Zaufanie cyfrowe to nowy kapitał. Nie wystarczy już pisać inteligentny kod lub tworzyć innowacyjne produkty. Prawdziwym czynnikiem wyróżniającym jest to, jak „bezpieczne z założenia” jest Twoje środowisko cyfrowe. Ustawa o cyberodporności, za sprawą europejskiego certyfikatu i znaku cybersecurty, podnosi poprzeczkę dla każdego produktu, procesu i zespołu – od rozwoju i testowania po dostawę i wsparcie posprzedażowe.
Kto skorzysta, a kto poniesie koszty tej rekonfiguracji cybersecurty w zintegrowaną architekturę produktów i biznesu? W związku z ustanowieniem przez CRA najwyższych standardów cybersecurty na świecie, badamy, jak reagują instytucje, firmy i ekosystemy UE.
Czy UE jest najbardziej regulowanym rynkiem cyberbezpieczeństwa?
Regulacje dotyczące cyberbezpieczeństwa na rynkach światowych rozpoczęły się już w 2002 r. wraz z wprowadzeniem pierwszych norm ISO (ISO/IEC 62443), które od tego czasu ewoluowały w kierunku kompleksowych ram sześciu norm cyberbezpieczeństwa obejmujących szeroki zakres produktów, transportu i systemów kontroli celnej (ISO 27001, ISO/IEC 27002, ISO 28000, ISO/IEC 27036, ISO/IEC 20243, ISO/IEC 27019).
Z biegiem lat przepisy stały się coraz bardziej rygorystyczne, a od 2015 r. zostały wzmocnione przez przyjęcie ram regionalnych: w Stanach Zjednoczonych (CISA, NIST, Security America’s Supply Chains), Wielkiej Brytanii (Product Security and Telecommunications Infrastructure Act), Chinach (ustawa o cyberbezpieczeństwie, ustawa o bezpieczeństwie danych) oraz Singapur (ustawa o cyberbezpieczeństwie). Unia Europejska wyróżnia się na tle innych rynków, ustanawiając spójny i powiązany pakiet sześciu obowiązkowych przepisów dotyczących cyberbezpieczeństwa, mających zastosowanie do określonych przedsiębiorstw w państwach członkowskich. Ramy regulacyjne UE mają na celu stworzenie europejskiej tarczy cyberbezpieczeństwa dzięki wspólnym wysiłkom 27 państw członkowskich, obejmującej:
- ochronę danych (RODO)
- infrastrukturę krytyczną (dyrektywa NIS)
- odporność sektora finansowego i bankowego (DORA)
- cyberbezpieczeństwo produktów cyfrowych (ustawa o cyberodporności – CRA).
Zarządzanie sztuczną inteligencją w operacjach i produktach (ustawa o sztucznej inteligencji)
Podejście UE do zapewnienia solidnej tarczy cyberbezpieczeństwa zostało nakreślone w unijnym akcie o cybersolidarności (CSA) i wdrożone przez Europejskie Centrum Kompetencji w zakresie Cyberbezpieczeństwa (ECCC) z siedzibą w Rumunii. ECCC koordynuje trzy transgraniczne centra operacyjne ds. bezpieczeństwa (SOC), w tym konsorcjum ENSOC (Hiszpania, Włochy, Luksemburg, Austria, Portugalia, Rumunia, Holandia) i konsorcjum ATHENA (Bułgaria, Grecja, Malta).
Zrozumienie kompromisów: krótkoterminowe obciążenie, długoterminowa siła
CRA wprowadza istotne zmiany, które początkowo będą stanowić obciążenie dla gospodarek i przedsiębiorstw UE:
- wysokie progi zgodności technicznej
- zwiększona dokumentacja i sprawozdawczość
- wyższe koszty operacyjne
- przyjęcie odpowiedzialności prawnej
- obowiązek zgłaszania incydentów w ciągu 24 godzin
- złożoność dostosowania starszych produktów i produktów open source.
Mimo to, oczekuje się, że wymienione wyżej wyzwania (czy też obciążenia) przyniosą znaczące korzyści w perspektywie średnio- i długoterminowej:
- 30–50% wzrost cyberbezpieczeństwa do 2029 r.
- 90% produktów UE bardziej odpornych na cyberataki
- większe zaufanie rynku i ochrona użytkowników (B2B, B2G, B2C)
- większe zaufanie zarządów do inwestycji cyfrowych
- bezpieczniejszy, ujednolicony rynek cyfrowy UE.
Czy zatem kraje UE są gotowe do pełnego wdrożenia CRA do 2027 r.? Na chwilę obecną nie. Kluczowe znaczenie dla powodzenia przedsięwzięcia będzie miało najbliższe 18 miesięcy.
Jak kraje UE przygotowują się do wdrożenia CRA?
Państwa członkowskie UE mają półtora roku na pełne wdrożenie standardów CRA. W tym czasie tworzone są partnerstwa publiczno-prywatne, aby zmniejszyć krótkoterminowe skutki i maksymalnie wykorzystać możliwości, jakie daje CRA.
Jedną z wybitnych inicjatyw jest OSCRAT, projekt finansowany przez UE w ramach programu „Cyfrowa Europa”, którego celem jest zapewnienie MŚP bezpłatnego zestawu narzędzi open source ułatwiającego zgodność z CRA. SECURE to kolejna inicjatywa finansowana przez UE, mająca na celu zwiększenie cyberodporności MŚP. Projekt, koordynowany przez włoską Krajową Agencję ds. Cyberbezpieczeństwa (ACN), ma na celu zapewnienie wsparcia finansowego i zasobów dla MŚP, pomagając im w osiągnięciu zgodności z CRA.
Rumunia buduje również dwie platformy CRA dla MŚP: platformę CRACY, będącą partnerstwem między Belgią, Rumunią, Grecją i Estonią, koordynowaną przez rumuński urząd ds. cyfryzacji, oraz platformę CYBERFORT, będącą partnerstwem rumuńsko-cypryjskim, opracowaną pod koordynacją Krajowego Dyrektora ds. Cyberbezpieczeństwa.
Platformy te mają na celu poprawę cyberbezpieczeństwa i gotowości europejskich MŚP do spełnienia wymogów CRA poprzez dostarczanie zaawansowanych rozwiązań technologicznych, narzędzi zapewniających zgodność z przepisami oraz dostosowanych programów szkoleniowych. Dzięki podejściu opartemu na współpracy obie platformy będą wspierać MŚP w wzmacnianiu ich cyberodporności i dostosowywaniu się do wymogów CRA, a także innych odpowiednich norm, takich jak ISO 27001, PCI DSS i NIS2.
Wiele krajów Europy Środkowo-Wschodniej opracowuje moduły szkoleniowe i przewodniki dotyczące wdrażania, pozostając w stałym kontakcie z sektorem prywatnym w celu uzyskania informacji zwrotnych. Na przykład w Czechach NÚKIB (czeski krajowy CERT) rozpoczął formalne konsultacje z dostawcami sprzętu i oprogramowania już w czerwcu 2024 r. W międzyczasie czescy dostawcy przekazują informacje zwrotne na temat projektu wykazu produktów „ważnych” i „krytycznych”, aby wiedzieć z wyprzedzeniem, czy będzie miała zastosowanie certyfikacja stron trzecich. W marcu 2025 r. Chorwacja opublikowała „Wytyczne CRA dla MŚP”: 35-stronicowy przewodnik zawierający szablony do wypełnienia dotyczące polityki w zakresie podatności na zagrożenia i dokumentacji technicznej CE.
Przewidujemy, że wysiłki sektora publicznego i prywatnego we wszystkich państwach członkowskich UE ulegną przyspieszeniu, aby dotrzymać dwóch kluczowych terminów: 2026 r. (wdrożenie i uruchomienie systemu zgłaszania luk w zabezpieczeniach produktów cyfrowych podłączonych do sieci) oraz 2027 r. (pełne wdrożenie CRA) we wszystkich przedsiębiorstwach produkujących, importujących, dystrybuujących lub nabywających sprzęt i oprogramowanie na jednolitym rynku UE.
Aby zapewnić pomyślny start całego przedsięwzięcia, powołuje się grupę ekspertów ds. ustawy o cyberodporności (grupa ekspertów CRA). Grupa ekspertów będzie wspierać Komisję i doradzać jej w kwestiach związanych z wdrażaniem ustawy o cyberodporności (CRA).
Jak powinny przygotować się przedsiębiorstwa z UE?
CRA będzie miała wpływ na różne podmioty. Korporacje, małe i średnie przedsiębiorstwa, startupy, organizacje pozarządowe, podmioty rządowe. To dlatego, że opracowują i dostarczają technologie, które są objęte CRA lub je kupują i wykorzystują.
Przedsiębiorstwa powinny również mieć świadomość, że niektóre produkty nie wchodzą w zakres CRA, ponieważ podlegają innym przepisom z obszaru cyberbezpieczeństwa lub normy ISO: pojazdy, systemy lotnicze, urządzenia medyczne, produkty SaaS, produkty MVP/w fazie testowej, oprogramowanie open source, systemy wojskowe/obronne oraz aplikacje opracowane do użytku wewnętrznego.
CRA jako szansa dla ekosystemu startupów?
Mimo że CRA wywiera niezwykłą presję na startupy, tego rodzaju spółki nadal mają przewagę w porównaniu z MŚP lub dobrze ugruntowanymi korporacjami z branży produkcji, importu i dystrybucji ICT. Wyobraźmy sobie startup na wczesnym etapie rozwoju produktu – może on uzyskać przewagę konkurencyjną, szybciej i skuteczniej wdrażając model „Secure by Design”. Ponadto oczekuje się, że ekosystem startupów opracuje rozwiązania przyspieszające procesy, takie jak:
- CRA Compliance as a Service (usługa zapewnienia zgodności z CRA) – zintegrowana platforma oferująca: audyty bezpieczeństwa, automatyczne generowanie dokumentacji, symulacje ataków, testowanie i weryfikację wymagań CRA
- rynki gotowe do CRA – sklepy z aplikacjami / rynki IoT, na których użytkownicy mogą wyszukiwać produkty z certyfikatem CRA
- zautomatyzowany system uznawania zgodności transgranicznej – uznawanie certyfikatów CRA przez inne jurysdykcje (np. USA, Wielka Brytania, Kanada)
- sandbox CRA dla innowatorów – kontrolowane środowiska, w których startupy mogą testować nowe produkty bez ograniczeń CRA.
- CRA Bug Bounty (crowdsourced security testing) – programy wspierane przez rządy / UE, w ramach których etyczni hakerzy pomagają identyfikować luki w zabezpieczeniach produktów cyfrowych podlegających CRA.
- ponowne wykorzystanie infrastruktury NIS2 i RODO – wiele firm posiada już procedury i zespoły ds. zgodności z RODO i NIS2. Wymagania CRA można zintegrować z istniejącymi procesami
- CRA Verified (cyfrowy system oznaczania) – firmy, które wcześnie wdrożą CRA, mogą uzyskać takie korzyści, jak: priorytetowy dostęp do przetargów publicznych, dodatkowe punkty w ocenie innowacyjności / finansowaniu UE itp.
W 2025 r. cyberbezpieczeństwo stanie się czynnikiem zmieniającym zasady gry w transformacji cyfrowej. Firmy nie będą już tylko sprzedawać produktów – będą budować zaufanie cyfrowe. Przepisy nie będą już ograniczać – przekształcą się w żywe struktury dla nowych rynków i dynamicznego zarządzania.
Czas nie płynie już… skraca się, przyspiesza i wzywa nas do działania.
