Rozporządzenie w sprawie cyberodporności. Czego dotyczy i co zmienia?

Rozporządzenie o odporności cyfrowej (ang. Cyber resilience Act, CRA) stanowi odpowiedź unijnego ustawodawcy na zagrożenia związane z cyberatakami. Liczba i natężenie takich zagrożeń w przeciągu ostatnich lat drastycznie wzrasta i stanowi zagrożenie dla kluczowych sektorów gospodarek, jak służba zdrowia, bankowość, bezpieczeństwo narodowe, czy energetyka, ale także dla „zwykłych” konsumentów. Dlatego tak ważne jest, aby dostawcy produktów cyfrowych gwarantowali odpowiednio wysoki poziom bezpieczeństwa swoich wyrobów.

Akt prawny CRA znajduje zastosowanie do wszystkich produktów z elementami cyfrowymi, których przeznaczenie lub racjonalne przewidywalne wykorzystanie obejmuje bezpośrednie lub pośrednie, logiczne lub fizyczne połączenie danych z urządzeniem lub siecią. W praktyce będą to np. smartwatche, telefony komórkowe, urządzenia AGD/RTV, czy elektroniczne nianie dla dzieci. Stosowanie rozporządzenia jest wyłączone jedynie w przypadku obszarów, które są już regulowane przez inne przepisy wspólnotowe, czyli:

• samochody (rozporządzenie 2019/2144),

• statki powietrzne (rozporządzenie 2018/1139),

• urządzenia medyczne (rozporządzenie MDR 2017/745 oraz 2017/746),

• urządzenia morskie podlegające regulacji w dyrektywie MED. (2014/90/UE).

Rozporządzenie CRA stosuje się wyłącznie do celów cywilnych. Nie obowiązuje ono w przypadku wyrobów cyfrowych związanych z bezpieczeństwem narodowym, obronnością lub przetwarzaniem informacji niejawnych.

W świetle omawianych przepisów okazuje się, że nie wystarczy, że producent zaprojektuje i wytworzy towar, aby wprowadzić go na rynek. Niezbędne jest również:

• spełnienie wymagań zasadniczych wymienionych w załączniku I część I do CRA,

• wykazanie zgodności procedur stosowanych przez producenta z wymaganiami wymienionymi w załączniku I część II CRA.

Jeżeli chodzi o wymagania zasadnicze, to przede wszystkim na rynek mają trafiać produkty zapewniające odpowiedni poziom cyberbezpieczeństwa, adekwatny do stwarzanego ryzyka. Konieczne jest też zagwarantowanie, że produkt w stosownych przypadkach:

• nie zawiera znanych i możliwych do wykorzystania podatności,

• może być zresetowany do ustawień domyślnych,

• zapewnia możliwość eliminacji podatności poprzez aktualizacje oprogramowania,

• zapewnia ochronę przed nieuprawnionym dostępem (np. poprzez system haseł i autoryzacji),

• zapewnia należyty poziom ochrony danych,

• zabezpiecza kluczowe funkcje na wypadek atak DoS/DDoS,

• jest projektowany tak, aby ograniczyć „powierzchnię ataku”, czyli obszary, w których może dojść do nieuprawnionego dostępu, np. poprzez ograniczenie interfejsów zewnętrznych.

Jeśli zaś chodzi o procedury stosowane przez producenta, to przede wszystkim należy zadbać o testowanie produktu, dokumentowanie podatności i ich eliminowanie poprzez regularne aktualizacje oraz bezpieczną dystrybucję update’ów. Wbrew pozorom nawet urządzenia o relatywnie prostej budowie, jak sprzęt AGD z aplikację mobilną potrafią wyrządzić poważne szkody chociażby przez możliwość włamania się do lokalnej sieci Wi-Fi i rozprzestrzeniania złośliwego oprogramowania na każdym podłączonym urządzeniu.

Unijne rozporządzenie w sprawie odporności cyfrowej nakłada wiele wymagań, które producent musi spełnić, planując wprowadzenie produktu na rynek. Poniżej prezentujemy te najważniejsze.

Ocena ryzyka

Wprowadzenie do obrotu produktów z elementami cyfrowymi wymaga przeprowadzenia przez producenta oceny ryzyka w cyberprzestrzeni. Powinna ona uwzględniać nie tylko kryteria wymienione we wspomnianych załącznikach I.I i I.II do rozporządzenia, ale także:

• przeznaczenie produktu,

• racjonalne przewidywane wykorzystanie produktu,

• warunki użytkowania produktu z elementami cyfrowymi (m.in. środowisko operacyjne, aktywa podlegające ochronie).

