Контакти
+380-97-105-76-33
logo

Закон про кіберстійкість ЄС CRA

Запросити ціну Безкоштовна консультація

Європейський Союз посилює заходи кібербезпеки

У відповідь на зростаючі загрози у сфері цифрової безпеки Європейський Союз ухвалив новий закон, спрямований на захист користувачів і бізнесу від кіберзагроз. Закон про кіберстійкість (Cyber Resilience Act, CRA) запроваджує суворі обов’язкові вимоги безпеки для всіх цифрових продуктів, включно з програмним та апаратним забезпеченням.

Ключові положення нового закону:

  1. Інтеграція заходів безпеки. Виробники зобов’язані впроваджувати заходи безпеки на всіх етапах життєвого циклу продукту, починаючи з проєктування та закінчуючи підтримкою.
  2. Маркування CE («європейська відповідність»). Усі цифрові продукти повинні відповідати мінімальним стандартам безпеки для отримання маркування CE, що підтверджує їхню відповідність вимогам ЄС.
  3. Оновлення безпеки. Виробники зобов’язані надавати оновлення безпеки протягом п’яти років із моменту виходу продукту на ринок і повідомляти Європейське агентство з кібербезпеки (ENISA) про виявлені вразливості.
security measure

CRA для виробників

Вимоги до продукції

CRA формулює детальні стандарти безпеки для технічних пристроїв і програмного забезпечення. Документ передбачає комплексний захист за кількома ключовими напрямами: забезпечення контролю доступу, гарантування приватності інформації, збереження цілісності даних, підтримання системної доступності та створення надійного захищеного стану продукту на момент його реалізації.

Принциповою умовою є інтеграція механізмів безпеки ще на початкових етапах життєвого циклу виробу – безпосередньо в процеси проєктування, розробки та виробничої реалізації.

Вимоги до процесу

У рамках методології безпечного розроблення виробники зобов’язані системно діагностувати власну продукцію щодо потенційних проблем кібербезпеки з подальшим негайним усуненням виявлених вразливостей. Процес коригування безпеки має реалізовуватися без додаткової оплати і діяти протягом п’ятирічного періоду.

Регламент CRA також вводить розширені вимоги до інформаційної прозорості. Компанії зобов’язані оперативно інформувати Європейське агентство з кібербезпеки (ENISA) про будь-які відомі активні вразливості або зафіксовані кібератаки, здатні скомпрометувати безпеку продукту, зокрема, через потенційні маніпуляції з механізмами завантаження.

Оцінка відповідності

Перед виведенням продукту на ринок виробник зобов’язаний гарантувати його повну відповідність установленим галузевим нормативам. Процедура оцінки базується на детальній класифікації виробу з урахуванням його потенційної критичності та ризиків.

Для підтвердження відповідності потрібно або суворе дотримання європейських стандартів, або проведення випробувань у спеціалізованій уповноваженій установі. Особливий акцент робиться на оцінці безпеки критичної інфраструктури в промисловому секторі.

У цьому контексті передбачається застосування гармонізованих нормативних стандартів і можливість тісної взаємодії з офіційно затвердженими експертними організаціями для всебічного підтвердження відповідності продукції встановленим вимогам.

БЕЗКОШТОВНА КОНСУЛЬТАЦІЯ

CRA для користувачів

CRA надає користувачам технологічні рішення з посиленим рівнем кібербезпеки, істотно знижуючи ризики несанкціонованого доступу, витоку інформації та інших потенційних кіберзагроз. Передбачено застосування маркування СЕ, що офіційно підтверджує відповідність сучасним європейським стандартам.

Виробники беруть на себе зобов’язання щодо безперервного супроводу своїх продуктів протягом усього їхнього життєвого циклу, включно з регулярним наданням автоматичних оновлень безпеки. Таким чином, споживачі отримують гарантований рівень кібербезпеки продуктів, маркованих знаком CE.

