Evropska Unija je 23. oktobra 2024 izdala Uredbo CRA, ki določa obvezne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi (strojna in programska oprema), ki se dajejo na trg EU, ter pravila za dokazovanje skladnosti in nadzor trga. CRA je torej že del pravnega reda EU in se uvaja z večletnim prehodnim obdobjem do polne uporabe. V tem obdobju se na EU ravni dopolnjuje izvedbeni okvir, na primer tehnične podrobnosti in kategorizacije izdelkov ter smernice za izvajanje postopkov, istočasno pa se vzpostavljajo operativni mehanizmi za poročanje in nadzor s strani držav članic.
»V Sloveniji se prav tako pripravljamo na izvajanje in sicer bomo z uredbo o izvajanju Uredbe CRA določili vloge pristojnih organov, na primer za nadzor trga in notificiranje, potek pritožbenega postopka, obdelavo podatkov za učinkovito izvajanje ter sankcije, ki se bodo uporabljale za kršitve,« je povedal dr. Tilen Gorenšek iz Sektorja za dvig odpornosti v Uradu Vlade Republike Slovenije za kibernetsko varnost.
dr. Tilen Gorenšek, Sektor za dvig odpornosti, URSIV
Kot je še povedal Gorenšek se Uredba CRA uporablja neposredno, zato se z nacionalno ureditvijo določijo le pristojni organi ter pravila izvajanja in sankcioniranja. V Sloveniji je to Zakon o spodbujanju kibernetske varnosti in odpornosti, ki sicer ne ureja skladnosti izdelkov na trgu, ampak vzpostavlja okvir za spodbude in (so)financiranje ukrepov in projektov kibernetske varnosti in odpornosti.
Uredba (EU) 2024/2847 Evropskega parlamenta in Sveta z dne 23. oktobra 2024 o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi uredb (EU) št. 168/2013 in (EU) 2019/1020 ter Direktive (EU) 2020/1828 (Akt o kibernetski odpornosti - CRA) (v nadaljevanju Uredba CRA) je uredba EU, ki določa obvezne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi (strojna in programska oprema), ki se dajejo na trg EU, ter pravila za dokazovanje skladnosti in nadzor trga. Akt o kibernetski varnosti (2019) vzpostavlja okvir EU za kibernetsko certificiranje in vlogo ENISA, CRA pa kot ločena uredba uvaja obvezne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi ter pravila ugotavljanja skladnosti in nadzora trga
ZsKVO je trenutno v postopku usklajevanja, konkretna časovnica uveljavitve zakona pa je sicer odvisna od poteka zakonodajnega postopka kar v praksi pomeni pripravo različnih podlag za izvajanje ukrepov. Poenostavljeno povedano CRA vzpostavlja regulacijo proizvodov – obveznosti proizvajalcev in preverjanje skladnosti – ZsKVO pa instrument podpore, kako država pospešuje in financira dvig kibernetske varnosti in odpornosti.
Večfazni proces implementacije uredbe
Implementacija CRA poteka v treh fazah. Prvo fazo predstavlja obveznost proizvajalcev, da prilagodijo razvoj in vzdrževanje, na primer varnost po zasnovi, upravljanje ranljivosti, posodobitve, dokumentacija, informacije za uporabnike, medtem ko morajo distributerji in uvozniki oziroma pooblaščeni zastopniki vzpostaviti ustrezne postopke ter mehanizme, s katerimi bodo izpolnjevali obveznosti, ki izhajajo iz Uredbe CRA.
Druga faza je dokazovanje skladnosti, kar je sicer odvisno od kategorije izdelka.
»Pri pomembnih in kritičnih izdelkih je praviloma predviden strožji postopek ugotavljanja skladnosti, pogosto z vključitvijo priglašenega organa. Rezultat je dokazilo oziroma certifikat o skladnosti po postopku, ki ga določa CRA,« je razložil Gorenšek.
V okviru tretje faze morajo države članice poskrbeti za ustrezno vzpostavitev učinkovitega izvajanja uredbe CRA, kar v praksi pomeni opredelitev priglasitvenega organa, ustrezen nadzor trga, vzpostavitev postopkov pritožb, informacijskih poti poročanja ter sankcioniranje v primeru kršitev, kot so predvidene v uredbi CRA.
Kibernetska varnost ni več samo »po najboljših močeh«, temveč je sistemska obveznost za izdelke z digitalnimi elementi – za strojno in programsko opremo – skozi celoten življenjski cikel.
Učinki uredbe bodo občuteni že pred skrajnim rokom
Ključni mejniki glede Uredbe CRA so tudi trije. 11. junija 2026 se bo pričel uporabljati del Uredbe CRA, ki se nanaša na priglasitev organov za ugotavljanje skladnosti. Naslednji časovni mejnik je 11. september 2026, ko se začne uporabljati del Uredbe CRA, ki se nanaša na obvezno poročanje proizvajalcev o aktivno izkoriščenih ranljivostih in hudih incidentih. Z 11. decembrom 2027 pa se začne uporabljati Uredba CRA še v vseh preostalih delih.
Seveda se bodo učinki Uredbe CRA čutili že pred decembrom 2027, predvideva Gorenšek. Nabavne in dobavne verige bodo namreč pričele zahtevati dokazila o skladnosti in posledično varnosti že prej, ker se tveganja in odgovornosti načeloma prenesejo v pogodbe in različne tehnične specifikacije.
Nič več varnosti po merilih proizvajalca
Kot pravi Gorenšek, uredba za proizvajalce pomeni, da kibernetska varnost ni več samo »po najboljših močeh«, temveč je sistemska obveznost za izdelke z digitalnimi elementi – za strojno in programsko opremo – skozi celoten življenjski cikel.
