A Cyber Resilience Act (CRA) mérföldkőnek számít az európai kiberbiztonsági szabályozásban: először határoz meg kötelező kiberbiztonsági követelményeket minden digitális elemet tartalmazó termékre. A rendelet célja, hogy a gyártók, importőrök és forgalmazók már a tervezés és fejlesztés során gondoskodjanak termékeik biztonságáról – a szoftverfrissítésektől a sérülékenységkezelésig.
Az EU 2024/2847 rendelete 2024. december 10-én lépett hatályba, hároméves átmeneti időszakkal. 2027. december 11-től csak olyan termék hozható forgalomba az EU-ban, amely megfelel a CRA követelményeinek. Már 2026 szeptemberétől érvénybe lépnek bizonyos bejelentési kötelezettségek is.
A CRA minden olyan vállalatot érint, amely hálózatra kapcsolt hardver- vagy szoftverterméket gyárt, importál vagy értékesít az EU-ban – a nagyvállalatoktól a kkv-kig. Érintett termékek például: okostelefonok, routerek, ipari vezérlőrendszerek, érzékelők, vállalati szoftverek, játékok stb. Kivételt képeznek a nemzetbiztonsági célú, orvosi, járműipari vagy légiközlekedési termékek, illetve a nem kereskedelmi célú nyílt forráskódú szoftverek.
A CRA két nagy területet határoz meg:
|
|
1.
|
|
Alapvető kiberbiztonsági követelmények, amelyek a teljes életciklusra – a tervezéstől a karbantartásig – vonatkoznak.
|
|
|
2.
|
|
Aktív sérülékenységkezelés, amely magában foglalja a gyengeségek nyilvántartását, a szoftveranyagjegyzék készítését, valamint a biztonsági frissítések kötelező biztosítását.
|
Ezeket a követelményeket a CEN, a CENELEC és az ETSI dolgozza ki az M/606 szabványosítási kérelem alapján. A készülő harmonizált európai szabványok célja a megfelelés megkönnyítése és annak biztosítása, hogy a CE-jelölés a jövőben a kiberbiztonsági megfelelésre is kiterjedjen.
A CRA nem a nulláról indul: az iparban már régóta alkalmazott IEC 62443 szabványsorozat szolgál alapul, különösen az alábbi részei:
Ezek a szabványok segítenek a CRA követelményeinek gyakorlati megvalósításában, és biztosítják a nemzetközi összhangot.
Összegezve, a Cyber Resilience Act új szabályokat határoz meg az európai digitális piac számára. A kiberbiztonság többé nem opcionális – a megfelelés jogi és üzleti érdek is. Aki időben felkészül, nemcsak piaci előnyét őrizheti meg, hanem hozzájárulhat Európa biztonságosabb, megbízhatóbb digitális jövőjéhez is.
Forrás: https://www.dke.de/de/arbeitsfelder/cybersecurity/cyber-resilience-act
Nagy Gábor
2025. november