AB Konseyi, dijital bileşenlere sahip tüketici ürünlerinin kullanımını güvenli hale getirmeyi amaçlayan yeni bir yasa olan Siber Dayanıklılık Yasasını (CRA) kabul etti.
CRA gereklilikleri
CRA, dijital ürünler, yani doğrudan veya dolaylı olarak başka bir cihaza veya ağa bağlanan ürünler için AB çapında siber güvenlik standartlarını ana hatlarıyla belirtir. Bu kategoride “akıllı” ev aletleri, televizyonlar, termostatlar, oyuncaklar, giyilebilir sağlık teknolojileri, bebek izleme sistemleri vb. yer alıyor.
Tıbbi cihazlar, ağ cihazları, arabalar, havacılık ürünleri, ulusal güvenlik veya savunma amaçlı ürünler gibi bazı bağlı ürünler CRA’dan muaftır çünkü mevcut AB yasaları zaten siber güvenlik gerekliliklerini belirtmektedir.
Kanunda, “Bu Yönetmelik, donanım ve yazılım ürünlerinin piyasaya daha az güvenlik açığıyla sunulmasını ve üreticilerin güvenliği bir ürünün yaşam döngüsü boyunca ciddiye almasını sağlayarak dijital unsurlara sahip güvenli ürünlerin geliştirilmesine yönelik sınır koşullarını belirlemeyi amaçlıyor” ifadesine yer veriliyor.
“Aynı zamanda, örneğin piyasada sunulan dijital unsurlara sahip ürünlerin destek süresine ilişkin şeffaflığı artırarak, kullanıcıların dijital unsurlara sahip ürünleri seçerken ve kullanırken siber güvenliği dikkate almalarına olanak tanıyan koşullar yaratmayı da amaçlıyor.”
CRA, risk sınıflandırmalarına dayalı olarak ürünler için siber güvenlik gereksinimlerini belirler: Daha düşük siber güvenlik risklerine sahip ürünler temel bir uygunluk değerlendirmesine tabi tutulmalıdır; daha yüksek risklere sahip ürünler (örneğin, kritik altyapıyı veya kişisel verileri yönetenler) ayrıca daha sıkı üçüncü taraf değerlendirmeleri ve değerlendirmeleri gerektirecektir. sertifikasyon.
Yönetmelik, mikro işletmelerin ve küçük ve orta ölçekli işletmelerin karşılaştığı belirli zorlukları kabul ediyor ve bunların yükünü en aza indirmeyi amaçlıyor. Örneğin, mikro işletmeler tarafından dağıtılan ücretsiz ve açık kaynaklı yazılımlar, özellikle de ticari değilse, daha az düzenleme yükümlülüğüyle karşı karşıyadır.
Güvenlik açığı yönetimini iyileştirmek için CRA, üreticilerin güvenlik açığı raporlaması için tek bir iletişim noktası kurması gibi şeyleri zorunlu kılar; Aktif olarak yararlanılan güvenlik açıklarını ve ciddi olayları, belirlenen Bilgisayar Güvenliği Olaylarına Müdahale Ekibine (CSIRT) ve Avrupa Birliği Siber Güvenlik Ajansına (ENISA) raporlamak; ve ürünlerinde bulunan bileşenlerin dijital unsurlarla belgelenmesi (ancak SBOM’ların kamuya açıklanması gerekmemektedir).
“CRA, Konsey ve Avrupa Parlamentosu başkanları tarafından imzalanacak ve önümüzdeki haftalarda AB’nin resmi gazetesinde yayınlanacak. Yeni düzenleme, bu yayından yirmi gün sonra yürürlüğe girecek ve yürürlüğe girmesinden 36 ay sonra geçerli olacak ve bazı hükümleri daha erken bir aşamada uygulanacaktır.”