AB Siber Direnç Yasası (CRA) ile sektör, en katı düzenleyici gerekliliklerden biriyle uğraşıyor. Dijital unsurlara sahip ürünlerin – diğer bir deyişle mikroçip içeren her şeyin – üreticileri, ithalatçıları ve hatta distribütörlerinin bir dizi sıkı önlem alması gerekecek.
Şimdiye kadar, bunun için hemen hemen hiçbir yerleşik prosedür yoktur: “Diğer şeylerin yanı sıra, AB Siber Direnç Yasası, bir ürün piyasaya sürülmeden önce bir siber risk değerlendirmesi gerektirecektir. ONEKEY CEO’su Jan Wendenburg, “Yeni ürünlerin ve varyantların geliştirilmesi genellikle aylar ve yıllar aldığından, tüm üreticilerin yaklaşmakta olan gereksinimleri ürün geliştirmelerine entegre etmeye başlaması gerekiyor” dedi.
Dokümantasyon gereklilikleri ve bir SBOM ihtiyacı
Yetkisiz erişime karşı güvenlik önlemlerine ek olarak, şirketlerden gelecekte yazılım güvenlik açıklarını ve yamaları da istismar edilebilir güvenlik açıklarından kaynaklanan hasarlar oluşmadan önce yönetmeleri istenecektir.
“Ürün yaşam döngüsünün tamamı boyunca, üreticiler ürünlerinin güvenlik açıklarını etkili bir şekilde yönetmeli, düzenli testler gerçekleştirmeli ve kapsamlı yama yönetimi göstermelidir. Ayrıca açık belgeleri muhafaza etme zorunluluğu da var,” diye devam ediyor Wendenburg.
Bu, bir cihaz veya sistemdeki gizli olanlar da dahil olmak üzere tüm yazılım ürünlerini ayrıntılandıran bir Yazılım Malzeme Listesi’nin (SBOM) tutulmasını içerir. Ürüne ve kurulan bileşenlere bağlı olarak, her biri kendi “beyinlerine” ve gizli risklere sahip yüzlerce farklı düzenek olabilir.
Personel yapılarının da devreye alınması gerekir: CRA’nın belirli görev ve görevlerinin kuruluş adına bir görevli tarafından yerine getirilmesi gerekir. Bu, örneğin piyasa gözetimi ve denetimi makamları için irtibat kişisinin rolünü içerir.
Yerleşik süreçlerin yeniden tasarlanması
Dokümantasyon gerekliliklerine ek olarak, şirketler, ürünlerle ilgili veri envanterini düzenli olarak güncellemek ve verileri ürünün piyasaya sürülmesinden sonra on yıla kadar saklamak zorunda kalacaklar.
“AB Komisyonu yasayı biraz ertelese bile baskının yüksek olduğu giderek netleşiyor. Üçüncü taraflara ait olanlar da dahil olmak üzere ürünler ve bileşenler güvenlik açıklarına karşı test edilmelidir, üreticiler ve ithalatçılar bunu belgelendirmeli ve bilgi yükümlülüklerini yerine getirmek için gerekli kapasiteyi sağlamalıdır. Endüstri için bu, yerleşik geliştirme ve üretim süreçlerini yeniden düşünmek anlamına gelir. Jan Wendenburg, burada zamanında hareket etmeyenler, yetkililer tarafından yüksek cezalar alma riskiyle karşı karşıya kalıyor” dedi.