top of page
Szukaj

Rewolucja w standardach IoT - co przynosi Cyber Resilience Act?

  • Zdjęcie autora: The SOC 2
    The SOC 2
  • 18 kwi
  • 4 minut(y) czytania

Zaktualizowano: 16 maj


Rewolucja w standardach IoT - co przynosi Cyber Resilience Act?
Rewolucja w standardach IoT - co przynosi Cyber Resilience Act?

Internet rzeczy rozwija się dynamicznie, a wraz z nim rośnie potrzeba skutecznych zabezpieczeń. Europejski Cyber Resilience Act (CRA), który wszedł w życie 10 grudnia 2024 roku, wprowadza kompleksowe ramy prawne dla urządzeń i oprogramowania z elementami cyfrowymi na rynku UE. Cztery miesiące po wprowadzeniu tego aktu warto przeanalizować, jakie zmiany przynosi dla branży IoT i jaki wpływ wywrze na przyszłość produktów cyfrowych.


Czym właściwie jest Cyber Resilience Act?


CRA to odpowiedź Unii Europejskiej na dwa kluczowe problemy: alarmująco niski poziom cyberbezpieczeństwa produktów cyfrowych oraz niewystarczający dostęp użytkowników końcowych do informacji o bezpieczeństwie. Rozporządzenie nakłada na producentów obowiązek projektowania produktów zgodnie z zasadą "security by design and by default" oraz zapewnienia ich ochrony przez cały cykl życia.


Dotychczasowe inicjatywy na poziomie unijnym i krajowym jedynie częściowo adresowały problemy bezpieczeństwa, tworząc fragmentaryczny obraz wymogów i standardów. Nowe rozporządzenie harmonizuje wymagania w całej UE, przenosząc główny ciężar odpowiedzialności za bezpieczeństwo na producentów.


Zakres obowiązywania regulacji


Cyber Resilience Act ma niezwykle szeroki zakres zastosowania. Obejmuje wszystkie produkty połączone bezpośrednio lub pośrednio z innym urządzeniem lub siecią.

Dotyczy to:


  • Urządzeń sprzętowych: laptopy, smartfony, czujniki, kamery, roboty, karty inteligentne

  • Infrastruktury sieciowej: routery, przełączniki

  • Systemów przemysłowych: systemy sterowania

  • Oprogramowania: firmware, systemy operacyjne, aplikacje mobilne


Warto zaznaczyć, że regulacja przewiduje pewne wyjątki, jak wyroby medyczne czy samochody, które podlegają odrębnym przepisom.


System kategoryzacji według poziomu ryzyka


Kluczowym elementem CRA jest wprowadzenie kategorii ryzyka dla produktów cyfrowych. Kategoria domyślna obejmuje około 90% produktów na rynku, które będą podlegać samoocenie zgodności (np. edytory zdjęć, gry). Kategoria krytyczna klasa I zawiera produkty podwyższonego ryzyka, wymagające bardziej rygorystycznej oceny (np. menedżery haseł, zapory sieciowe). Natomiast kategoria krytyczna klasa II grupuje produkty najwyższego ryzyka, wymagające zewnętrznej certyfikacji (np. systemy operacyjne, firewalle przemysłowe).


Ten trójstopniowy podział odzwierciedla proporcjonalne podejście do cyberbezpieczeństwa, koncentrując najściślejsze wymogi na produktach, których kompromitacja niosłaby najpoważniejsze konsekwencje.


Nowe obowiązki producentów


Zgodnie z CRA, producenci muszą spełnić szereg istotnych wymogów:


  1. Projektowanie z myślą o bezpieczeństwie - implementacja zasad "security by design" i "security by default"

  2. Regularne testy i przeglądy bezpieczeństwa produktów

  3. Prowadzenie rejestru zidentyfikowanych podatności

  4. Zapewnienie bezpłatnych aktualizacji bezpieczeństwa przez cały cykl życia produktu

  5. Zgłaszanie aktywnie wykorzystywanych podatności w ciągu 72 godzin (z wczesnym ostrzeżeniem o poważnym incydencie w ciągu 24 godzin)

  6. Przeprowadzanie oceny zgodności odpowiedniej dla kategorii ryzyka produktu

  7. Oznakowanie produktów znakiem CE jako potwierdzenie zgodności z wymaganiami CRA


Szczegółowe wymagania cyberbezpieczeństwa oraz proces obsługi podatności zostały określone w Załączniku I rozporządzenia, odpowiednio w Sekcji 1 i 2.


Harmonogram wdrażania nowych przepisów


Chociaż CRA formalnie obowiązuje od grudnia 2024 roku, większość głównych obowiązków wejdzie w życie dopiero 11 grudnia 2027 roku. Ten prawie trzyletni okres przejściowy ma umożliwić producentom dostosowanie swoich produktów i procesów do nowych wymagań.