Ocena ryzyka w cyberprzestrzeni powinna stanowić część dokumentacji technicznej produktu i należy ją aktualizować. Okres przechowywania dokumentacji wynosi minimum 10 lat, chyba że okres wsparcia jest dłuższy.

Producenci zapewniają użytkownikom wsparcie w zakresie cyberbezpieczeństwa produktów przez czas odpowiadający przewidywanemu cyklowi ich życia (minimum 5 lat, chyba że cykl życia produktu jest krótszy). W szczególności powinni opracować postępowanie na wypadek wykrycia podatności.

Kolejnym obowiązkiem jest opracowanie polityki i procedury regulujące skoordynowane ujawnianie podatności do celów ich eliminowania niezależnie od tego, czy zgłoszenie pochodzi ze źródła wewnętrznego, czy zewnętrznego.

Aktualizacje oprogramowania a zgodność z CRA

Każda aktualizacja oprogramowania publikowana w okresie wsparcia ma być dostępna jeszcze przez 10 lat lub przez pozostałą część okresu wsparcia, w zależności od tego, który z tych okresów jest dłuższy. W sytuacji, kiedy producent udostępnia kolejne aktualizacje oprogramowania, ma on obowiązek zapewnienia zgodności z CRA jedynie względem najnowszego wydania software’u pod warunkiem, że z pozostałych użytkownicy mogą korzystać bezpłatnie oraz zostali poinformowani o ryzykach związanych z korzystaniem z historycznych (niewspieranych) wersji aplikacji.

Dokładne oznaczenie produktu i wyznaczenie punktu kontaktowego

Obowiązkiem producenta jest też oznaczenie wyrobu w sposób niebudzący wątpliwości, w szczególności poprzez podanie:

• numeru typu, partii lub numeru seryjnego,

• nazwy, zarejestrowanej nazwy handlowej lub zarejestrowanego znaku towarowego producenta,

• adres pocztowy, adres e-mail lub inne cyfrowe dane kontaktowe (w języku łatwo zrozumiałym dla użytkowników i organów rynku nadzoru,

• adres witryny internetowej, pod którą można skontaktować się z producentem.

Przedsiębiorcy muszą wyznaczyć punkt kontaktowy dla użytkowników. W ten sposób osoby, które nabyły produkt, mogą łatwo zgłaszać wykryte podatności.

Opracowanie instrukcji

Do produktu z elementami cyfrowymi należy opracować instrukcję. Dokument może zostać sporządzony w formie papierowej lub elektronicznej. Należy go sporządzić w sposób jasny, zrozumiały, przystępny i czytelny. Zasoby online powinny być udostępniane przez minimum 10 lat lub przez okres wsparcia. Data zakończenia okresu wsparcia powinna być wskazana na opakowaniu lub za pomocą środków cyfrowych. Wraz z instrukcją do produktu należy załączyć deklarację zgodności.

Zgłaszanie podatności

W przypadku aktywnego wykorzystania podatności (np. do ataku hakerskiego) nie wystarczy, że producent przyjmie stosowną informację od użytkownika, powinien przekazać ją dalej za pomocą wspólnej platformy sprawozdawczej do:

• krajowego zespołu CSIRT,

• europejskiej agencji cyberbezpieczeństwa ENISA.

Wraz ze zgłoszeniem trzeba przesłać opis podatności, udostępnione przez producenta środki naprawcze oraz szereg innych informacji. Dodatkowo producent i inne podmioty mogą dobrowolnie zgłaszać wykryte podatności, które nie zostały wykorzystane. Jako ciekawostkę warto wskazać, że producenci znanych przeglądarek internetowych (np. Google) regularnie organizują konkursy na wykrycie podatności, przyznając zwycięzcom wysokie nagrody finansowe.

Podobnie jak w przypadku RODO, czy AI Act, za naruszenie przepisów CRA grożą dotkliwe kary. Niespełnienie wymagań zasadniczych jest zagrożone sankcją w wysokości 15 milionów euro lub 2,5% łącznego rocznego światowego obrotu. Niezgodność z pozostałymi obowiązkami jest zagrożone sankcją do 10 milionów euro lub 2% rocznego, światowego obrotu. Przekazanie jednostkom notyfikowanym lub organom nadzoru informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd to kara do 5 milionów euro lub 1% rocznego światowego obrotu.

Unijny system kar nie ogranicza uprawnień państw członkowskich do wprowadzania sankcji w lokalnych porządkach prawnych.