Cyber Resilience Act (CRA)
Što je Cyber Resilience Act
Cyber Resilience Act predstavlja novi regulatorni okvir EU usmjeren na sigurnost digitalnih proizvoda tijekom cijelog njihovog životnog ciklusa. Regulativa se odnosi na hardver i softver s digitalnim elementima koji se stavljaju na tržište EU.
Za razliku od NIS2 i DORA-e koje su fokusirane na organizacije i usluge, CRA izravno cilja proizvođače i dobavljače digitalnih proizvoda.
Čemu služi?
Cilj CRA-a je osigurati da digitalni proizvodi budu sigurni by design i by default. Regulativa smanjuje broj ranjivih proizvoda na tržištu te povećava transparentnost prema korisnicima i regulatorima.
CRA također jača sigurnost opskrbnog lanca i smanjuje sistemske rizike koji proizlaze iz nesigurnih proizvoda.
Tko su obveznici?
CRA se primjenjuje na:
- proizvođače softvera i hardvera
- distributere i uvoznike digitalnih proizvoda
- proizvode povezane s mrežom ili internetom
Ključne obveze obveznika
Organizacije moraju osigurati sigurnost proizvoda tijekom cijelog životnog ciklusa.
Obveze uključuju:
- identifikaciju i upravljanje ranjivostima
- sigurnosna ažuriranja i zakrpe
- dokumentaciju o sigurnosnim mjerama
- prijavu ozbiljnih ranjivosti i incidenata
- sigurnost opskrbnog lanca
Izdvojeni zahtjevi CRA-a
- Sigurnost proizvoda od dizajna do kraja životnog ciklusa
- Upravljanje ranjivostima i patch management
- Transparentnost prema korisnicima i regulatorima
- Jasne odgovornosti proizvođača
