Pe măsură ce Legea UE privind reziliența cibernetică (CRA – Cyber Resilience Act) impune noi cerințe de securitate cibernetică pentru dispozitivele conectate, producătorii din SUA se confruntă cu obligații noi și complexe. Cedric Vincent, directorul Laboratorului de Tehnologie Software de la Tria Technologies, oferă perspectiva producătorului asupra modului în care companiile se pregătesc și analizează felul în care această lege de referință remodelează viitorul dispozitivelor conectate.
CRA: mai mult decât o nouă cerință legislativă
Noua lege a Uniunii Europene privind reziliența cibernetică (CRA) poate fi ușor percepută ca un alt obstacol de natură legislativă pe care inginerii proiectanți de sisteme electronice trebuie să îl depășească. Totuși, aceasta ar fi o greșeală majoră.
Nu este o exagerare să spunem că CRA va redefini modul în care sistemele digitale sunt gândite, proiectate, construite și întreținute la nivel global. Nu doar echipele responsabile cu asigurarea conformității trebuie să se preocupe de complexitatea noii legislații; CRA va aduce o schimbare fundamentală în proiectarea sistemelor embedded, a dispozitivelor IoT și a electronicii inteligente la scară mondială.
Privind lucrurile mai în detaliu, cea mai mare schimbare adusă de noua lege a UE este trecerea la o abordare de tip “securitate prin proiectare”. Cu alte cuvinte, inginerii și producătorii de echipamente originale (OEM) trebuie să creeze, încă de la început, sisteme cu securitate cibernetică integrată. Aceasta nu mai poate fi adăugată ulterior, ca o soluție de compromis.
Un alt factor cheie este pregătirea pentru incidente – ceea ce înseamnă că proiectanții trebuie să includă în sistemele lor funcții precum jurnalizarea (logging), diagnosticarea și telemetria, astfel încât orice breșă de securitate să poată fi detectată rapid și raportată în timp real. Telemetria presupune colectarea și transmiterea automată a datelor de la sisteme, dispozitive sau aplicații.
Nivel insuficient de securitate cibernetică
De asemenea, este important să înțelegem că CRA nu este doar o altă lege introdusă pentru a le face viața dificilă inginerilor proiectanți. Există motive fundamentale pentru care a fost creată.
Potrivit Comisiei Europene (CE), CRA va aborda “nivelul insuficient de securitate cibernetică al unei serii de produse și lipsa actualizărilor de securitate furnizate la timp pentru produse și software”. De asemenea, regulamentul va aborda provocările cu care se confruntă în prezent consumatorii și întreprinderile atunci când încearcă să stabilească ce produse sunt sigure din punct de vedere cibernetic.
Regulamentul CRA prevede că scopul său este de a asigura că produsele hardware și software “sunt introduse pe piață cu mai puține vulnerabilități și că producătorii consideră securitatea o prioritate pe tot parcursul ciclului de viață al produsului”.
Poate cel mai important aspect este că legea va impune cerințe obligatorii de securitate cibernetică producătorilor și comercianților cu amănuntul, în fiecare etapă a lanțului de aprovizionare – în special în planificarea, proiectarea, dezvoltarea și întreținerea produselor. Aceasta înseamnă că, de la furnizorul de siliciu până la produsul finit, totul trebuie să fie conform.
Unele produse nici măcar nu vor putea fi comercializate pe piața UE până când nu va fi realizată o evaluare independentă de către un organism autorizat. Producătorii vor trebui să știe dacă produsele lor intră în această categorie.
Consecințele deciziilor de astăzi
Pe scurt, deciziile pe care un inginer proiectant le ia astăzi atunci când creează sisteme embedded ar putea avea consecințe juridice și operaționale în viitor. Chiar și consecințe financiare, deoarece termenul limită pentru implementarea completă nu este foarte îndepărtat, iar producătorii trebuie să fie conștienți că nerespectarea normelor poate duce la sancțiuni severe – în prezent, 15 milioane de euro sau 2,5% din veniturile anuale globale.
Aceasta este o motivație importantă pentru ca producătorii să își pună toate procesele în ordine înainte ca legislația să intre în vigoare.
Pentru producătorii care nu sunt încă familiarizați cu aceste termene, cele trei date importante care trebuie reținute sunt: 11 iunie 2026, termenul până la care organismele de evaluare a conformității trebuie să îndeplinească cerințele; 11 septembrie 2026, termenul de la care producătorii trebuie să raporteze orice vulnerabilitate exploatabilă; și 11 decembrie 2027, data de la care CRA va fi aplicată integral.
Sunt producătorii îngrijorați de această legislație? Cu siguranță. Unii se tem că aceasta ar putea frâna inovarea, în timp ce alții sunt preocupați de faptul că unele întreprinderi mai mici ar putea avea dificultăți în a absorbi costurile necesare pentru conformare.
Tocmai de aceea, este esențial ca producătorii să verifice fiecare cerință atunci când urmăresc îndeplinirea noilor criterii. Să investească timp și bani pentru obținerea conformității, iar apoi să fie totuși sancționați cu o amendă substanțială deoarece un anumit element nu respectă legea, ar fi o dublă lovitură pe care toți vor dori să o evite.
Recomandări din partea experților
Din perspectiva producției, Tria colaborează cu parteneri importanți din industrie, precum Qualcomm, NXP, Intel și Renesas. Obiectivul nostru este să ne asigurăm că produsele clienților respectă cerințele CRA, oferind consultanță de specialitate cu privire la produsele finale care intră sub incidența acestei legislații. În același timp, ne asigurăm că proiectanții și producătorii de echipamente originale (OEM) au acces la cele mai avansate soluții embedded, personalizate pentru produsele lor.
Este esențial ca producătorii să nu considere că această legislație se referă doar la Europa, ci să o privească drept un pas către crearea unui mediu digital global mai sigur. De asemenea, este vorba despre mai mult decât simpla conformitate; este vorba despre construirea încrederii în structura lumii noastre digitale.
Producătorii care adoptă acum schimbarea impusă de CRA vor fi într-o poziție mai bună pentru a se impune pe piață în viitor. Producătorii americani trebuie să înțeleagă că, prin integrarea securității cibernetice în ADN-ul tuturor produselor lor conectate, nu doar îndeplinesc cerințele de reglementare, ci creează și o valoare nouă, semnificativă, pentru clienți, parteneri și chiar pentru societate în ansamblu.
Atacurile cibernetice reprezintă un flagel, exploatând continuu vulnerabilitățile infrastructurilor digitale globale și amenințând integritatea, confidențialitatea și reziliența sistemelor de care oamenii depind în fiecare zi. CRA este o lege esențială, iar producătorii din întreaga lume au responsabilitatea de a se asigura că produsele lor sunt conforme cu aceasta.
Autor: Cedric Vincent,
Tria Technologies
Mai multe detalii sunt disponibile pe pagina CRA a companiei Tria: https://www.tria-technologies.com/cyber-resilience-act-tria/.
Glosar de termeni
CRA – Cyber Resilience Act: Legea UE privind reziliența cibernetică. Act legislativ european care introduce cerințe obligatorii de securitate cibernetică pentru produsele hardware și software cu elemente digitale.
Reziliență cibernetică: Capacitatea unui produs, sistem sau serviciu digital de a preveni, detecta, limita și remedia atacurile cibernetice sau vulnerabilitățile de securitate.
Securitate prin proiectare: Abordare prin care securitatea cibernetică este integrată încă din etapa de concept și proiectare a produsului, nu adăugată ulterior ca soluție suplimentară.
OEM – Original Equipment Manufacturer: Producător de echipamente originale. Companie care proiectează, produce sau integrează produse, sisteme ori componente utilizate sub propriul brand sau în produsele altor companii.
Dispozitive conectate: Produse hardware sau sisteme electronice care comunică prin internet, rețele locale, comunicații wireless sau alte interfețe digitale, fiind astfel expuse la riscuri de securitate cibernetică.
Vulnerabilitate exploatabilă: Slăbiciune tehnică sau software care poate fi folosită de un atacator pentru a compromite funcționarea, securitatea, datele sau integritatea unui sistem.
Jurnalizare / logging: Procesul de înregistrare a evenimentelor, erorilor, accesărilor sau activităților relevante dintr-un sistem. Jurnalizarea ajută la diagnosticare, monitorizare și investigarea incidentelor de securitate.
Telemetrie: Colectarea și transmiterea automată a datelor de la sisteme, dispozitive sau aplicații. În contextul securității cibernetice, telemetria ajută la detectarea anomaliilor, monitorizarea comportamentului sistemului și raportarea incidentelor.
Evaluarea conformității: Proces prin care se verifică dacă un produs respectă cerințele tehnice, legale sau de securitate aplicabile înainte de a fi introdus pe piață.
Organism de evaluare a conformității: Entitate autorizată care verifică dacă un produs respectă cerințele impuse de legislație sau de standardele relevante.