Przejdz do tresci
Avanet
Cyber Resilience Act: Nowe obowiązki dla producentów i wpływ na Sophos Firewall

Cyber Resilience Act: Nowe obowiązki dla producentów i wpływ na Sophos Firewall

4. SIERPNIA 2025

Cyber Resilience Act zmieni od 2027 r. zasady dla producentów produktów cyfrowych. Należy bezpłatnie udostępniać aktualizacje bezpieczeństwa, jasno definiować okresy wsparcia i udowadniać bezpieczeństwo już na etapie projektowania. Dla administratorów IT oznacza to większą przejrzystość, dla dostawców takich jak Sophos dostosowanie strategii aktualizacji.

Krótki przegląd

  • Rozporządzenie UE obowiązuje od 11.12.2027
  • Wymagane co najmniej pięć lat bezpłatnych aktualizacji bezpieczeństwa
  • Obowiązek bezpiecznego projektowania, dokumentacji i procesów zgłaszania
  • Sophos musi dostosować swoją politykę aktualizacji
  • Administratorzy IT uzyskują większe bezpieczeństwo planowania

Dlaczego temat jest teraz istotny

Cyber Resilience Act obowiązuje od końca 2024 roku. Producenci i klienci mają czas do grudnia 2027 roku na zmianę swoich procesów. Dla bezpieczeństwa IT w Europie oznacza to wiążący standard: produkty bez aktualizacji bezpieczeństwa i niejasnych informacji o cyklu życia powinny zniknąć.

Co się zmienia lub co nowego

  • Bezpłatne aktualizacje bezpieczeństwa: Producenci nie mogą już pobierać opłat za krytyczne poprawki.
  • Przejrzyste okresy wsparcia: Co najmniej pięć lat aktualizacji lub wyraźne wskazanie krótszych okresów.
  • Oznakowanie CE: Od 2027 r. znak CE potwierdzi również zgodność z cyberbezpieczeństwem.
  • Obowiązki zgłaszania: Incydenty bezpieczeństwa muszą być zgłaszane władzom w ciągu 24 godzin. Dokładnie: wczesne ostrzeganie w ciągu 24 godzin, dalsze zgłoszenie w ciągu 72 godzin; adresatami są wyznaczony CSIRT (koordynator) i ENISA za pośrednictwem centralnej platformy.
  • Wysokie kary: Do 15 mln euro lub 2,5% obrotu w przypadku naruszeń.

Przegląd techniczny

Cyber Resilience Act skierowany jest do wszystkich „produktów z elementami cyfrowymi”. Obejmuje to klasyczne systemy korporacyjne, takie jak zapory, routery i systemy operacyjne, ale także urządzenia IoT w sektorze konsumenckim oraz oprogramowanie krytyczne dla bezpieczeństwa. Wymagania dotyczą zatem praktycznie całego ekosystemu połączonych produktów. Producenci muszą spełnić następujące obowiązki wynikające z Cyber Resilience Act:

  • Udowodnić bezpieczeństwo na etapie projektowania (np. bezpieczne ustawienia domyślne, szyfrowanie, sprawdzone protokoły, wzmocnienie przeciwko atakom DoS).
  • Prowadzić wykaz materiałów oprogramowania (SBOM), który szczegółowo wymienia wszystkie istotne komponenty, biblioteki i zależności, aby zapewnić przejrzystość w zakresie aktualizacji i zarządzania lukami.
  • Oferować opcje automatycznej aktualizacji, przynajmniej dla krytycznych poprawek bezpieczeństwa, i zapewnić, że te aktualizacje mogą być instalowane bez znaczących przerw lub zakłóceń. W środowiskach profesjonalnych musi również istnieć opcja kontrolowanej, zaplanowanej instalacji.
  • Przechowywać dokumentację przez dziesięć lat, w tym oceny ryzyka, raporty z testów i deklaracje zgodności, aby w przypadku audytu zawsze można było prześledzić, w jaki sposób zapewniono bezpieczeństwo.
  • Ustanowić proces zarządzania lukami i punkt zgłaszania problemów bezpieczeństwa, aby zewnętrzni badacze lub klienci mogli natychmiast zgłaszać odkryte luki.
  • Wdrożyć mechanizmy bezpiecznych aktualizacji (np. podpisywanie, weryfikacja), aby wykluczyć manipulacje podczas dystrybucji.

Te szczegółowe wymagania jasno pokazują, że Cyber Resilience Act nie tylko ustala minimalne standardy, ale wymaga kompleksowego zarządzania bezpieczeństwem od etapu rozwoju, poprzez działanie, aż po okres wsparcia.

Przewodnik praktyczny dla administratorów IT

Przygotowanie:

  • Przejrzeć procesy zakupowe: w przyszłości kupować tylko produkty zgodne z CRA.
  • Udokumentować informacje o cyklu życia i uzupełnić je w zarządzaniu aktywami.
  • Wyjaśnić obowiązki w zespole IT i zdefiniować role do zarządzania aktualizacjami.
  • Dostosować wewnętrzne polityki do wymagań CRA i uzupełnić brakujące procesy.

Wdrożenie:

  • Regularnie planuj aktualizacje bezpieczeństwa, nawet jeśli dostępne są automatyczne aktualizacje.
  • Subskrybuj powiadomienia producenta i integruj je z wewnętrznymi procesami.
  • Korzystaj ze środowisk testowych do sprawdzania aktualizacji przed wdrożeniem w systemach krytycznych.
  • Używaj interfejsów do narzędzi do obsługi zgłoszeń lub monitorowania, aby automatycznie dokumentować procesy aktualizacji.

Walidacja:

  • Testuj poprawki po instalacji.
  • Sprawdź logi pod kątem anomalii po aktualizacji.
  • Wykonuj skany sieci i bezpieczeństwa, aby upewnić się, że znane luki zostały usunięte.
  • Generuj raporty zgodności, które spełniają wymagania CRA.

Wycofanie i Monitorowanie:

  • Utrzymuj plany wycofania dla systemów krytycznych.
  • Użyj monitoringu, aby szybko wykrywać awarie po aktualizacjach.
  • Zdefiniuj alarmy, aby krytyczne błędy były natychmiast widoczne.
  • Przygotuj listy kontrolne w nagłych wypadkach, aby szybko przywrócić działanie w przypadku awarii.

Zalecenia i Najlepsze Praktyki

Temat Zalecenie
Wybór produktu Preferuj producentów zgodnych z CRA
Czas trwania wsparcia Wybierz urządzenia z co najmniej 5-letnią gwarancją aktualizacji
Zarządzanie poprawkami Ustanów centralne zarządzanie aktualizacjami
Dokumentacja Włącz SBOM i dane cyklu życia do inwentarza
Komunikacja Automatyzuj powiadomienia bezpieczeństwa producenta

Wpływ na Sophos i inne platformy

Sophos zmienił swoją politykę aktualizacji oprogramowania układowego w 2022 roku: aktualizacje są od tego czasu dostępne tylko z ważną licencją wsparcia. Poprawki bezpieczeństwa i aktualizacje sygnatur pozostały bezpłatne, ale regularne oprogramowanie układowe już nie. Cyber Resilience Act zmusza producentów takich jak Sophos do ponownego przemyślenia tego podziału. Prawdopodobnie w przyszłości trzeba będzie rozróżnić między „aktualizacjami funkcji” (płatnymi) a „poprawkami bezpieczeństwa” (bezpłatnymi).

Dla administratorów IT oznacza to:

  • Większą jasność co do okresów wsparcia urządzeń.
  • Niezawodny dostęp do krytycznych poprawek bezpieczeństwa, nawet bez licencji.
  • Większą przejrzystość co do cyklu życia i dat końca życia produktu (End-of-Life).

Często zadawane pytania

Czy Cyber Resilience Act dotyczy również istniejących produktów?

Nie, dotyczy produktów wprowadzonych na rynek od 11.12.2027.

Co dzieje się ze starymi urządzeniami bez aktualizacji?

Urządzenia bez wsparcia bezpieczeństwa nie będą już zgodne z CRA po wygaśnięciu okresu wsparcia i niosą ze sobą ryzyko.

Czy aktualizacje muszą być instalowane automatycznie?

W przypadku wielu urządzeń konsumenckich tak. W przypadku zapór lub systemów krytycznych wystarczy opcja ręczna z powiadomieniem.

Jakie kary grożą producentom?

Do 15 milionów euro lub 2,5% globalnego rocznego obrotu.

Jaką rolę odgrywa Avanet?

Avanet wspiera planowanie cyklu życia, strategie aktualizacji i wybór produktów zgodnych z Cyber Resilience Act.

Jakie dane są istotne dla Cyber Resilience Act?

Rozporządzenie obowiązuje od 10.12.2024; większość obowiązków ma zastosowanie od 11.12.2027. Obowiązki zgłaszania zaczynają się już 11.09.2026. Źródła: EUR-Lex i kilka kancelarii prawnych.

Wniosek

Cyber Resilience Act tworzy od 2027 roku wiążące ramy dla bezpieczeństwa IT. Dla Sophos i innych producentów oznacza to dostosowanie strategii aktualizacji i okresów wsparcia. Dla administratorów oznacza to większą niezawodność aktualizacji i planowania cyklu życia. Teraz jest właściwy moment, aby dostosować procesy zakupowe i strategie aktualizacji do wymagań CRA.

Powiązane linki

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.