EU Cyber Resilience Act — що саме він регулює та що зміниться для компаній та розробників

Привіт, мене звати Сергій Левітов, наразі працюю на позиції Lead Engineer у німецькій компанії Interflex Datensysteme. Маючи більше ніж десять років досвіду на різноманітних інженерних позиціях, у розробці продуктів та інноваціях, останні кілька років я зосередився на кібербезпеці — зокрема, в галузі Access Control & Time Management.

Починаючи з минулого року тема compliance стала для мене невід’ємною частиною повсякденної роботи, особливо з огляду на те, що нові нормативні акти ЄС продовжують формувати цифровий ландшафт. Одним з таких нормативних актів є так званий Cyber Resilience Act (CRA) (Official EU Journal Link), який змінює правила гри у сфері безпеки продуктів на європейському ринку. У цій статті я розповім, що означає CRA, чому він важливий і як він може вплинути на виробників як hardware та і чисто програмних продуктів.

Через те, що ЄС широко підійшов до теми кібербезпеки, під дію CRA підпадають дуже багато продуктів з цифровими елементами. Як відомо, багато продуктів, які продаються на ринку ЄС, мають маркування СЕ (Conformite Europeen). З 12 грудня 2027 року кожен продукт, навіть суто software-ний, повинен мати це маркування і відповідати критеріям з кібербезпеки. Ба більше, до 11 вересня 2026 року компанії будуть зобов’язані повідомляти про вразливості, які можна використати як органам влади, так і клієнтам. Тому CRA буде стосуватися не тільки продуктів, а й внутрішніх процесів компаній.

Давайте трошки поглибимося у вимоги, що висуваються до продуктів з цифровими елементами. Але спершу невеликий відступ.

Коли я починав читати документацію та вимоги, що висуваються CRA, я помітив багато хибних уявлень, що циркулюють серед продуктових команд.

Ось найпоширеніші з них:

«Мій продукт не входить у сферу застосування, тому що він (майже) не підключений до інтернету».

«Ми не зберігаємо дані користувачів, тому нас це не стосується».

«Я лише розробник (продакт-менеджер). Наш compliance responsible розбереться з цією черговою регламентною нісенітницею від ЄС».

Як на мене, такі припущення не просто неточні — вони можуть бути дуже ризикованими для компанії, адже CRA чітко визначає розмір штрафів у разі невідповідності вимогам. Найсуворішим покаранням може бути штраф у 15 мілійонів євро або повне зняття або блокування продукту на ринку.

Саме тому цією статтею я хотів би внести більшу ясність та розуміння стосовно Cyber Resilience Act.

Отож ще раз, що таке CRA?

Cyber Resilience Act — новий регламент ЄС, який вступив у дію 11 грудня 2024 року (транзитний період визначений як 36 місяців, тобто CRA повністю вступить в силу 12 грудня 2027-го). Ця регуляція покликана підвищиити кібербезпеку для всіх продуктів з цифровими елементами, що продаються на європейському ринку. Іншими словами, якщо ваш продукт має програмне забезпечення або може підключатися — прямо чи опосередковано — до мережі чи іншого пристрою, швидше за все, він підпадає під дію регламенту.

Цитуючи сам регламент, він поширюється на «продукти з цифровими елементами, доступні на ринку, цільове призначення або розумно передбачуване використання яких включає пряме або непряме логічне або фізичне підключення до пристрою або мережі».

Простою мовою — якщо ваш продукт взаємодіє з чимось цифровим, він, ймовірно, підпадає під дію CRA.

Що ж вважається «продуктом з цифровими елементами»

CRA розрізняє звичайні (General), важливі (Important: Class I and Class II) та критичні (Critical) продукти. Списки для важливих та критичних категорій вже визначені, і Європейська Комісія активно працює над додатковими роз’ясненнями до них та прикладами.

Коли ж справа доходить до звичайних продуктів, питання приналежності стає «більш відкритим» для інтерпретації. Саме тут багато компаній можуть хибно інтерпретувати, чи їх продукти підпадають під дію CRA.

Наведу девілька прикладів продуктів, які підпадають під дію CRA:

• IoT побутова техніка: тостер з Wi-Fi підключенням, розумні термостати або пилососи;
• промислове обладнання з дротовим або бездротовим підлюченням;
• велосипедний ліхтар з USB-роз’ємом (якщо ліхтарик може обмінюватися даними з іншою системою, його можна вважати таким, що підпадає під CRA).
• Software-застосунки (особливо ті, що обмінюються даними або взаємодіють з пристроями — смартфонами, консолями, ПК тощо).

