pristop ključen.

Če to »domačo nalogo« opravite pravočasno, se boste leta 2027 izognili živčnemu hitenju in z njim povezanim tveganjem. Namesto da CRA obravnavate zgolj kot obveznost, ga je smiselno razumeti kot priložnost za dvig splošne ravni varnosti izdelkov – s tem pa zaščititi tako podjetje kot tudi stranke pred dragimi incidenti.

CRA in Uredba o strojih (EU) 2023/1230 – kaj spada pod katero?

Številni vodje v industriji se sprašujejo, kako se novi predpisi o kibernetski odpornosti navezujejo na že znano Uredbo o strojih (EU) 2023/1230 (ki bo nadomestila Direktivo o strojih). Ali prihaja do podvajanja zahtev ali pa se ti uredbi medsebojno dopolnjujeta? Ključno je razumeti, katere vidike izdelka ureja posamezen pravni akt.

Uredba o strojih 2023/1230 zajema varnost strojev v tradicionalnem pomenu – osredotoča se na varovanje zdravja in varnosti uporabnikov strojev. Določa tako imenovane bistvene zdravstvene in varnostne zahteve (EHSR), ki se nanašajo med drugim na mehanske in električne vidike, ergonomijo, hrup, EMC itd. Nova uredba o strojih je sicer uvedla tudi zahtevo po upoštevanju tveganj, povezanih z dostopom do interneta in kibernetskimi napadi kot možnim virom ogrožanja varnosti. To pomeni, da mora proizvajalec stroja pri oceni tveganja upoštevati scenarije, v katerih bi na primer oddaljen poseg v krmilni sistem stroja lahko povzročil nesrečo. Zato mora zasnovati ukrepe za preprečevanje takih situacij (npr. omrežne zaščite, ki nepooblaščeni osebi onemogočajo prevzem nadzora nad strojem). Vendar uredba o strojih ureja kibernetsko varnost le v obsegu, v katerem vpliva na fizično varnost ljudi, ki stroje uporabljajo. To je eden od številnih sestavnih delov ocene skladnosti stroja, ne posega pa v podrobne zahteve informacijske tehnologije – v njej ne bomo našli seznama kriptografskih mehanizmov niti obveznosti posodabljanja programske opreme stroja po prodaji. Lahko rečemo takole: Uredba o strojih skrbi za to, da stroj ne predstavlja nevarnosti za življenje ali zdravje (tudi zaradi kibernetskega incidenta), medtem ko CRA skrbi za splošno kibernetsko varnost izdelka (vključno z zaupnostjo podatkov, odpornostjo storitev in celotnim življenjskim ciklom).

Akt o kibernetski odpornosti zajema bistveno širši nabor IT-vprašanj kot uredba o strojih. Tudi pri industrijskih strojih CRA na primer nalaga zahteve glede poročanja o ranljivostih, zagotavljanja posodobitev za X let in zaščite pred izgubo podatkov – torej vprašanja, ki niso neposredno povezana z varnostjo uporabnika stroja, temveč s kibernetsko varnostjo kot tako. V praksi to pomeni, da bo stroj, ki je izdelek z digitalnimi elementi, hkrati podvržen določbam obeh uredb. Proizvajalec takšnega stroja mora izpolniti zahteve obeh aktov – tako tiste, ki se nanašajo na varno konstrukcijo z vidika npr. mehanike (Uredba o strojih), kot tudi tiste, ki zadevajo zaščito programske opreme, omrežij in podatkov (CRA). Izpolnjevanje zahtev ene uredbe še ne pomeni samodejne skladnosti z drugo, saj so merila presoje različna.

Z vidika postopka ugotavljanja skladnosti mora izdelek, za katerega velja več kot ena uredba EU, pred označitvijo CE izpolnjevati vse veljavne predpise. Na primer: proizvajalec, ki daje na trg kolaborativnega industrijskega robota s funkcijo oddaljenega nadzora, se bo moral prepričati, da robot izpolnjuje bistvene zahteve glede varnosti strojev (Uredba 2023/1230) in bistvene zahteve glede kibernetske varnosti (Uredba (EU) 2024/2847). EU-izjava o skladnosti za takšen stroj mora navajati oba pravna akta. Po drugi strani pa mora direktor vzdrževanja, ki kupuje takšno napravo, preveriti tako skladnost z »CE za stroje« kot tudi s »kibernetskim CE«. V praksi je oznaka CE ena sama – vendar mora dokumentacija dokazovati skladnost z vsemi predpisi novega pristopa, ki veljajo za zadevni proizvod.

V nadaljevanju je navedenih nekaj primerov, kaj spada pod katero uredbo:

• Povsem elektronske IT-naprave (brez funkcij stroja) – npr. usmerjevalniki, pametni telefoni, IP-kamere – ne spadajo pod Uredbo o strojih (ker niso stroji), vendar spadajo pod CRA, če vsebujejo digitalne elemente in komunicirajo prek omrežja. Pri njih je ključno predvsem kibernetsko varovanje, vprašanja fizične varnosti uporabnika pa niso bistvena (razen splošnih predpisov o varnosti in zdravju pri delu/EMC).
• Tradicionalni stroji brez digitalne povezljivosti – npr. hidravlična stiskalnica s povsem analognim krmiljenjem – spadajo pod Uredbo o strojih (izpolniti je treba zahteve glede konstrukcije, varoval, varnostnih tokokrogov itd.), vendar ne spadajo neposredno pod CRA, ker ne vsebujejo digitalnih elementov, ki bi komunicirali navzven. Seveda se lahko krmilna elektronika v stroju sama po sebi šteje za digitalno opremo – vendar dokler ni povezljivosti (npr. ni omrežnih vrat, ni oddaljenega dostopa), ne izpolnjuje opredelitve »izdelek z digitalnimi elementi« v smislu CRA.
• Sodobni stroji z digitalnimi funkcijami – npr. roboti, proizvodne linije z IoT, vozila AGV, ki komunicirajo s sistemom upravljanja – spadajo pod oba akta. Tu bo Uredba o strojih med drugim zahtevala oceno klasičnih tveganj (da stroj ne bi povzročal mehanskih/električnih nevarnosti) ter zahtevo, da npr. oddaljeni dostop do robota ne more povzročiti nevarne situacije (torej upoštevanje kibernetskih groženj za varnost). CRA pa bo dodatno naložil obveznost, da ima ta robot na splošno ustrezno zaščiteno programsko opremo (npr. šifriran prenos podatkov, enolična gesla), da ga proizvajalec posodablja ter da se v primeru odkrite ranljivosti ta odpravi in prijavi organom. Proizvajalec takšne opreme mora torej zagotoviti odpornost proti kibernetskim napadom tako v kontekstu varnosti ljudi kot tudi neprekinjenega delovanja, zaupnosti podatkov ipd.

Če povzamemo, Uredba o strojih in CRA si ne konkurirata, temveč se dopolnjujeta. Prva skrbi za funkcionalno varnost strojev (vključno z minimalnimi zahtevami glede kibernetske varnosti, da je stroj varen), druga pa za širšo kibernetsko varnost izdelka v celotnem življenjskem ciklu. Za managerje to pomeni potrebo po večplastni skladnosti: pametni izdelek mora biti hkrati konstrukcijsko varen in kibernetsko varen. Zato je treba spremljati zahteve obeh predpisov. Na srečo so roki za njuno uporabo podobni – Uredba o strojih se bo prav tako začela v praksi uporabljati januarja 2027 (in bo nadomestila direktivo), CRA pa konec leta 2027. Zato je mogoče priprave na oba predpisa povezati v enoten program skladnosti. Na primer: pri načrtovanju novega stroja je smiselno že od začetka upoštevati tako zahteve glede varnosti strojev kot tudi zaščito IT; med preskušanjem prototipa pa preverjati ne le skladnost s standardi, kot je ISO 13849 (safety), temveč tudi npr. penetracijske teste krmilnega sistema. S takšnim pristopom si bo podjetje zagotovilo celovito skladnost in se izognilo položaju, ko izpolnjuje en predpis na račun zanemarjanja drugega.

Uredba (EU) 2024/2847 je za proizvajalce in dobavitelje nedvomno izziv, hkrati pa tudi nujen odgovor na sodobne razmere. Stroji in naprave postajajo vse bolj inteligentni in povezani – predpisi morajo temu slediti. Managerji, ki bodo pripravljalne ukrepe sprejeli že zdaj, bodo pridobili prednost: njihova podjetja ne bodo le brez težav prešla v novi pravni okvir, temveč bodo povečala tudi konkurenčnost in verodostojnost svojih izdelkov v očeh kupcev, za katere digitalna varnost postaja enako pomembna kot cena ali funkcionalnost. Ob ustrezni podpori strokovnjakov za varnost strojev in IT je mogoče uvajanje zahtev CRA obravnavati kot element nenehnega izboljševanja, ne zgolj kot regulativno obveznost. Posledično bodo imeli koristi podjetje, končni uporabniki in celoten digitalni ekosistem. Varnejši izdelki pomenijo manjše tveganje za zastoje, napade in izgube – in to je cilj, ki mu sledijo tako zakonodajalec kot odgovorni udeleženci na trgu.