CRACoWi: platforma za skladnost z Aktom o kibernetski odpornosti

Akt o kibernetski odpornosti (CRA) uvaja stroge minimalne zahteve glede kibernetske varnosti za vse izdelke z digitalnimi elementi (strojno in programsko opremo, IoT naprave, povezane aplikacije …), ki se prodajajo na evropskem trgu.

Cilj uredbe je povečati odpornost naprav in programske opreme proti kibernetskim napadom ter vzpostaviti enotne varnostne standarde. Izdelki morajo biti načrtovani in vzdrževani tako, da upoštevajo t. i. varnost že v zasnovi (angl. security by design), izvajajo obvezno analizo tveganj ter zagotavljajo redne varnostne posodobitve skozi ves življenjski cikel. Akt velja za proizvajalce, uvoznike in distributerje strojne in programske opreme (tudi odprtokodnih rešitev, če so komercialno uporabljene) ter ponudnike povezanih digitalnih storitev, ki svoje izdelke dajejo na trg EU. Predvideva se, da bodo vsi skladni izdelki označeni s CE certifikatom, skladnost pa bodo nadzorovali pristojni tržni nadzorni organi.

Zaradi neizpolnjevanja obveznosti so predvidene visoke denarne kazni vse do 2,5 % letnega globalnega prometa podjetja in celo umik izdelkov z EU trga.

Za hitro orientacijo, ali določen izdelek ali storitev sodi pod območje CRA, je na voljo brezplačno orodje CRACoWi Scope Check. Gre za kratko spletno samopresojo (voden nabor vprašanj o vašem izdelku) ki razvrsti izdelek kot »v obsegu«, »izven obsega« ali »verjetno v obsegu« Akta o kibernetski odpornosti.

Uporaba je enostavna. Brez pravnega žargona in s takojšnjimi rezultati lahko podjetje že v zgodnji fazi razvoja ugotovi, ali mora začeti načrtovati celovite varnostne ukrepe. Orodje je EU sofinancirano, popolnoma brezplačno, ne zahteva vnosa osebnih podatkov in traja le nekaj minut. Po opravljenem preverjanju program takoj jasno pokaže, kaj je potrebno še storiti, sicer namreč napačna ocena obsega prinaša tveganje zamud, prevelikih stroškov ali kasnejših sankcij.

Orodje je namenjeno proizvajalcem digitalnih izdelkov, zlasti malim in srednjim podjetjem (MSP) ter zagonskim podjetjem z omejenimi sredstvi, pa tudi razvojnikom in regulatornim skupinam (uvoznikom/distributerjem), ki želijo hitro preveriti trditve proizvajalca.

Platforma CRACoWi: celovita podpora skladnosti

Da bi podjetjem bistveno olajšali izpolnjevanje zahtev Akta o kibernetski odpornosti, projekt CRACoWi razvija celovito spletno platformo, imenovano Compliance Wizard oziroma digitalnega asistenta za skladnost. Ta platforma nudi konkretno podporo pri vseh ključnih korakih: samodejno oceno skladnosti, pripravo dokumentacije, upravljanje tveganj in končno certificiranje po CRA.

Zajema strogo določen proces, ki spremlja izdelek že od prve zasnove, kar pomeni uvedbo varnosti v fazi načrtovanja, in nadaljuje skozi celoten razvojni cikel. Tako CRACoWi uvaja načelo »security by design«, kar pomeni, da so varnostni ukrepi prisotni že v načrtu in da platforma stalno spremlja ranljivosti izdelka skozi njegovo življenjsko dobo.

Posebno pozornost posveča podpori malih in srednjih podjetij. Orodja CRACoWi so namreč prilagojena MSP-jem, saj jim ni treba razvijati lastnih kompleksnih varnostnih sistemov. Namesto tega jim platforma ponuja strukturirane postopke, samodejno generiranje zahtevane tehnične dokumentacije (dokazila o skladnosti, tehnične datoteke) in usmeritve, prilagojene njihovim zmožnostim. Na ta način lahko tudi manjše podjetje bistveno skrajša čas in stroške za pripravo izdelkov, ki morajo ustrezi zahtevam nove zakonodaje.

Poleg tega CRACoWi vključuje še druga orodja, ki poenostavijo skladnost: samoocene na osnovi umetne inteligence, ki podjetjem pomagajo izvesti obvezno oceno tveganj (angl. risk assessment) ter zaznati potencialne ranljivosti, avtomatsko spremljanje skladnosti in predloge za izboljšave ter podporo pri pridobitvi uradnih potrdil ali oznak. Projekt podpira tudi obstoječe varnostne centre (SOC), s čimer krepi operativne zmogljivosti podjetij pri odkrivanju in odzivanju na grožnje.

Z uporabo naprednih tehnologij, kot je strojno učenje, CRACoWi pomaga pri analizi programske kode in strojne programske opreme (angl. firmware), avtomatsko generira seznam komponent (SBOM – Software Bill of Materials) in pripravlja tehnične datoteke, potrebne za oznako CE.

Poleg orodij projekt ponuja tudi izobraževanje. Preko serije spletnih seminarjev CRAcademy in informativnih gradiv deležnike opremlja z znanjem, ki je nujno za razumevanje kompleksne digitalne zakonodaje.

Ne odlašajte predolgo

Čeprav se bodo glavne obveznosti akta o kibernetski odpornosti v celoti začele uporabljati šele konec leta 2027, strokovnjaki opozarjajo, da je čakanje na zadnji trenutek tvegano. Obveznosti poročanja o aktivno izkoriščenih ranljivostih in incidentih bodo začele veljati že septembra 2026. Prilagoditev razvojnih procesov, usposabljanje zaposlenih in implementacija novih varnostnih protokolov zahtevajo čas.

Prihodnost digitalne Evrope je varna le toliko, kolikor je varen njen najšibkejši člen v dobavni verigi, projekt CRACoWi pa skrbi, da ta člen ne bo vaše podjetje.