Takšen celovit pristop obsega
- obvladovanje kibernetskih tveganj in dobavne verige (tudi komponent in odvisnosti);
- formalizirano upravljanje ranljivosti (sprejem prijav, triaža, odprava, obveščanje);
- varne in pravočasne posodobitve ter jasno opredeljeno obdobje podpore;
- dokazljiva dokumentacija in informacije za uporabnike, ki omogočajo preverjanje.
Primer procesa upravljanja z ranljivostmi. Proizvajalec mora obravnavati ranljivosti v navedenem obdobju podpore in poročati o aktivno izkoriščanih ranljivostih in resnih incidentih, ki vplivajo na varnost izdelka. Vir: https://digital-strategy.ec.europa.eu/en/policies/cra-manufacturers
Za uporabnike oziroma potrošnike, od javne uprave do podjetij in posameznikov prihajajoča ureditev pomeni bolj pregledno primerjavo ponudb in manj skritega tveganja. »Kupec bo lahko upravičeno pričakoval dokazila o skladnosti, jasnejše informacije o podpori ter posodobitvah in bolj predvidljivo ter odgovorno ravnanje dobavitelja ob ranljivostih in incidentih,« je izpostavil Gorenšek in dodal, da bo v praksi to izboljšalo kakovost nabavnih odločitev in zmanjšalo tveganje za nakup izdelkov brez realne podpore ali brez urejenega varnostnega vzdrževanja.
V praksi to izboljšalo kakovost nabavnih odločitev in zmanjšalo tveganje za nakup izdelkov brez realne podpore ali brez urejenega varnostnega vzdrževanja.
Cilj Uredbe CRA je standardizacija in zaostritev varnostnih pričakovanj pri izdelkih z digitalnimi elementi, kar bo gotovo spremenilo zahteve pri naročanju oziroma poenostavilo primerjanje konkurenčnih produktov. Slednje se bo odražalo v pogostejših zahtevah glede obdobja podpore, posodobitev, upravljanja ranljivosti, varnih privzetih nastavitev in dokazil o skladnosti. Na drugi strani bo pripomoglo k bolj jasnem opredeljevanju pogodbeno-varnostnih obveznosti dobaviteljev, na primer glede odzivnosti, obveščanja in popravkov ter k povečanju obsega preverjanja dobaviteljev v dobavni verigi.
Za bistvene in pomembne subjekte bo učinek Uredbe CRA praviloma izrazitejši, ker se varnostni kriteriji bolj neposredno prevedejo v operativno tveganje in regulatorno odgovornost. Gorenšek zato pričakuje, da bodo njihove zahteve v pogodbah in specifikacijah najverjetneje strožje.
Proizvajalci bodo o skladnosti poročali že od letošnjega septembra
Pri Uredbi CRA gre za kombinacijo preverjanja na podlagi:
- ugotavljanja skladnosti izdelkov (odvisno od vrste izdelka: samoocena ali vključitev priglašenega organa v postopek ugotavljanja skladnosti),
- obveznih dokazil (tehnična dokumentacija, izjava o skladnosti, informacije za uporabnike, dokazljiv režim posodobitev in upravljanja ranljivosti),
- nadzora trga, kjer pristojni organi lahko preverjajo skladnost izdelkov na trgu, zahtevajo dokumentacijo, izvajajo ukrepe ob neskladjih in izrekajo sankcije.
Poseben poudarek od septembra 2026 dalje je poročevalska obveznost proizvajalcev.
Gorenšek je povedal, da je naloga držav članic vzpostavitev nacionalne elektronske vstopne točke, prek katere proizvajalci oziroma uvozniki, distributerji ali pooblaščeni zastopniki, kadar so po CRA za to zavezani oziroma nastopajo v imenu proizvajalca, oddajo prijavo.
»Nacionalna vstopna točka bo tehnično povezana z enotno evropsko platformo za poročanje, ki jo upravlja ENISA, z namenom enkratnega poročanja. Zavezanec torej poroča na ravni države članice, informacije pa se nato posredujejo relevantnim deležnikom na ravni EU,« je dodal Gorenšek.
Proizvajalci oziroma njihovi zastopniki bodo finančne obremenitve zaradi višjih zahteve glede varnosti izdelkov in storitev z digitalnimi elementi torej prenesli na kupce.
Zmanjšanje tveganj bi imelo svojo ceno
Uredba o kibernetski odpornosti prinaša merljive stroške skladnosti (varnost po zasnovi, testiranja, dokumentacija, upravljanje ranljivosti, varne posodobitve, daljše obdobje podpore izdelka, ipd.) tako da Gorenšek pričakuje povečanje cen. Proizvajalci oziroma njihovi zastopniki bodo finančne obremenitve zaradi višjih zahteve glede varnosti izdelkov in storitev z digitalnimi elementi torej prenesli na kupce.
»Po razpoložljivih ocenah se lahko cene izdelkov z digitalnimi elementi v povprečju zvišajo za približno 5 do 15 odstotkov, pri čemer bo vpliv nižji pri proizvajalcih z že zrelimi procesi in višji pri izdelkih z višjimi zahtevami, recimo tam, kjer je potrebna vključitev organa za ugotavljanje skladnosti,« je napovedal Gorenšek in zaključil, da se bo pri storitvah učinek pokazal predvsem posredno in sicer zaradi strožjih zahtev glede podpore, odzivnosti, vzdrževanja in dokazil skozi celoten življenjski cikel izdelka.