Коротко кажучи, якщо ваш продукт підключається, обмінюється даними або оновлюється цифровим способом, він швидше за все кваліфікується як продукт з цифровими елементами — навіть якщо на перший погляд не має нічого спільного з кібербезпекою.

Розібравшись з питанням приналежності продукту, подивимося на наступний аспект, а саме:

До кого застосовується CRA

CRA застосовується до всіх компаній, які продають продукцію на території ЄС, незалежно від того, де відбувається розробка або виробництво. Розмір компанії не має значення — якщо ваш продукт виходить на ринок ЄС, CRA застосовується до вас.

До цього правила є декілька винятків, а саме CRA не застосовується до автомобільної, медичної, військової, авіаційної, та морської продукції. Продукти з цих галузей уже мають свої регуляції щодо кібербезпеки.

CRA — доволі великий документ на більш ніж 80 сторінок, в якому багато основної та додаткової інформації, що стосується не тільки виробників продуктів, а й імпортерів, користувачів, а також інших офіційних органів. Якщо сфокусуватися тільки на виробниках, то зміст та вимоги CRA можна підсувати у такі основні розділи:

• вимоги до розробки продукту: оцінка ризиків, аудит сторонніх компонентів та open/source бібліотек, створення SBOM (software bill of materials);
• вимоги до самого продукту: мінімізація векторів нападу, контроль доступу, захист від DoS-атак, безпечна передача даних, security-by-design;
• вимоги до підтримки: визначення мінімального терміну підтримки продукту, розділення feature та security-апдейтів;
• вимоги до звітування;
• вимоги до документації: встановлення єдиного контакту для обробки інформації, інструкції щодо оновлення продукту тощо.

Прочитавши усю вищезазначену інформацію ви можете поставити запитання — чому це повинно мене хвилювати чи стосуватися? Щоб відповісти на нього, я спробував поставив себе на місце деяких персон, що працюють у звичайній IT-компанії.

Розробники

З приходом CRA повсякденна робота розробників однозначно зміниться. Впровадження принципів безпечного дизайну (security-by-design) буде не просто модним словосполученням — це стане невід’ємною частиною процесу розробки. На практиці це означатиме:

• Створення детальних документів з аналізу безпеки для виявлення потенційних вразливостей.
• Застосування аналізу ризиків протягом усього життєвого циклу продукту — CRA розглядає оцінку ризиків як наріжний камінь відповіднсті.

Розробникам слід буде визнати, що деякі продукти за своєю суттю несуть більший ризик залежно від таких факторів, як:

• Встановлення у відкритих або громадських місцях.
• Доступність на відкритих/вільних ринках.
• Використання менш потужних мікроконтролерів, які можуть не підтримувати сучасні криптографічні стандарти.

Зрештою, розробникам потрібно буде глибоко інтегрувати cybersecurity mindset у свої робочі процеси не за залишковим принципом, а в якості одного з основних.

Технічні директори

Для технічних директорів CRA означає планування змін в архітектурі системи та процесах розробки, а саме:

• Створити комплексний опис всієї системи, її інфраструктури та активів. Це вкрай важливо, щоб зрозуміти, в яких ланках системи заховані найбільші загрози та ризики.
• Призначити відповідальну особу (або навіть команду) для дотримання вимог CRA. Звичайно, це може бути не щоденним завданням цієї людини, проте впровадження CRA має бути чітко визначеною частиною чиєїсь ролі.
• Виділити бюджет і ресурси на інвестиції в кібербезпеку та розбудову необхідної комплаєнс-інфраструктури.

Завчасна підготовка буде ключовим фактором для забезпечення відповідності організації вимогам CRA без порушення поточної діяльності.

CEOs

Керівники компаній повинні визнати пріоритет інвестицій у кібербезпеку та compliance. Ігнорування CRA — це не лише регуляторний ризик, але й загроза безперервності бізнесу та втрати конкурентної переваги компанії.

Якщо продукти та процеси в компанії не будуть відповідати вимогам CRA до грудня 2027 року, ви не зможете продавати свою продукцію на ринку ЄС.

Product Managers

CRA змінює те, як продaкт-менеджери планують та керують життєвим циклом продукту. Основні зміни включають:

• Визначення того, які продукти будуть продовжувати продаватися і підтримуватися після 12 грудня 2027 року.
• Поступове виведення з обігу застарілих продуктів, які не відповідатимуть вимогам CRA.
• Включення compliance mindset-у в дорожню карту розробки продукту.

Що зробити, щоб бути CRA-Ready

Переходячи від теорії до практики, ось кілька конкретних кроків, які б я порекомендував зробити компаніям, щоб зробити продукти та процеси CRA-Ready:

Крок 1: Оцініть, чи входить ваша продукція у сферу застосування

Для hardware-продуктів:

Чи має ваш продукт логічний або фізичний зв’язок з іншими пристроями або мережами?

Якщо так — ви потрапляєте в сферу дії.

Приклад: фітнес-браслет підпадає під дію CRA, електронний калькулятор — ні.

Для software-продуктів:

Чи ваше програмне забезпечення обмінюється інформацією або керує обладнанням чи пристроями?

Якщо так — ви підпадаєте під сферу дії.

Типовими прикладами є мобільні застосунки, які отримують доступ до камери, мікрофона чи пам’яті вашого смартфона.

Крок 2: Невідкладні дії

Що, на мою думку, потрібно зробити прямо зараз:

Ознайомитися з текстом CRA — уважно прочитайте регламент, щоб зрозуміти сферу його застосування. Можна зробити це, використовуючи існуючі LLM-чатботи. Можливо, вони не дадуть глибокого розуміння технічних нюансів чи юридичних аспектів, проте summary зроблять чудове. Основні вимоги викладені у Додатку І. Перелік важливих та критичних продуктів наведено у Додатках ІІ та IV.

Провести інвентаризацію наявних продуктів і визначити, які з них підпадають під сферу дії CRA.

Здійснення цих кроків зараз закладе міцний фундамент для вашого шляху до комплаєнсу.

Крок 3: Створіть дорожню карту подальших дій

Як на мене, це означає:

• Впровадити принципи безпечного проєктування в усі процеси розробки продукту.
• Створити чіткі процеси звітування про вразливості, щоб відповідати нормативним вимогам.
• Переконатися, що всі продукти, які входять до сфери застосування, здатні отримати обов’язкове маркування CE.

Процес підготовки до CRA-комплаєнсу потрібно починати вже сьогодні. З власного досвіду можу додати, що найбільше часу витрачається не на переробку чи доопрацювання продуктів, а на налагодження внутрішніх процесів, які дозволять зробити компанію CRA compliant. Саме це завдання потребує найбільшої кількості онлайн та офлайн-зустрічей та блокує найбільшу кількість людського ресурсу.

Додатково декілька корисних посилань для самостійного вивчення теми CRA:

— Посилання на сторінку Єврокомісії щодо Cyber Resilience Act

— Детальний огляд CRA від Pentest компанії Yogosha

— Посилання на робочу групу, що займається координуванням роботи з підготовки супутніх нормативних актів та стандартів

Моя основна порада для компаній та команд, на які вплине EU Cyber Resilience Act — почніть свій шлях до CRA compliance вже зараз. Так, CRA розповсюджується на багато продуктів, і часові рамки можуть здаватися стислими, проте він не є нездоланною проблемою. Завчасні дії дадуть вашій команді час і простір, необхідні для адаптації, без зайвого стресу і без прийняття рішень в останню хвилину.

Ознайомтеся з вищенаведеними ресурсами. Рік тому кількість інформації була обмеженою, зараз її вистачає, щоб отримати міцний фундамент.

Зверніться за допомогою до колег, які розуміються на технологіях, кібербезпеці та регуляторних вимогах.

Зосередьтеся на головному — не кожен продукт має однаковий рівень ризику або регуляторного навантаження, тому розставляйте пріоритети відповідно.

EU Cyber Resilience Act не зникне, і навряд його часові рамки будуть посунуті, адже в документі уже передбачений 36-місячний перехідний період. Тому, як на мене, важливо почати роботу вже зараз, щоб краще розподілити ресурси та спланувати подальші кроки.

Якщо у вас виникнуть питання чи власні ідеї стосовно CRA комплаєнсу— буду радий обговорити! Пишіть у коментарях або додавайтеся в LinkedIn, щоб залишатися на зв’язку.