Akt o kibernetski odpornosti – evropski ščit za digitalne izdelke

Ko so bile pametne naprave še novost, je bilo dovolj, da so delovale. V prihodnosti pa to ne bo več zadostovalo. Evropska unija z Aktom o kibernetski odpornosti (CRA) uvaja novo pravilo: tehnologija mora biti varna. Ne samo v trenutku, ko jo vzamemo iz škatle, ampak ves čas, dokler jo uporabljamo. Uredba je ena najpomembnejših digitalnih zakonodaj zadnjih let in bo vplivala na vse, od razvijalcev programske opreme do proizvajalcev gospodinjskih aparatov in industrijske opreme.

Zaupanje se začne pri kodi

Uredba zahteva, da digitalni izdelki (strojna in programska oprema) postanejo varni že v sami zasnovi. To ne pomeni le, da ne smejo vsebovati znanih ranljivosti ob lansiranju, temveč da morajo vključevati mehanizme za nadgradnjo, spremljanje in odzivanje na nove grožnje. Od proizvajalcev se pričakuje, da bodo svoje naprave podpirali tudi po tem, ko so bile prodane s transparentno politiko varnostnih posodobitev. Prvič bodo potrošniki vedeli, koliko časa bo naprava dejansko varna za uporabo, ne le funkcionalna.

Kdo bo odgovoren, ko gre kaj narobe?

Nova uredba preoblikuje tudi razumevanje odgovornosti. Ni več dovolj, da proizvajalec izdelek »samo naredi«. Vsak člen v dobavni verigi – od uvoznika do prodajalca – mora zagotoviti, da izdelek izpolnjuje kibernetske standarde. Uredba ne pozna izgovorov glede izvora izdelka. Če je na trgu EU, se mora držati pravil EU. S tem Evropska komisija jasno sporoča, da digitalna varnost ni več samo stvar izbire ali dobre prakse, ampak je regulatorna obveznost.

Kibernetski napadi niso več znanstvena fantastika

Zaradi porasti uporabe pametnih naprav (bela tehnika, industrijski senzorji …) se je površina za napade drastično razširila. Zlorabe, kot so napadi na kritično infrastrukturo, izsiljevalska programska oprema in kraje identitete, niso več redkost. CRA skuša presekati pasivnost, ki je desetletja omogočala, da so naprave z znanimi pomanjkljivostmi prišle na trg brez večjih posledic. Od zdaj naprej bo varnost predpogoj, ne dodatna funkcionalnost.

Kazen ni le finančna, temveč tudi strateška

Če podjetje uredbe ne bo spoštovalo, ga lahko doleti denarna kazen do 15 milijonov evrov oziroma 2,5 % svetovnega letnega prometa, kar je višje od kazni, ki so bile do sedaj predpisane v katerikoli od zakonodaj na digitalnem področju ali področju varovanja podatkov. A morda hujši od finančnega udarca bo umik izdelkov s trga in uničeno zaupanje uporabnikov. Izdelki, ki bodo v skladu z uredbo, bodo nosili oznako CE in jasno bodo označeni z dobo, v kateri bodo prejemali varnostne posodobitve. To bo postalo nova valuta zaupanja med potrošniki.

Čeprav se na prvi pogled zdi, da uredba nalaga le nove obveznosti, skriva v sebi tudi strateško prednost. Podjetja, ki že danes vlagajo v varnostno kulturo, bodo jutri v prednosti. Večja transparentnost, nižja verjetnost ranljivosti in boljše pozicioniranje v javnih razpisih, vse to so koristi, ki jih zakonodaja ne le predpisuje, temveč omogoča.

Ravno zato nastajajo tudi namenske rešitve, kot je CRACoWi. CRACoWi je platforma, razvita kot odziv na konkretne izzive, ki jih uvaja CRA. Namenjena je tako razvijalcem kot odgovornim za varnost izdelkov in ponuja orodja za spremljanje skladnosti, obvladovanje ranljivosti ter podporo pri pripravi tehnične dokumentacije, ki bo po novem zakonsko obvezna. Cracowi deluje kot most med pravnimi zahtevami in tehnično izvedbo. Namesto da bi podjetja za vsako nalogo razvijala svoj interni sistem, lahko uporabijo centralizirano orodje, zasnovano prav za to novo regulativno okolje.

Čas za ukrepanje je zdaj

Čeprav bo zakon v celoti uveljavljen šele čez nekaj let, je odlašanje kratkovidno. Vpeljava varnostnih politik in spremembe v razvoju zahtevajo čas, usposabljanje kadrov in včasih tudi spremembo miselnosti. Največje napake bodo naredili tisti, ki bodo na zakon gledali kot na »papirno birokracijo«. V resnici gre za redefinicijo tega, kaj pomeni kakovosten digitalni izdelek v 21. stoletju.

Projekt, financiran v okviru sporazuma o dodelitvi sredstev št. 101158539, podpira Evropski center za kibernetsko varnost.