EU Cyber Resilience Act

   Reading time 12

Legea UE privind reziliența cibernetică
10 octombrie 2024 – Consiliul a adoptat Legea europeană privind reziliența cibernetică (CRA)

Consiliul a adoptat noua lege privind cerințele de securitate cibernetică pentru produsele cu elemente digitale puse la dispoziție pe piață, a căror destinație sau utilizare previzibilă în mod rezonabil include o conexiune de date logică sau fizică directă sau indirectă la un dispozitiv sau o rețea.

Ce este un produs cu elemente digitale? Un produs software sau hardware și soluțiile sale de prelucrare a datelor la distanță, inclusiv componente software sau hardware, care sunt introduse pe piață separat.

Ce este securitatea cibernetică? Activitățile necesare pentru protejarea rețelelor și a sistemelor informatice, a utilizatorilor acestor sisteme și a altor persoane afectate de amenințări cibernetice (conform articolului 2 punctul (1) din Regulamentul (UE) 2019/881)

Produsele cu elemente digitale se pun la dispoziție pe piață numai în cazul în care:
(a) îndeplinesc cerințele esențiale de securitate cibernetică, cu condiția să fie instalate, întreținute, utilizate în mod corespunzător în scopul propus sau în condiții care pot fi prevăzute în mod rezonabil și, după caz, să fi fost instalate actualizările de securitate necesare; și
(b) procesele implementate de producător respectă cerințele esențiale de securitate cibernetică.

Atunci când introduce pe piață un produs cu elemente digitale, producătorul include evaluarea riscurilor de securitate cibernetică.

Producătorii stabilesc perioada de asistență astfel încât aceasta să reflecte durata de timp în care se preconizează că produsul va fi utilizat, ținând cont, în special, de așteptările rezonabile ale utilizatorilor, de natura produsului, inclusiv de scopul său preconizat, precum și de legislația relevantă a Uniunii care stabilește durata de viață a produselor cu elemente digitale.

Obligațiile de raportare ale producătorilor

Un producător notifică orice vulnerabilitate exploatată activ conținută în produsul cu elemente digitale de care ia cunoștință simultan CSIRT-ului desemnat drept coordonator și ENISA-ului, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la data la care producătorul a luat cunoștință de aceasta;
cu excepția cazului în care informațiile relevante au fost deja furnizate, o notificare privind vulnerabilitatea, fără întârzieri nejustificate și, în orice caz, în termen de;
Producătorul trebuie să transmită o notificare de vulnerabilitate, fără întârzieri nejustificate și în orice caz în termen de 72 de ore de la data la care producătorul ia cunoștință de vulnerabilitatea exploatată activ, care trebuie să furnizeze informații generale, în funcție de disponibilitate, despre produsul cu elemente digitale în cauză, natura generală a exploatării și a vulnerabilității în cauză, precum și orice măsuri corective sau de atenuare luate și măsuri corective sau de atenuare pe care utilizatorii le pot lua și care trebuie să indice, de asemenea, dacă este cazul, cât de sensibile consideră producătorul informațiile notificate;

Producătorul trebuie să transmită un raport final, în termen de cel mult 14 zile de la data la care o măsură corectivă sau de atenuare este disponibilă, care include cel puțin următoarele:

(i) o descriere a vulnerabilității, inclusiv gravitatea și impactul acesteia;

(ii) dacă sunt disponibile, informații privind orice actor rău intenționat care a exploatat sau exploatează vulnerabilitatea;

(iii) detalii despre actualizarea de securitate sau alte măsuri corective care au fost puse la dispoziție pentru a remedia vulnerabilitatea. Sancțiuni:
Nerespectarea cerințelor esențiale de securitate cibernetică se sancționează cu amenzi administrative de până la 15.000.000 EUR sau, dacă contravenientul este o întreprindere, de până la 2,5% din cifra sa de afaceri anuală totală la nivel mondial pentru exercițiul financiar precedent, oricare dintre acestea este mai mare.

