Cyberbezpieczeństwo produktów cyfrowych w całej UE

W dniu 20 listopada 2024 r. w Dzienniku Urzędowym UE opublikowano akt o cyberodporności (Cyber Resilience Act, CRA), nową ustawę w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi.
 

Nowe rozporządzenie wejdzie w życie dwadzieścia dni po opublikowaniu w Dzienniku Urzędowym UE (10 grudnia 2024 r.) i będzie miało bezpośrednie zastosowanie w każdym państwie członkowskim UE 36 miesięcy po wejściu w życie, czyli od 11 grudnia 2027 r.

Niektóre przepisy będą obowiązywać już wcześniej:

• Czerwiec 2026 r.: Jednostki oceniające zgodność mogą oceniać spełnienie wymagań CRA.
• Wrzesień 2026 r.: Rozpoczyna się obowiązek zgłaszania luk w zabezpieczeniach i innych incydentów związanych z bezpieczeństwem.
• 11 grudnia 2027 r.: Wszystkie wymagania CRA dotyczące nowych produktów muszą być spełnione.
   

Co 11 sekund dochodzi do ataku hakerskiego. Powoduje to koszty w wysokości ponad 5 bilionów euro. Tak pisze Komisja Europejska w swojej strategii cyberbezpieczeństwa, podkreślając tym samym, że w przyszłości należy zapewnić wyższy poziom cyberbezpieczeństwa. Celem jest włączenie określonych wymagań jako stałego elementu całego łańcucha dostaw.

Nowa ustawa „akt o cyberodporności” ma na celu zapewnienie większego bezpieczeństwa produktów cyfrowych dla osób fizycznych i przedsiębiorstw. Producenci takich produktów, zarówno sprzętu, jak i oprogramowania, będą zobowiązani do usuwania luk w zabezpieczeniach za pomocą aktualizacji oprogramowania oraz informowania użytkowników końcowych swoich produktów o potencjalnych zagrożeniach dla cyberbezpieczeństwa. Ponadto rozporządzenie określa wymagania dotyczące rozwoju oprogramowania, podkreślając tym samym zasadę „bezpieczeństwa przez projektowanie” (security by design) wymaganą już w obowiązującej ustawie o cyberbezpieczeństwie.
 

Przedstawione przez Komisję Europejską przepisy dotyczące cyberbezpieczeństwa mają nadrzędny cel, jakim jest wprowadzenie na rynek wewnętrzny bezpieczniejszych produktów sprzętowych i oprogramowania. Komisja konkretyzuje cele aktu prawnego w postaci 4 środków:

1. Zapewnienie, że producenci poprawiają bezpieczeństwo produktów zawierających elementy cyfrowe już na etapie projektowania i rozwoju oraz przez cały cykl życia produktu.
2. Zapewnienie spójnych ram w zakresie cyberbezpieczeństwa, które ułatwią producentom sprzętu i oprogramowania przestrzeganie przepisów.
3. Poprawa przejrzystości właściwości bezpieczeństwa produktów zawierających elementy cyfrowe.
4. Umożliwienie przedsiębiorstwom i konsumentom bezpiecznego korzystania z produktów zawierających elementy cyfrowe.
    

Z zakresu stosowania rozporządzenia wynika, że obszar ten jest bardzo szeroki:

„Niniejsze rozporządzenie stosuje się do udostępnianych na rynku produktów z elementami cyfrowymi, których przeznaczenie lub racjonalnie przewidywalne wykorzystanie obejmuje bezpośrednie lub pośrednie logiczne lub fizyczne połączenie danych z urządzeniem lub siecią.“

Dzięki luźnej definicji „elementów cyfrowych” rozporządzenie obejmuje zarówno sprzęt, taki jak maszyny i urządzenia IoT, jak i produkty czysto programowe.

W zakresie stosowania wymieniono również wyjątki, np. wyroby medyczne zgodnie z rozporządzeniem (UE) 2017/745 nie wchodzą w zakres stosowania planowanego aktu prawnego.

Akt prawny reguluje również przyszłą współpracę z rozporządzeniem delegowanym 2022/30, które już teraz wymaga spełnienia wymagań bezpieczeństwa dotyczących internetowych instalacji w rozumieniu dyrektywy 2014/53/UE w sprawie urządzeń radiowych. Bruksela ogłosiła, że w celu uniknięcia nakładania się przepisów rozporządzenie 2022/30 zostanie uchylone lub jedynie uzupełnione.
 

Analogicznie do dotychczasowych aktów prawnych UE (np. dyrektywy maszynowej lub dyrektywy niskonapięciowej), akt o cyberodporności również przewiduje procedurę oceny zgodności.

Istotą tej procedury jest ocena ryzyka cybernetycznego. W art. 13 ust. 2 rozporządzenia przewidziano, co następuje:

„ (...) producenci przeprowadzają ocenę ryzyka w cyberprzestrzeni związanego z produktem z elementami cyfrowymi i uwzględniają wynik tej oceny na etapie planowania, projektowania, opracowywania, produkcji, dostarczania i utrzymania produktu z elementami cyfrowymi w celu zminimalizowania ryzyka w cyberprzestrzeni, zapobiegania incydentom i zminimalizowania ich skutków, w tym w odniesieniu do zdrowia i bezpieczeństwa użytkowników“

W zależności od krytyczności produktów procedura oceny zgodności rozróżnia między samocertyfikacją a dwiema procedurami, w których konieczne jest zaangażowanie jednostek notyfikowanych. Szczegółowe informacje na ten temat można znaleźć w arkuszu informacyjnym dotyczącym aktu o cyberodporności.

