hoe om te voldoen aan die nuwe eu-kuberweerbaarheidswet-banier

Hoe om te voldoen aan die nuwe EU-wet op kuberveerkragtigheid

Britse regulasie steel selde 'n optog op die EU. Tog is dit presies wat in April 2024 gebeur het toe die VK se produksekuriteit en telekommunikasie-infrastruktuur (PSTI) Wet, wat gekoppelde toestelle reguleer, het wet geword. Wat die PSTI egter in spoed reggekry het, het dit in omvang verloor. Die EU-weergawe, die Cyber ​​Resilience Act (CRA), is veel breër en meer gedetailleerd en sal 'n hoë maat vir nakoming stel - wat 'n streng benadering tot kuberrisikobestuur vereis.

Op 'n hoë vlak is die CRA ontwerp om die sekuriteit en betroubaarheid van gekoppelde tegnologie te verbeter en dit vir kopers makliker te maak om produkte van hoë gehalte te onderskei danksy 'n vlieërmerkskema. Met boetes van tot € 15 miljoen of 2.5% van die jaarlikse omset, is nie-nakoming nie 'n opsie nie, en vir Britse firmas wat die groot EU-mark wil benut, is dit 'n moet. Gelukkig sal die nakoming van beste praktyk-sekuriteitstandaarde soos ISO 27001 baie van die swaar take verrig.

Wat dek dit?

Die CRA is van toepassing op:

  • Produkte met digitale elemente (PDE's) - met ander woorde, sagteware of hardeware wat in staat is om aan 'n toestel of netwerk te koppel
  • 'n PDE se "afgeleë dataverwerking"-oplossings
  • 'n PDE se sagteware of hardeware komponente wat afsonderlik bemark word

In die praktyk beteken dit 'n wye reeks produkte, insluitend slimtoestelle soos slimfone, tablette, rekenaars, TV's en yskaste, draagbare items en selfs kinderspeelgoed. Sommige produkkategorieë soos mediese toestelle en voertuie, wat reeds gereguleer is, word nog nie deur die CRA gedek nie.

Wat moet jy doen?

Die wetgewing sal van toepassing wees op vervaardigers, hul gemagtigde verteenwoordigers, invoerders, verspreiders en kleinhandelaars. Die meeste van die nakomingslas sal op vervaardigers val, wat moet:

  • Evalueer PDE-kuberveiligheidsrisiko's en verseker dat produkte ontwerp en vervaardig word in ooreenstemming met die CRA se noodsaaklike kuberveiligheidsvereistes (ECR's)
  • Maak seker dat komponente wat ekstern verkry word, nie die PDE se sekuriteit in gevaar stel nie
  • Dokumenteer en herstel kwesbaarhede betyds
  • Verskaf sekuriteitsondersteuning vir vyf jaar of die produk se lewensduur (watter een ook al die kortste is)
  • Stel die EU-sekuriteitsagentskap ENISA in kennis binne 24 uur nadat jy bewus geword het van aktiewe kwesbaarheidsuitbuiting of 'n ander sekuriteitsvoorval, met inligting oor regstellende maatreëls
  • Verskaf gedetailleerde inligting oor hoe om produkopdaterings te installeer, aan wie om kwesbaarhede te rapporteer, en ander vervaardigerbesonderhede
  • Vestig 'n ooreenstemmingsbeoordelingsproses om CRA-voldoening te verifieer

Invoerders sal bewus moet wees van die bogenoemde om hul verpligtinge na te kom om te verseker dat slegs PDE's wat voldoen, in die EU verkoop word. Die CRA het 'n uitgebreide lys ECR'e gelys in Bylae I van die wetgewing, wat ontwerp is om oop-einde eerder as detail-gefokus te wees om dit relevant te hou soos tegnologie ontwikkel. Dit sluit in vereistes vir PDE's om te wees:

  • Geproduseer vry van bekende ontginbare kwesbaarhede en met 'n veilige konfigurasie by verstek
  • Ontwerp en vervaardig met "toepaslike" vlakke van kuberveiligheid ingebou en op 'n manier wat die impak van sekuriteitsinsidente sal verminder
  • In staat om te beskerm teen ongemagtigde toegang met sterk verifikasie
  • In staat om die vertroulikheid van gestoor, versend of verwerkte inligting te beskerm, soos deur enkripsie
  • In ooreenstemming met data-minimaliseringsbeginsels
  • Ontwerp en vervaardig met 'n beperkte aanvalsoppervlak
  • Ontwerp om te verseker dat kwesbaarhede reggemaak kan word via produkopdaterings, waar moontlik outomaties
  • Geproduseer saam met 'n kwesbaarheids-openbaarmakingsbeleid

Tyd om te beplan

John Moor, hoof van die IoT Security Foundation (IoTSF), verduidelik dat hoewel dit nog nie tyd is om paniekerig te raak nie, vervaardigers sal moet begin saamwerk met hul verskaffingskettings om te bepaal hoe nuwe produkte aan die CRA sal voldoen.

"Produkte op die mark is vir nou buite die bestek, maar het dalk 'n einde-van-lewe-plan nodig," sê hy aan ISMS.online. “Hoewel die tydlyn ongeveer 36 maande is, sal sekere bepalings gouer inkom. Produkvervaardigers sal op daardie datum aan voldoening moet voldoen, en gegewe dat almal in die voorsieningsketting eienaarskap moet neem, dui dit op vooruitbeplanning.”

Benewens die samewerking met hierdie voorsieningskettingvennote, moet vervaardigers ook evalueer of interne prosesse geskik is vir die doel vanuit 'n risiko- en kwesbaarheidsbestuursperspektief, voer Moor aan.

“Dan kom ons by die produk self. Dit is waar sekuriteit en privaatheid-by-ontwerp praktyke in werking tree. Baie vervaardigers sal reeds vertroud wees met hierdie elemente buite die tradisionele funksionaliteit, werkverrigting en kragoorwegings,” sê hy. “Waar kan hulle hulp kry? Konsultante, toetslaboratoriums en organisasies soos die IoTSF. Ons is in 2015 gestig en kon sien hoe die wêreld op pad is. Ons het dus verwag wat gaan kom en het advies, proses en metodologieë in ons gidse en gereedskap ingebed.”

Hoe ISO 27001 kan help

Gegewe die CRA se lang en veeleisende voldoeningsvereistes, kan organisasies ook baat vind by die volg van reeds gevestigde beste praktykstandaarde wat relevant is tot die wet. Moor sê produkontwikkelingstandaarde ISO/SAE 21434 vir motor en IEC/ISA 62443 vir industriële beheerstelsels is waarskynlik die mees relevante. Ander kenners sê egter ook dat daar 'n mate van oorvleueling met ISO 27001 is.

Adam Brown, besturende sekuriteitskonsultant by Swart eend, vertel aan ISMS.online dat dit 'n "goeie grondslag" kan lê vir Britse tegnologiefirmas wat die CRA dophou.

“ISO 27001 se sistematiese benadering tot risikobestuur, veilige ontwikkeling, voorsieningskettingsekuriteit, insidentreaksie en lewensiklusbestuur dek baie van dieselfde areas wat die CRA beklemtoon. ISO 27001 is egter gemik op organisatoriese sekuriteit, terwyl die CRA op individuele produkte gemik is,” voeg hy by.

“Organisasies wat deur ISO-akkreditasie is, sal risikobepaling verstaan; die CRA vereis ook 'n deeglike risikobepaling per produk. Veilig deur ontwerp en verstek: CRA Bylae 1(h) vereis dat produkte ontwerp, ontwikkel en vervaardig word om aanvalsoppervlaktes, insluitend eksterne koppelvlakke, te beperk. Net so handel ISO 27001 se aanhangsel A.14 oor veilige ontwikkeling en ondersteuning vir inligtingstelsels, insluitend die integrasie van sekuriteit deur die hele sagteware-ontwikkelingslewensiklus.”

Die goeie nuus is dat die aanpassing met ISO 27001 nie net vervaardigers sal voorberei vir sukses met CRA-voldoening nie. Dit kan ook help om 'n veilige grondslag te skep vir 'n reeks ander industrieregulasies en vereistes, van NIS 2 tot die GDPR. Dit is dalk tyd om te kyk.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!