Należy jednak podkreślić, że obowiązek zgłaszania incydentów i podatności będzie miał skrócony okres przejściowy – tylko 21 miesięcy. Ta różnica w terminach wdrożenia poszczególnych wymogów wskazuje na priorytetowe traktowanie szybkiego reagowania na zagrożenia.


Konsekwencje nieprzestrzegania przepisów


Za nieprzestrzeganie postanowień CRA przewidziano surowe kary finansowe – do 15 milionów euro lub 2,5% całkowitego rocznego obrotu firmy (w zależności od tego, która wartość jest wyższa). Ta znacząca sankcja ma stanowić skuteczną motywację do priorytetowego traktowania cyberbezpieczeństwa przez producentów.


CRA jako element szerszej strategii regulacyjnej UE


Cyber Resilience Act stanowi integralny element szerszej strategii cyberbezpieczeństwa UE. Uzupełnia inne kluczowe akty prawne:


  • Dyrektywę NIS2 - dotyczącą bezpieczeństwa sieci i systemów informatycznych

  • Rozporządzenie o Cyberbezpieczeństwie - wzmacniające rolę ENISA i wprowadzające unijne ramy certyfikacji

  • AI Act - regulujący systemy sztucznej inteligencji

  • DORA - skupiający się na odporności cyfrowej sektora finansowego


Zgodność z CRA ma ułatwiać spełnienie wymogów innych regulacji, szczególnie w zakresie bezpieczeństwa łańcucha dostaw, tworząc spójny ekosystem wymogów cyberbezpieczeństwa na poziomie UE.


Uzasadnienie wprowadzenia nowych regulacji


Alarmujące statystyki dotyczące cyberbezpieczeństwa uzasadniają potrzebę wprowadzenia CRA. Szacowany globalny roczny koszt cyberprzestępczości wyniósł 5,5 biliona euro do 2021 roku, a produkty cyfrowe stanowią jeden z głównych wektorów udanych cyberataków. Przykłady ataków, takich jak oprogramowanie szpiegowskie Pegasus, ransomware WannaCry czy atak na łańcuch dostaw Kaseya VSA, pokazują skalę zagrożenia i potencjalne konsekwencje luk w zabezpieczeniach.


CRA wprowadza jednolite standardy cyberbezpieczeństwa w całej UE, zmuszając producentów do traktowania bezpieczeństwa jako integralnej części procesu projektowania i rozwoju produktu, a nie jako dodatkowego, opcjonalnego elementu wprowadzanego już po opracowaniu technologii.


Perspektywy rozwoju IoT w kontekście nowych regulacji


Wprowadzenie Cyber Resilience Act fundamentalnie zmienia podejście do standardów bezpieczeństwa IoT. W perspektywie długoterminowej możemy spodziewać się:


  1. Znaczącej poprawy bezpieczeństwa produktów cyfrowych dostępnych na rynku UE

  2. Większej świadomości konsumentów dotyczącej cyberbezpieczeństwa

  3. Ujednolicenia standardów branżowych w zakresie cyberbezpieczeństwa

  4. Rozwoju nowych rozwiązań i technologii wspierających "security by design"

  5. Potencjalnego efektu rozlewania (spillover effect) na rynki poza UE


Powyższe zmiany będą szczególnie istotne dla przedsiębiorstw działających na europejskim rynku, które muszą dostosować swoje praktyki biznesowe do nowych wymogów regulacyjnych.


Cyber Resilience Act wyznacza nowy kierunek w podejściu do cyberbezpieczeństwa, stawiając je na pierwszym miejscu w procesie projektowania i rozwoju produktów cyfrowych. Producenci już teraz powinni rozpocząć proces adaptacji swoich produktów i procesów do nowych wymogów, mimo że pełne wdrożenie postanowień nastąpi dopiero za kilka lat.


Postępująca cyfryzacja i rosnąca liczba zagrożeń cybernetycznych sprawiają, że CRA jawi się jako niezbędny krok w kierunku bezpieczniejszej przyszłości dla wszystkich użytkowników produktów z elementami cyfrowymi. Regulacja ta może okazać się jednym z najważniejszych elementów budowy zaufania do technologii cyfrowych na europejskim jednolitym rynku.



 
 
 

留言

Kontakt

e-mail: kontakt@itgrc.pl
tel. +48 604 559 818

BW Advisory sp. z o.o.

ul.  Boczańska 25

03-156 Warszawa 

NIP: 5252818352

Polityka prywatności

  • Facebook
  • Twitter
  • LinkedIn
  • Instagram
bottom of page