Naszym zdaniem szczególnie istotne dla producentów są postanowienia zawarte w załączniku VII, ustęp 2 rozporządzenia. W dokumencie tym wymieniono różne aspekty (projektowanie, rozwój, produkcja, analiza słabych punktów) jako treści dokumentacji technicznej. Oznacza to, że zgodnie z wytycznymi Komisji Europejskiej w procesie tworzenia oprogramowania należy w przyszłości odpowiednio dokumentować decyzje dotyczące architektury oprogramowania, a także decyzje dotyczące procesu rozwoju i kompilacji. Oczywiście oznacza to dla przedsiębiorstw zwiększony nakład pracy związany z dokumentacją. W szczególności szybki rozwój technologiczny narzędzi związanych z tworzeniem oprogramowania (np. dla procesów kompilacji) z pewnością postawi przed przedsiębiorstwami w przyszłości możliwe do pokonania, ale nie należy ich lekceważyć, wyzwania organizacyjne.

Treść w brzmieniu:

„ZAWARTOŚĆ DOKUMENTACJI TECHNICZNEJ

(…)

opis projektowania, opracowywania i produkcji produktu z elementami cyfrowymi oraz procedur postępowania w przypadku wykrycia podatności, w tym:

(a) niezbędne informacje o projektowaniu i opracowaniu produktu z elementami cyfrowymi, w tym w stosownych przypadkach rysunki i schematy lub opis architektury systemu wyjaśniający, jak elementy oprogramowania współgrają ze sobą lub wzajemnie się uzupełniają oraz włączają się w ogólne przetwarzanie;

(b) niezbędne informacje i specyfikacje wprowadzonych przez producenta procedur postępowania w przypadku wykrycia podatności, w tym zestawienie podstawowych materiałów do produkcji oprogramowania, politykę skoordynowanego ujawniania podatności, dowód, że podano adres do kontaktu do celów zgłaszania podatności, oraz opis rozwiązań technicznych wybranych na potrzeby bezpiecznej dystrybucji aktualizacji;

(c) niezbędne informacje i specyfikacje dotyczące procesów produkcji i monitorowania produktu z elementami cyfrowymi oraz walidacji tych procesów;“
 

Niemiecki Federalny Urząd ds. Bezpieczeństwa Technologii Informacyjnych (BSI) oferuje wsparcie w identyfikacji wymagań CRA dla producentów poprzez opublikowanie wytycznych technicznych TR-03183. Więcej informacji na ten temat można znaleźć w naszym artykule specjalistycznym „Wytyczne techniczne dotyczące wymagań w zakresie cyberodporności” (w języku angielskim).
 

W dniu 3 lutego 2025 r. Komisja oficjalnie zwróciła się do europejskich organizacji normalizacyjnych CEN, CENELEC i ETSI o opracowanie „zharmonizowanych norm dotyczących zasadniczych wymogów w zakresie cyberbezpieczeństwa wymienionych w załączniku I do niniejszego rozporządzenia”. W ramach takiego zadania normalizacyjnego Komisja dąży do uwzględnienia istniejących europejskich i międzynarodowych norm w dziedzinie cyberbezpieczeństwa, które zostały już opublikowane lub są obecnie opracowywane.

Główny dokument zlecenia normalizacyjnego zawiera motywy oraz aspekty formalne, takie jak sprawozdawczość i ważność, natomiast w załącznikach do zlecenia przedstawiono konkretne wykazy nowych norm europejskich, które mają zostać opracowane (załącznik I), oraz profil wymagań (załącznik II), podzielone na normy horyzontalne i wertykalne.

Normy horyzontalne (wiersze 1–15 w załączniku I) mają na celu stworzenie spójnych ram ogólnych w odniesieniu do wymagań bezpieczeństwa oraz postępowania w przypadku luk w zabezpieczeniach. Natomiast normy wertykalne (wiersze 16–41) obejmują wymagania bezpieczeństwa dla określonych kategorii produktów.

W swoim webinarium „Standards supporting the Cyber Resilience Act”¹ CEN/CENELEC przedstawił również hierarchiczny model takich przyszłych norm CRA, który bardzo przypomina podział na normy typu A, B i C w Dzienniku Urzędowym UE dotyczącym dyrektywy maszynowej lub rozporządzenia maszyn. Również w tym przypadku obowiązuje zasada:

• normy typu A (podstawowe normy bezpieczeństwa) mają służyć jako ramy dla wszystkich elementów określonych w sekcji 1 niniejszego załącznika i określają najważniejsze elementy, które muszą być zawarte w innych normach bezpieczeństwa produktów do celów rozporządzenia w sprawie cyberodporności.
• Normy typu B (podstawowe normy bezpieczeństwa) mają zapewnić kompleksowy i użyteczny przegląd odpowiednich mechanizmów bezpieczeństwa, które mogą mieć zastosowanie do produktów objętych zakresem rozporządzenia w sprawie cyberodporności. W tym przypadku rozróżnia się normy typu B dotyczące środków technicznych niezależnych od produktu oraz normy dotyczące postępowania z lukami w zabezpieczeniach
• Normy typu C to pionowe normy bezpieczeństwa cybernetycznego dla określonych kategorii produktów CRA. W tym przypadku rozróżnia się produkty „ważne” i „krytyczne”.

Zgodnie z informacjami podanymi podczas webinarium, termin przyjęcia normy (norm) horyzontalnej typu A oraz norm typu B dotyczących postępowania z lukami w zabezpieczeniach przewidziano najpóźniej na 30 sierpnia 2026 r. Normy typu C dla poszczególnych kategorii produktów muszą być dostępne do 30 października 2026 r., a tuż przed wejściem w życie CRA 11 grudnia 2027 r. pojawią się normy typu B dotyczące środków technicznych (30 października 2027 r.). Przegląd przyszłej kategoryzacji oraz planowanego wdrożenia znajduje się na poniższym wykresie²: