Polski Fundusz Rozwoju w ramach cyklu #CyberRegulacje wyjaśnia założenia rozporządzenia Cyber Resilience Act (CRA) oraz przedstawia, jak wpływa ona na producentów, dostawców i użytkowników technologii, zapewniając wyższy poziom bezpieczeństwa cyfrowego!

Krok 1. Czym jest CRA?

Cyber Resilience Act (CRA) to rozporządzenie Unii Europejskiej, mający na celu ustanowienie standardów w zakresie zasad cyberbezpieczeństwa urządzeń łączących się z Internetem, zwłaszcza w obszarze Internetu Rzeczy. Głównym dążeniem aktu prawnego jest zapewnienie wyższej jakości, niezawodności oraz bezpieczeństwa produktów i usług z zakresu IoT.

Krok 2. Kogo dotyczy?

Producenci sprzętu i oprogramowania będą zobowiązani do spełnienia szeregu kluczowych wymagań w zakresie cyberbezpieczeństwa. Przede wszystkim będą musieli zapewnić skuteczne usuwanie ewentualnych podatności na zagrożenia przez cały okres przewidywanego użytkowania produktu lub co najmniej przez pięć lat od jego wprowadzenia na rynek.

Dodatkowo, w przypadku wykrycia usterek w produktach lub usługach, producenci będą zobowiązani do ich niezwłocznego zgłaszania Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w ciągu 24 godzin od momentu identyfikacji problemu.

Wymagania te dotyczą różnych stron zaangażowanych w cykl życia tych produktów, od projektowania i rozwoju po dystrybucję i nadzór rynku!

Krok 3. Terminy obowiązywania

Rozporządzanie zostało przyjęte 23 października 2024 r. Producenci mają 24 miesiące na pełne wdrożenie wymogów rozporządzenia, z wyjątkiem obowiązków związanych ze zgłaszaniem podatności i incydentów, które muszą być spełnione w ciągu 12 miesięcy od wejścia w życie aktu.

Krok 4. Jak przygotować firmę i uniknąć kar?

Warto rozpocząć od przeprowadzenia audytu praktyk związanych z projektowaniem, rozwojem i utrzymaniem produktów cyfrowych. Analiza ta pozwoli na identyfikację obszarów wymagających poprawy w kontekście nowych regulacji i zwiększenia poziomu cyberbezpieczeństwa.

Bezpieczeństwo powinno być uwzględniane na każdym etapie cyklu życia produktu – od fazy projektowania, poprzez rozwój, aż po wdrożenie i utrzymanie. Kluczowe jest wdrożenie regularnych testów penetracyjnych, analizy kodu źródłowego oraz ciągłego monitorowania podatności, aby na bieżąco eliminować potencjalne zagrożenia.

Istotnym elementem jest także skuteczne zarządzanie podatnościami i aktualizacjami. Organizacja powinna wdrożyć mechanizmy umożliwiające szybkie wykrywanie, zgłaszanie i usuwanie luk w zabezpieczeniach

Bezpłatny kurs PFR.

PFR poleca kurs Firma bezpieczna cyfrowo, przygotowany z niebezpiecznik.pl, z którego dowiesz się, jak prosto zabezpieczyć firmę w sieci, podnieść standardy bezpieczeństwa i ochronić się przed kosztownymi incydentami.

Szczegóły kursu

Źródło: Polski Fundusz Rozwoju S.A.