EU Cyber Resilience Act stavlja IT lidere pred ozbiljan test
CSO Online piše da EU Cyber Resilience Act menja način na koji se posmatra bezbednost digitalnih proizvoda, jer se fokus pomera sa internih procesa na bezbednost samog proizvoda koji se stavlja na tržište. Regulativa obuhvata softver, firmware, povezane uređaje, backend komponente i proizvode sa mrežnom vezom, dok od proizvođača traži sigurnost po dizajnu, praćenje zavisnosti, SBOM evidenciju, upravljanje ranjivostima i podršku kroz životni vek proizvoda. Do 11. septembra 2026. organizacije treba da imaju procese za prijavu aktivno iskorišćenih ranjivosti i incidenata, uključujući obaveštenje u roku od 24 sata i potpuniji izveštaj u roku od tri dana. Puna primena CRA predviđena je za 11. decembar 2027, uz moguće kazne do 15 miliona evra ili 2,5 odsto prometa.
Za IT lidere ovo više nije samo pitanje usklađenosti, već pitanje sposobnosti da u svakom trenutku znaju šta njihov proizvod sadrži, od čega zavisi i koliko brzo mogu da reaguju kada se pojavi ranjivost. Posebno će biti teško organizacijama koje koriste open source i komponente dobavljača, ali nemaju stvarnu evidenciju zavisnosti, vlasništva i procesa za hitno izveštavanje.
- Popisati digitalne proizvode, backend komponente i povezane uređaje koji mogu ući u opseg CRA
- Uvesti ili unaprediti SBOM evidenciju za softverske komponente, zavisnosti i verzije
- Definisati proces za prijavu aktivno iskorišćenih ranjivosti u roku od 24 sata
- Proveriti da li dobavljači i open source komponente imaju jasne procese za prijavu i ispravljanje ranjivosti
- Pripremiti dokumentaciju o podršci, sigurnosnim ažuriranjima i životnom veku proizvoda