Poznawanie unijnego aktu o cyberodporności — perspektywa producenta

Autor: Cedric Vincent, Head of Software Technology Lab at Tria Technologies

Łatwo uznać, że nowy akt Unii Europejskiej o cyberodporności (CRA) jest tylko kolejną przeszkodą regulacyjną dla inżynierów-projektantów elektroniki, ale byłby to poważny błąd.

Bez cienia przesady można powiedzieć, że agencja ratingowa (CRA) zmieni definicję projektowania, budowy i konserwacji systemów cyfrowych na całym świecie. Złożonością nowych przepisów muszą radzić sobie nie tylko zespoły ds. zgodności — CRA wprowadzi fundamentalną różnicę w projektowaniu systemów wbudowanych, urządzeń IoT (Internetu rzeczy) i elektroniki inteligentnej w skali globalnej. 

Wchodząc w szczegóły, największą indywidualną zmianą, jaką wprowadza nowe prawo UE, jest zmierzanie w kierunku podejścia „security-by-design”. Innymi słowy, inżynierowie i producenci oryginalnego sprzętu (OEM) muszą tworzyć systemy tak, aby od samego początku miały wbudowane zabezpieczenia cybernetyczne. To nie może być już tylko refleksja. Innym kluczowym czynnikiem jest gotowość do incydentów — co oznacza, że projektanci muszą uwzględnić w swoich systemach takie funkcje, jak rejestrowanie, diagnostyka i telemetria, aby wszelkie naruszenia bezpieczeństwa mogły być natychmiast wykrywane i zgłaszane w czasie rzeczywistym. Telemetria to zautomatyzowane gromadzenie i przesyłanie danych z systemów, urządzeń lub aplikacji.

Nieodpowiednie poziomy

Ważne jest również, aby zrozumieć, że CRA nie jest tylko kolejnym aktem prawnym wprowadzonym w celu utrudnienia życia inżynierom projektantów, ale istnieją fundamentalne powody, dla których akt ten został stworzony.

Według Komisji Europejskiej (KE) akt o cyberodporności (CRA) rozwiązuje problem „nieodpowiedniego poziomu cyberbezpieczeństwa w wielu produktach oraz brakiem terminowych aktualizacji zabezpieczeń produktów i oprogramowania”. Pozwala też walczyć z wyzwaniami, przed jakimi stają obecnie konsumenci i firmy, próbując określić, które produkty są bezpieczne. 

W opasłym akcie o cyberodporności czytamy, że celem tych przepisów jest zapewnienie, że sprzęt i oprogramowanie „zostaną wprowadzone na rynek z mniejszą liczbą luk w zabezpieczeniach oraz że producenci poważnie traktują zabezpieczenia przez cały cykl życia produktu”.

Być może najważniejsze jest to, że omawiany akt nałoży na producentów i detalistów obowiązkowe wymogi dotyczące cyberbezpieczeństwa na każdym ogniwie łańcucha dostaw — zwłaszcza w zakresie planowania, projektowania, rozwoju i konserwacji produktów. Oznacza to, że każde ogniwo musi być zgodne z wymogami — począwszy od dostawcy krzemu, a skończywszy na wytworzonym produkcie końcowym. Niektóre produkty nie będą mogły nawet zostać sprzedane na rynku UE, dopóki upoważniony organ nie przeprowadzi oceny za pośrednictwem strony trzeciej. Producenci będą musieli wiedzieć, czy ich produkty należą do tej kategorii.

Jutrzejsze konsekwencje

Krótko mówiąc, decyzje, które inżynier-projektant podejmuje dzisiaj podczas tworzenia systemów wbudowanych, mogą mieć konsekwencje prawne i operacyjne w przyszłości. Również finansowe, ponieważ termin pełnego wdrożenia nie jest tak odległy, producenci muszą mieć świadomość, że nieprzestrzeganie przepisów może prowadzić do surowych kar — obecnie 15 milionów euro lub 2,5% globalnych rocznych przychodów. Jest to główna zachęta do uporządkowania wszystkiego przed wejściem w życie przepisów.

Dla producentów, którzy o tym nie wiedzą, trzy ważne daty, które muszą zapamiętać to: 11 czerwca 2026 r., jako obowiązek zapewnienia zgodności przez jednostki oceniające zgodność z przepisami; 11 września 2026 r. zgłoszenie przez producentów wszelkich możliwych do wykorzystania luk w zabezpieczeniach; oraz 11 grudnia 2027 r., kiedy to akt CRA wejdzie w życie w pełni.

Czy producenci martwią się przepisami? A jakże. Niektórzy obawiają się, że może to stłumić innowacje, podczas gdy inni obawiają się, że niektóre mniejsze firmy mogą mieć trudności z wchłonięciem kosztów dostosowania się do tych skomplikowanych przepisów. To dwa bardzo ważne powody, dla których producenci muszą koniecznie sprawdzić każdy detal, jeśli chodzi o spełnienie nowych kryteriów. Poświęcenie całego tego czasu i pieniędzy na pracę nad osiągnięciem zgodności z przepisami, a następnie mierzenie się z koniecznością zapłaty kar z powodu naruszenia prawa wskutek jakiejś omyłki byłoby podwójnym błędem, którego wszyscy będą chcieli uniknąć.

Porady eksperckie

Z perspektywy producenta firma Tria współpracowała z takimi wiodącymi w branży partnerami, jak Qualcomm, NXP, Intel i Renesas. Skupiamy się na zapewnieniu zgodności produktów klientów z przepisami aktu o cyberodporności poprzez udzielanie porad eksperckich w zakresie produktów końcowych, które będą podlegać wspomnianemu aktowi. Jednocześnie dbamy o to, aby projektanci i producenci OEM mieli dostęp do najbardziej zaawansowanych, niestandardowych rozwiązań wbudowanych dla swoich produktów.

Istotne jest, aby producenci nie myśleli, że te przepisy dotyczą tylko Europy, ale istotne jest stworzenie bezpieczniejszego globalnego środowiska cyfrowego. Ponadto chodzi o coś znacznie więcej niż tylko o zapewnienie zgodności z przepisami - chodzi o nic innego jak o zaufanie do struktury naszego cyfrowego świata.

Producenci, którzy teraz przyjmą zmiany podyktowane przez akt o cyberodporności, będą w lepszej pozycji, aby być liderem w przyszłości. Producenci muszą zrozumieć, że wbudowując cyberbezpieczeństwo w DNA wszystkich swoich produktów połączonych, nie tylko spełniają wymogi regulacyjne, ale także uwalniają znaczną nową wartość dla klientów, partnerów, a nawet ogólnie dla społeczeństwa.

Cyberataki są plagą, która nieustannie wykorzystuje luki w globalnej infrastrukturze cyfrowej i zagraża integralności, prywatności i odporności systemów, od których ludzie polegają na co dzień. Akt o cyberodporności (CRA) jest niezbędnym aktem prawnym, a producenci na całym świecie mają obowiązek zapewnienia zgodności z nim swoich produktów.