Охоплення та терміни

CRA охоплює широкий спектр продукції:

  • Апаратне забезпечення. Пристрої з цифровими компонентами, такі як комп’ютери, смартфони, розумна побутова техніка.
  • Програмне забезпечення. Операційні системи, застосунки, вбудовані програмні рішення.
  • Пристрої Інтернету речей (IoT). Датчики, системи безпеки та інші пристрої IoT.
  • Системи управління та автоматизації. Продукти для промислових процесів і комерційних завдань.

Закон ухвалено 23 жовтня 2024 року. Деякі його розділи починають працювати в червні та вересні 2026 року, а повністю закон набуває чинності 11 грудня 2027 року. До цієї дати виробники зобов’язані забезпечити відповідність своїх продуктів цьому закону.

ЗАПРОСИТИ ЦІНУ

Санкції для виробників, які не відповідають вимогам CRA

CRA передбачає суворі заходи відповідальності для виробників, які порушують нові вимоги:

  • Штрафи. Порушення можуть спричинити штрафи до 15 мільйонів євро або 2,5% від річного світового обороту компанії, залежно від того, яка сума більша.
  • Заборона на продаж. Невідповідні вироби не можуть бути представлені на ринку, а їхній продаж має бути припинено.
  • Повідомлення про порушення. Виробники зобов’язані оперативно інформувати ENISA про кібератаки або вразливості у своїй продукції. Невиконання цієї вимоги також загрожує санкціями.
legal action

Впровадження CRA

Закон про кіберстійкість – це важливий крок на шляху до створення безпечного цифрового середовища в ЄС. Він є логічним доповненням закону GDPR та Директиви кібербезпеки NIS 2. Закон захищає користувачів від кіберзагроз і стимулює виробників впроваджувати передові рішення в галузі кібербезпеки.

Закон демонструє стратегічну готовність ЄС адаптуватися до сучасних технологічних викликів. Нормативно-правовий акт захищає інтереси споживачів суворими вимогами, системою сертифікації та механізмами відповідальності. Невідповідність новим вимогам може спричинити серйозні санкції, що робить дотримання закону критично важливим.

Не чекайте останнього моменту та не піддавайте себе ризику штрафів. Якщо ваша компанія розробляє цифрові продукти та потребує підтримки для відповідності вимогам CRA, ми готові допомогти вам!

Ми пропонуємо комплексні рішення з аудиту, тестування та посилення кібербезпеки, щоб ваші продукти відповідали новим стандартам і залишалися конкурентоспроможними. Зв’яжіться з нами сьогодні, щоб дізнатися більше.

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення послуг впровадження CRA. Отримайте безплатну консультацію.

Додаткові сервіси

Можливо, вас також зацікавить:
Аудит відповідності вимогам безпеки Аудит відповідності вимогам безпеки Керована відповідність вимогам Керована відповідність вимогам Безпека продуктів, сервісів та DevOps Безпека продуктів, сервісів та DevOps Директива кібербезпеки NIS 2 Директива кібербезпеки NIS 2 Впровадження GDPR та послуги DPO Впровадження GDPR та послуги DPO Тестування на проникнення Тестування на проникнення Експерти як сервіс та Virtual CISO Експерти як сервіс та Virtual CISO Розслідування інцидентів та кіберкриміналістика Розслідування інцидентів та кіберкриміналістика
#Virtual_CISO #аудит_відповідності #аудит_організації #вимоги_ЄС #впровадження_безпеки #навчання #реагування_на_інциденти #розслідування_інцидентів #сертифікація #стандарти_безпеки

Бізнес-кейси проектів, виконаних нами

Автоматизація бізнесу
Читати
Аналіз безпеки вихідних кодів програмного забезпечення
Читати
Аудит смарт-контрактів та блокчейн
Читати
Аудити безпеки та тести на проникнення
Читати
Кейси з впровадження центру безпеки (Security Operations Center)
Читати
Керована безпека й комплаєнс (ISO 27001 тощо)
Читати
Реагування на інциденти та їх розслідування
Читати
Дивитися всі

Зв'яжіться з нами

Як варіант, скористайтесь цією формою: