CRA i NIS2: dwa filary cyberodporności, które zmienią relacje z dostawcami technologii

Cyberbezpieczeństwo przestaje być wyłącznie kwestią procedur wewnętrznych. Unijny Cyber Resilience Act (CRA) oraz dyrektywa NIS2 przesuwają ciężar odpowiedzialności również na produkty cyfrowe oraz dostawców technologii, z których korzystają organizacje.

NIS2 i CRA – różne punkty ciężkości, wspólny cel

NIS2 koncentruje się na odporności podmiotów kluczowych i ważnych, obejmując zarządzanie ryzykiem, bezpieczeństwo łańcucha dostaw oraz raportowanie incydentów. CRA idzie krok wcześniej i dotyczy produktów z elementami cyfrowymi, w tym oprogramowania, urządzeń, komponentów sieciowych oraz rozwiązań IoT.

W praktyce oznacza to, że organizacje objęte NIS2 nie powinny traktować CRA jako regulacji wyłącznie „dla producentów”. CRA będzie bezpośrednio wpływać na zakupy IT, ocenę dostawców oraz treść umów technologicznych.

Dlaczego CRA ma znaczenie dla organizacji?

CRA ma wymusić projektowanie produktów zgodnie z zasadą security by design, obejmując bezpieczną konfigurację domyślną, aktualizacje bezpieczeństwa, dokumentację techniczną, obsługę podatności oraz – w określonych przypadkach – ocenę zgodności i oznakowanie CE.

W realiach CRA i NIS2 „koń trojański” w łańcuchu dostaw nie jest metaforą. Może nim być podatny komponent, nieaktualna biblioteka lub urządzenie wprowadzone do organizacji bez odpowiedniej kontroli cyberbezpieczeństwa. CRA przenosi tę logikę na technologię – cyberodporność musi być zaprojektowana przed wprowadzeniem produktu na rynek.

CRA a relacje z dostawcami technologii

Dla organizacji korzystających z technologii CRA stanie się punktem odniesienia przy ocenie ryzyka dostawców. W umowach coraz większe znaczenie będą miały:

• deklaracja zgodności UE i oznakowanie CE,
• okres wsparcia i aktualizacji bezpieczeństwa,
• obowiązki informowania o podatnościach i incydentach,
• procedura coordinated vulnerability disclosure,
• dostępność SBOM i dokumentacji technicznej,
• odpowiedzialność dostawcy za cyberbezpieczeństwo produktu.

Harmonogram CRA

CRA weszło w życie 10 grudnia 2024 r. Od 11 września 2026 r. obowiązywać będą wymogi raportowania aktywnie wykorzystywanych podatności i poważnych incydentów. Pełne stosowanie CRA nastąpi 11 grudnia 2027 r.

To oznacza, że najbliższe miesiące powinny zostać wykorzystane na przygotowanie procesów – zarówno po stronie producentów i dystrybutorów, jak i po stronie organizacji kupujących technologię.

Co zrobić teraz?

Dostawcy technologii powinni rozpocząć mapowanie produktów, ustalić swoją rolę w łańcuchu dostaw i przygotować procesy dotyczące aktualizacji, podatności, dokumentacji oraz oceny zgodności. 

Organizacje objęte NIS2 powinny natomiast przełożyć wymagania CRA na polityki zakupowe, due diligence dostawców i standardy kontraktowe. Największym błędem byłoby prowadzenie tych projektów oddzielnie. NIS2 dotyczy cyberodporności organizacji, a CRA – cyberodporności produktów, z których te organizacje korzystają. W praktyce będą działać razem.