Cyber Resilience Act (CRA): Mit jelent és hogyan készülj fel?

Mi az a CRA?

A Cyber Resilience Act (CRA) az Európai Unió új, 2024-ben elfogadott rendelete, amely a digitális termékek és szolgáltatások kiberbiztonsági követelményeit szabályozza. Célja, hogy a hardver- és szoftvertermékek már a tervezési fázistól kezdve biztonságosak legyenek, valamint hogy az egész életciklus során garantált legyen a frissítés és a fenntartható védelem.

Kikre vonatkozik?

A CRA minden olyan gyártóra, forgalmazóra és importőrre vonatkozik, aki az EU piacán digitális elemeket tartalmazó termékeket értékesít. Ez magában foglalja:

• beágyazott rendszereket (pl. IoT eszközök)
• szoftvertermékeket (pl. desktop alkalmazások, firmware, mobil appok)
• üzleti célú SaaS megoldásokat

Kivételt képeznek az olyan nyílt forráskódú projektek, amelyek nonprofit módon működnek, és nem kerülnek kereskedelmi forgalomba.

Milyen kötelezettségeket ír elő?

• Secure-by-Design elvek alkalmazása – már a fejlesztés során kötelező a biztonság beépítése.
• Kockázatelemzés és technikai dokumentáció – részletes kiberbiztonsági értékelés és leírás szükséges a megfeleléshez.
• Incident reporting – súlyos sérülékenységeket és incidenseket 24 órán belül jelenteni kell az ENISA-nak.
• Frissítési kötelezettség – a gyártónak a termék életciklusa alatt biztonsági frissítéseket kell biztosítania.
• CE megfelelőségi eljárás – a CRA új tanúsítási és bejelentési kötelezettségeket hoz be.

Mit kell most tenni?

A CRA rendelet teljesítése érdekében célszerű az alábbi lépéseket megtenni – mindegyikhez kapcsolódó szolgáltatásainkat is bemutatjuk:

Termékportfólió felmérése és kockázatbesorolás

Azonosítani kell, mely termékek tartoznak a CRA hatálya alá, és ezek milyen kockázati szintű kategóriába esnek (A, B vagy C osztály).

Szolgáltatásunk: Termékportfólió átvilágítás, CRA compliance mátrix és kockázati besorolás készítése.

Secure Development Lifecycle (SDL) bevezetése

Be kell vezetni egy biztonságos fejlesztési folyamatot, amely tartalmazza a kódellenőrzést, fuzzingot, automatikus tesztelést és sebezhetőség-menedzsmentet.

Szolgáltatásunk: SDL sablonok, CI/CD pipeline integrációs támogatás, forráskód-ellenőrző eszközök (pl. SAST, DAST, SBOM).

CE megfelelőség és technikai dokumentáció

A CRA megköveteli a CE-jelölést, amelyhez biztonsági értékelést és műszaki dokumentációt kell készíteni.

Szolgáltatásunk: CE megfelelési dokumentációs sablonok, automatizált riportgenerálás, tanácsadás notified body audit előtt.

Vulnerability Management és frissítési mechanizmus

Meg kell oldani a sebezhetőségek gyors bejelentését, kezelését és a frissítések biztonságos terjesztését (pl. OTA update).

Szolgáltatásunk: Vulnerability Disclosure Program kialakítása, firmware update rendszer, CVE kezelés és telemetria.

Oktatás és tudatosság

A fejlesztőknek és biztonsági csapatoknak ismerniük kell a CRA előírásokat, hogy már a kezdetektől beépítsék az elvárásokat.

Szolgáltatásunk: CRA-specifikus fejlesztői és compliance képzések, on-demand videóanyagokkal és interaktív tananyaggal.

Határidők

A CRA végleges hatálybalépése 2025 második felére várható, de a felkészüléshez szükséges idő miatt célszerű már most elkezdeni az előkészületeket. A már forgalomban lévő termékekre is vonatkoznak átmeneti szabályok.

Mi történik, ha nem tartják be?

A megfelelés elmaradása súlyos következményekkel járhat: a termék EU-piaci forgalmazása megtiltható, milliós bírságok szabhatók ki, és a már értékesített termékeket vissza is kell hívni.

Összefoglalás

A CRA nem csupán jogszabályi kötelezettség, hanem lehetőség is a versenyképesség növelésére, hiszen a biztonságos termékekbe vetett bizalom piaci előnyt jelent. Vállalatunk átfogó CRA felkészítési csomagokat kínál, hogy termékei időben és költséghatékonyan megfeleljenek a szabályozásnak.

Lépj kapcsolatba velünk, hogy elindulhass a megfelelés útján!