Nerespectarea obligațiilor prevăzute la articolele 18-23, articolul 28, articolul 30 alineatele (1)-(4), articolul 31 alineatele (1)-(4), articolul 32 alineatele (1), (2) și (3), articolul 33 alineatul (5) și articolele 39, 41, 47, 49 și 53 se sancționează cu amenzi administrative de până la 10.000.000 EUR sau, dacă contravenientul este o întreprindere, de până la 2% din cifra sa de afaceri anuală totală la nivel mondial pentru exercițiul financiar precedent, oricare dintre acestea este mai mare. Furnizarea de informații incorecte, incomplete sau înșelătoare către organismele notificate și autoritățile de supraveghere a pieței, ca răspuns la o solicitare, se sancționează cu amenzi administrative de până la 5.000.000 EUR sau, dacă contravenientul este o întreprindere, de până la 1% din cifra sa de afaceri anuală totală la nivel mondial pentru exercițiul financiar precedent, oricare dintre acestea este mai mare.

CERINȚE ESENȚIALE DE SECURITATE CIBERETICĂ

Produsele cu elemente digitale trebuie proiectate, dezvoltate și produse astfel încât să asigure un nivel adecvat de securitate cibernetică, bazat pe riscuri;

Produsele cu elemente digitale trebuie:

(a) să fie puse la dispoziție pe piață fără vulnerabilități exploatabile cunoscute;

(b) să fie puse la dispoziție pe piață cu o configurație securizată implicită, cu excepția cazului în care producătorul și utilizatorul comercial convin altfel în legătură cu un produs personalizat cu elemente digitale, inclusiv posibilitatea de a reseta produsul la starea sa inițială;

(c) să asigure că vulnerabilitățile pot fi remediate prin actualizare de securitate.

Produsele cu elemente digitale trebuie proiectate, dezvoltate și produse astfel încât să asigure un nivel adecvat de securitate cibernetică, bazat pe riscuri;

Produsele cu elemente digitale trebuie:

(a) să fie puse la dispoziție pe piață fără vulnerabilități exploatabile cunoscute;
(b) să fie puse la dispoziție pe piață cu o configurație securizată implicită, cu excepția cazului în care producătorul și utilizatorul comercial convin altfel în legătură cu un produs personalizat cu elemente digitale, inclusiv posibilitatea de a reseta produsul la starea sa inițială;
(c) să se asigure că vulnerabilitățile pot fi remediate prin actualizări de securitate, inclusiv, acolo unde este cazul, prin actualizări automate de securitate instalate într-un interval de timp adecvat, activate ca setare implicită, cu un mecanism de dezabonare clar și ușor de utilizat, prin notificarea utilizatorilor cu privire la actualizările disponibile și opțiunea de amânare temporară a acestora;
(d) să asigure protecția împotriva accesului neautorizat prin mecanisme de control adecvate, inclusiv, dar fără a se limita la, sisteme de autentificare, identitate sau gestionare a accesului, și să raporteze posibilele accesuri neautorizate; (e) să protejeze confidențialitatea datelor stocate, transmise sau prelucrate în alt mod, personale sau de altă natură, cum ar fi prin criptarea datelor relevante aflate în repaus sau în tranzit prin mecanisme de ultimă generație și prin utilizarea altor mijloace tehnice;

(f) să protejeze integritatea datelor stocate, transmise sau prelucrate în alt mod, personale sau de altă natură, a comenzilor, programelor și configurațiilor împotriva oricărei manipulări sau modificări neautorizate de utilizator și să raporteze coruperile;

(g) să prelucreze doar date, personale sau de altă natură, care sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul propus al produsului cu elemente digitale (minimizarea datelor);

(h) să protejeze disponibilitatea funcțiilor esențiale și de bază, inclusiv după un incident, inclusiv prin măsuri de reziliență și atenuare împotriva atacurilor de tip denial-of-service;

(i) să minimizeze impactul negativ al produselor în sine sau al dispozitivelor conectate asupra disponibilității serviciilor furnizate de alte dispozitive sau rețele;

(j) să fie proiectate, dezvoltate și produse pentru a limita suprafețele de atac, inclusiv interfețele externe;

(k) să fie proiectate, dezvoltate și produse pentru a reduce impactul unui incident utilizând mecanisme și tehnici adecvate de atenuare a exploatării; (l) să furnizeze informații legate de securitate prin înregistrarea și monitorizarea activității interne relevante, inclusiv accesul la sau modificarea datelor, serviciilor sau funcțiilor, cu un mecanism de dezabonare pentru utilizator;

(m) să ofere utilizatorilor posibilitatea de a elimina în mod sigur și ușor, permanent, toate datele și setările și, în cazul în care aceste date pot fi transferate către alte produse sau sisteme, să se asigure că acest lucru se face într-un mod securizat.

Cerințe privind gestionarea vulnerabilităților

Producătorii de produse cu elemente digitale trebuie:

(1) să identifice și să documenteze vulnerabilitățile și componentele conținute în produsele cu elemente digitale, inclusiv prin întocmirea unei liste de materiale software într-un format utilizat în mod obișnuit și care poate fi citit automat, care să acopere cel puțin dependențele de nivel superior ale produselor;

PRODUSE IMPORTANTE CU ELEMENTE DIGITALE

Clasa I

1. Sisteme de gestionare a identității și software și hardware de gestionare a accesului privilegiat, inclusiv cititoare de autentificare și control al accesului, inclusiv cititoare biometrice;
2. Browsere independente și încorporate;
3. Manageri de parole;
4. Software care caută, elimină sau pune în carantină software rău intenționat;
5. Produse cu elemente digitale cu funcție de rețea privată virtuală (VPN);
6. Sisteme de gestionare a rețelei;
7. Sisteme de gestionare a informațiilor și evenimentelor de securitate (SIEM);
8. Manageri de bootare;
9. Infrastructură cu cheie publică și software de emitere a certificatelor digitale;
10. Interfețe de rețea fizice și virtuale;
11. Sisteme de operare;
12. Routere, modemuri destinate conectării la internet și switch-uri;
13. Microprocesoare cu funcționalități legate de securitate;
14. Microcontrolere cu funcționalități legate de securitate;
15. Circuite integrate specifice aplicației (ASIC) și rețele de porți programabile pe teren (FPGA) cu funcționalități legate de securitate;
16. Asistenți virtuali de uz general pentru case inteligente;
17. Produse pentru case inteligente cu funcționalități de securitate, inclusiv încuietori inteligente pentru uși, camere de securitate, sisteme de monitorizare a bebelușilor și sisteme de alarmă;
18. Jucării conectate la internet, reglementate de Directiva 2009/48/CE a Parlamentului European și a Consiliului1, care au funcții interactive sociale (de exemplu, vorbirea sau filmarea) sau care au funcții de urmărire a locației;
19. Produse purtabile personale care urmează să fie purtate sau plasate pe corpul uman, care au un scop de monitorizare a sănătății (cum ar fi urmărirea) și cărora nu li se aplică Regulamentul (UE) 2017/745 sau Regulamentul (UE) 2017/746, sau produse purtabile personale care sunt destinate utilizării de către și pentru copii.


Clasa II

1. Hipervizoare și sisteme de execuție container care acceptă execuția virtualizată a sistemelor de operare și a mediilor similare;
2. Firewall-uri, sisteme de detectare și prevenire a intruziunilor;
3. Microprocesoare rezistente la manipulare;
4. Microcontrolere rezistente la manipulare.

Share This Article

Facebook
LinkedIn

INTERCLOUD este Unitate Protejată Autorizată conform legii 448/2006 privind protecția și promovarea drepturilor persoanelor cu handicap.

Te ajutăm să îți securizezi afacerea, prin optimizarea proceselor de afaceri, imunizarea sistemelor de procesare a informațiilor, reducerea riscului de scurgere de informații și de nerespectare a cerințelor legale, contractuale sau de reglementare.

Facebook-square Linkedin

Servicii

Certificări

Contact

Copyright © 2026. Powered by Intercloud