Контакты
+40-774-523-519
logo

Закон о киберустойчивости ЕС CRA

Запросить цену Бесплатная консультация

Европейский Союз усиливает меры кибербезопасности

В ответ на растущие угрозы в сфере цифровой безопасности Европейский Союз принял новый закон, направленный на защиту пользователей и бизнеса от киберугроз. Закон о киберустойчивости (Cyber Resilience Act, CRA) вводит строгие обязательные требования безопасности для всех цифровых продуктов, включая программное и аппаратное обеспечение.

Ключевые положения нового закона:

  1. Интеграция мер безопасности. Производители обязаны внедрять меры безопасности на всех этапах жизненного цикла продукта, начиная с проектирования и заканчивая поддержкой.
  2. Маркировка CE (“европейское соответствие”). Все цифровые продукты должны соответствовать минимальным стандартам безопасности для получения маркировки CE, что подтверждает их соответствие требованиям ЕС.
  3. Обновления безопасности. Производители обязаны предоставлять обновления безопасности в течение пяти лет с момента выхода продукта на рынок и сообщать Европейскому агентству по кибербезопасности (ENISA) о выявленных уязвимостях.
security measure

CRA для производителей

Требования к продукции

CRA формулирует детальные стандарты безопасности для технических устройств и программного обеспечения. Документ предусматривает комплексную защиту по нескольким ключевым направлениям: обеспечение контроля доступа, гарантирование приватности информации, сохранение целостности данных, поддержание системной доступности и создание надежного защищенного состояния продукта на момент его реализации.

Принципиальным условием является интеграция механизмов безопасности еще на начальных этапах жизненного цикла изделия — непосредственно в процессы проектирования, разработки и производственной реализации.

Требования к процессу 

В рамках методологии безопасной разработки производители обязаны системно диагностировать собственную продукцию на предмет потенциальных проблем кибербезопасности с последующим незамедлительным устранением выявленных уязвимостей. Процесс корректировки безопасности должен реализовываться без дополнительной оплаты и действовать на протяжении пятилетнего периода.

Регламент CRA также вводит расширенные требования к информационной прозрачности. Компаниям вменяется в обязанность оперативно информировать Европейское агентство по кибербезопасности (ENISA) о любых известных активных уязвимостях или зафиксированных кибератаках, способных скомпрометировать безопасность продукта, в частности, через потенциальные манипуляции с механизмами загрузки.

Оценка соответствия

Перед выведением продукта на рынок производитель обязан гарантировать его полное соответствие установленным отраслевым нормативам. Процедура оценки базируется на детальной классификации изделия с учетом его потенциальной критичности и рисков.

Для подтверждения соответствия требуется либо строгое следование европейским стандартам, либо проведение испытаний в специализированном уполномоченном учреждении. Особый акцент делается на оценке безопасности критической инфраструктуры в промышленном секторе.

В этом контексте предусматривается применение гармонизированных нормативных стандартов и возможность тесного взаимодействия с официально утвержденными экспертными организациями для всестороннего подтверждения соответствия продукции установленным требованиям.

БЕСПЛАТНАЯ КОНСУЛЬТАЦИЯ

CRA для пользователей

CRA предоставляет пользователям технологические решения с усиленным уровнем кибербезопасности, существенно снижая риски несанкционированного доступа, утечки информации и других потенциальных киберугроз. Предусмотрено применение маркировки СЕ, официально подтверждающей соответствие современным европейским стандартам.

Производители принимают на себя обязательство по непрерывному сопровождению своих продуктов на протяжении всего их жизненного цикла, включая регулярное предоставление автоматических обновлений безопасности. Таким образом, потребители получают гарантированный уровень кибербезопасности продуктов, маркированных знаком CE.

Охват и сроки 

CRA охватывает широкий спектр продукции:

  • Аппаратное обеспечение. Устройства с цифровыми компонентами, такие как компьютеры, смартфоны, умная бытовая техника.
  • Программное обеспечение. Операционные системы, приложения, встроенные программные решения.
  • Устройства Интернета вещей (IoT). Датчики, системы безопасности и другие IoT-устройства.
  • Системы управления и автоматизации. Продукты для промышленных процессов и коммерческих задач.

Закон принят 23 октября 2024 года. Некоторые его разделы начинают работать в июне и сентябре 2026 года, а полностью закон вступает в силу 11 декабря 2027 года. К этой дате производители обязаны обеспечить соответствие своих продуктов данному закону.

ЗАПРОСИТЬ ЦЕНУ

Санкции для производителей, не соответствующих требованиям CRA

CRA предусматривает строгие меры ответственности для производителей, которые нарушают новые требования:

  • Штрафы. Нарушения могут повлечь за собой штрафы до 15 миллионов евро или 2,5% от годового мирового оборота компании, в зависимости от того, какая сумма больше.
  • Запрет на продажу. Несоответствующие изделия не могут быть представлены на рынке, а их продажа должна быть приостановлена.
  • Уведомление о нарушениях. Производители обязаны оперативно информировать ENISA о кибератаках или уязвимостях в своей продукции. Невыполнение этого требования также грозит санкциями.
legal action

Внедрение CRA

Закон о киберустойчивости – это важный шаг на пути к созданию безопасной цифровой среды в ЕС. Он является логичным дополнением закона GDPR и директивы кибербезопасности NIS2. Закон защищает пользователей от киберугроз и стимулирует производителей внедрять передовые решения в области кибербезопасности. 

Закон демонстрирует стратегическую готовность ЕС адаптироваться к современным технологическим вызовам. Нормативно-правовой акт защищает интересы потребителей строгими требованиями, системой сертификации и механизмами ответственности. Несоответствие новым требованиям может повлечь за собой серьезные санкции, что делает соблюдение закона критически важным. 

Не ждите последнего момента и не подвергайте себя риску штрафов. Если ваша компания разрабатывает цифровые продукты и нуждается в поддержке для соответствия требованиям CRA, мы готовы помочь вам!

Мы предлагаем комплексные решения по аудиту, тестированию и усилению кибербезопасности, чтобы ваши продукты соответствовали новым стандартам и оставались конкурентоспособными. Свяжитесь с нами сегодня, чтобы узнать больше.

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа услуг внедрения CRA. Получите бесплатную консультацию.

Дополнительные сервисы

Возможно, вас также заинтересуют:
Аудит соответствия требованиям безопасности Аудит соответствия требованиям безопасности Управляемое соответствие требованиям Управляемое соответствие требованиям Безопасность продуктов, сервисов и DevOps Безопасность продуктов, сервисов и DevOps Директива кибербезопасности NIS 2 Директива кибербезопасности NIS 2 Внедрение GDPR и услуги DPO Внедрение GDPR и услуги DPO Тестирование на проникновение Тестирование на проникновение Эксперты как сервис и Virtual CISO Эксперты как сервис и Virtual CISO Расследования инцидентов ИБ и киберкриминалистика Расследования инцидентов ИБ и киберкриминалистика
#Virtual_CISO #аудит_организации #аудит_соответствия #внедрение_безопасности #обучение #расследование_инцидентов #реагирование_на_инциденты #сертификация #стандарты_безопасности #требования_ЕС

Бизнес-кейсы проектов, выполненых нами

Автоматизация бизнеса
Читать
Анализ безопасности исходных кодов программного обеспечения
Читать
Аудит смарт-контрактов и блокчейн
Читать
Аудиты безопасности и тесты на проникновение
Читать
Кейсы по внедрению центра безопасности (Security Operations Center)
Читать
Реагирование на инциденты и их расследование
Читать
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)
Читать
Смотреть все

Свяжитесь с нами

Как вариант, используйте эту форму: