Możliwe, że już niedługo nasi klienci zaczną prosić o wsparcie w stworzeniu VDP czy SBOM, bo to wynika z CRA. Jeśli te skróty brzmią teraz obco – warto zapoznać się z nimi jak najwcześniej. Zapraszam.
Czytelnik naszego magazynu zapewne kojarzy przepisy o produktach niebezpiecznych – czy to w formie z polskiego Kodeksu cywilnego, czy stosunkowo niedawnego unijnego GPSR. Jak zweryfikować bezpieczeństwo produktu, jaką drogą się w tej sprawie kontaktować? Jaka jest odpowiedzialność producenta, a jaka dystrybutora? Jak to bezpieczeństwo zostanie naprawione w przypadku wykrycia niebezpieczeństw?
Wchodzące wkrótce CRA to trochę jak poruszenie bezpieczeństwa produktów – ale w kontekście aplikacji, stron internetowych, oprogramowania aut czy lodówek.
O co chodzi w regulacji?
Cyber Resilience Act (Akt o cyberodporności) to przełomowe prawo unijne mające na celu wprowadzenie wspólnych standardów cyberbezpieczeństwa dla wszystkich produktów z elementami cyfrowymi. Oznacza to, że każde urządzenie lub program, który łączy się z siecią lub przetwarza dane, musi spełniać określone wymogi bezpieczeństwa, zanim trafi do rąk klientów w Unii Europejskiej. Regulacja ta przesuwa ciężar odpowiedzialności z użytkownika na twórcę produktu.
CRA jest rozporządzeniem i jest stosowane bezpośrednio i identycznie we wszystkich państwach członkowskich UE. Nie będziemy zatem czekać na polskie wdrożenie i nie musimy obawiać się na przykład weta prezydenta, jak ostatnio przy DSA. Rozporządzenie staje się prawem „automatycznie”, podobnie jak znane wszystkim RODO. Gwarantuje to, że firmy z Polski, Hiszpanii czy Finlandii będą grały na tych samych zasadach.
Współczesne produkty cyfrowe są często wypuszczane na rynek z licznymi lukami, które przestępcy mogą łatwo wykorzystać. Unia Europejska zauważyła, że bezpieczeństwo jest traktowane po macoszemu, dlatego głównym celem CRA jest zrównoważenie odpowiedzialności. Twórcy mają teraz dbać o produkt przez cały cykl jego życia, a nie tylko do momentu sprzedaży. Chodzi też o to, by sprzęt miał mniej podatności już w dniu premiery.
Terminy
Proces wdrażania CRA jest rozłożony na lata, co daje czas na dostosowanie procesów:
l 11 grudnia 2024 r.: oficjalne wejście w życie ram prawnych – od tego momentu firmy powinny planować swoją strategię zgodności;
l 12 czerwca 2026 r.: jednostki oceniające zaczynają certyfikować produkty o wyższym ryzyku;
l 12 października 2027 r.: rusza obowiązkowe raportowanie incydentów. Każda firma będzie musiała zgłosić lukę lub atak w ciągu 24 godzin do organów UE (ENISA). Systemy VDP (o których dalej) stają się obowiązkowe;
l 12 grudnia 2027 r.: pełna zgodność. Każdy produkt bez oznaczenia CE i odpowiedniej dokumentacji zostanie uznany za nielegalny na rynku UE.
Niech zatem czytelnik nie da się zwieść myśli, że do grudnia 2027 r. jeszcze prawie dwa lata. Po pierwsze, w praktyce dokumentów liczyłbym raczej „do października 2027 r.”, a po drugie – już w czerwcu tego roku możemy zacząć stykać się z pierwszymi zapytaniami o certyfikację.
Kogo dotyczy nowe prawo?
CRA obejmuje producentów, importerów oraz dystrybutorów i obowiązki każdej z tych grup nieco się różnią. Co ważne, dotyczy to każdej firmy, której produkt jest dostępny w UE, nawet jeśli jej siedziba jest w USA czy Chinach. Uwaga na działalność komercyjną: regulacja dotyczy każdego, kto czerpie korzyści finansowe. Przykładowo twórca darmowej aplikacji oferujący do niej płatne wsparcie lub wersję „premium” musi spełniać wymogi CRA. Zwolnione z tego obowiązku są tylko czyste projekty hobbystyczne, które nie mają żadnego elementu zarobkowego.
CRA definiuje oprogramowanie szeroko jako kod komputerowy będący częścią systemu informacyjnego, zatem „produkty niebezpieczne” w tej regulacji to:
l strony internetowe i oprogramowanie – chociaż sama „strona” to pojęcie złożone, to wszelkie komercyjne aplikacje, wtyczki i motywy (np. do WordPressa) są bezpośrednio objęte regulacją;
l sprzęt (IoT), czyli inteligentne lodówki, odkurzacze, systemy oświetlenia czy elektroniczne zamki;
l infrastruktura IT: routery, serwery, systemy operacyjne i menedżery haseł.
Kluczowe obowiązki
Producenci muszą wdrożyć podejście „security by design”, czyli myśleć o obronie przed hakerami już na etapie projektowania produktu (podobieństwo do umieszczonej w RODO zasady „privacy by design” wydaje mi się nieprzypadkowe). Ich główne zadania to:
1. dwuetapowe zgłaszanie, czyli informowanie o błędach i atakach w ciągu 24–72 godzin;
2. opieka przez pięć lat – producent musi dostarczać łatki bezpieczeństwa przez minimum pięć lat lub przez cały przewidywany czas życia produktu;
3. oznakowanie CE: umieszczenie cyfrowego symbolu zgodności poświadczającego, że produkt przeszedł testy;
4. dokumentacja, przykładowo prowadzenie ewidencji testów i ocen.
Oczywiście obowiązków może być więcej, niniejszy artykuł, o ograniczonej objętości, ma na celu nie pełne omówienie wchodzącej regulacji, lecz raczej zasygnalizowanie, że należy ją mieć na uwadze; jest także zachętą do samodzielnego doczytania. W kontekście radców zresztą najbardziej interesujące będą oczywiście nie zadania typowo techniczne, tylko przygotowanie „papierów”. Pomówmy o nich.
Dokumenty
Czym są wspomniane już VDP i SBOM? To dwa fundamenty bezpieczeństwa w CRA w rozumieniu dokumentacji wewnętrznej, powiedzmy, aplikacji. VDP (Vulnerability Disclosure Policy) to oficjalna instrukcja dla badaczy i użytkowników, jak mogą bezpiecznie zgłosić błąd w oprogramowaniu. Należy również jasno określić, w jakim czasie naprawi się lukę i jak o tym poinformuje.
A czym jest SBOM (Software Bill of Materials)? Można to nazwać „listą składników” programu. To spis wszystkich zewnętrznych bibliotek i komponentów, z których korzysta – przykładowo wtyczek do strony internetowej, by po prostu wiedzieć, z czego się składa. Dzięki temu, gdy przykładowo wyjdzie informacja o błędzie w popularnej bibliotece – od razu będzie wiadomo, czy zawierający go „produkt” (strona) jest zagrożony.
Jak widać, rozporządzenie może być krokiem w dobrym kierunku odnośnie do uporządkowania na przykład stron internetowych czy ułatwienia odbiorcom wyboru bezpieczniejszego narzędzia. Możliwe jednak, że to nie takie kwestie dla większości odpowiedzialnych będą motywacją do jego wdrożenia – a po prostu kary.
Kary i jak ich uniknąć
Są dotkliwe i mogą wynieść do 15 mln euro lub 2,5% globalnego obrotu firmy. Ponadto urzędy mogą nakazać wycofanie produktu z rynku i usunięcie go nawet z miejsc, nad którymi nie ma się pełnej kontroli (np. repozytoria wtyczek).
Jak uniknąć kar? Należy działać metodą małych kroków:
1. stworzyć listę SBOM dla produktów;
2. opublikować politykę VDP na swojej stronie;
3. przeprowadzić ocenę ryzyka i usunąć znane luki;
4. przygotować dokumentację techniczną w uporządkowanej strukturze folderów.
Wyobraźmy sobie, że sprzedaję wtyczkę do sklepu internetowego – baner cookies, dodawanie do koszyka czy synchronizację z bramką płatności. Jeśli haker znajdzie w niej lukę, a nie miałem polityki VDP i nie naprawiłem błędu w terminie – prócz odpowiedzialności wizerunkowej mogę zostać ukarany finansowo, a wtyczka zostanie usunięta z oficjalnych platform sprzedaży. Tak jak usuwana z obrotu byłaby fizyczna niebezpieczna deskorolka czy resorak dla dzieci.
Podsumowanie
A zatem CRA jest dla świata cyfrowego tym, czym dla branży spożywczej są sanepid i etykiety ze składem produktów. Producent nie może już sprzedawać „tajemniczego oprogramowania” bez opisu. Musi podać listę składników (SBOM), zapewnić datę przydatności do bezpiecznego spożycia, czyli użytku (pięć lat wsparcia), i mieć procedurę na wypadek zatrucia (VDP), a wszystko to potwierdza atest (oznaczenie CE).
Co to daje odbiorcom? Konsument zyska większą przejrzystość. Kupując sprzęt z logo CE, będzie mieć pewność, że nie zostanie on porzucony przez producenta po roku. A dane będą lepiej chronione, ryzyko kradzieży tożsamości przez lukę w inteligentnym odkurzaczu natomiast drastycznie spadnie.
A co to daje prawnikom? Nowy obszar do pracy, na który już teraz warto się przygotować.
