
Kuinka noudattaa EU:n uutta kyberresiliencelakia
Sisällysluettelo:
Ison-Britannian lainsäädäntö harvoin vie EU:ta vastaan. Mutta juuri niin tapahtui huhtikuussa 2024, kun Yhdistyneen kuningaskunnan tuoteturvallisuus- ja televiestintäinfrastruktuuri (PSTI) laki, joka säätelee kytkettyjä laitteita, tuli laiksi. Kuitenkin, mitä PSTI onnistui nopeudella, se menetti laajuutensa. EU:n versio, Cyber Resilience Act (CRA), on paljon laajempi ja yksityiskohtaisempi, ja se asettaa korkean riman vaatimusten noudattamiselle vaatien tiukkaa lähestymistapaa kyberriskien hallintaan.
Korkeatasoinen CRA on suunniteltu parantamaan liitetyn teknologian turvallisuutta ja luotettavuutta ja helpottamaan ostajien erottamista korkealaatuisista tuotteista leijamerkkijärjestelmän ansiosta. Jopa 15 miljoonan euron tai 2.5 prosentin vuosiliikevaihdosta määrättyjen seuraamusten vuoksi noudattamatta jättäminen ei ole vaihtoehto, ja se on pakollista Yhdistyneen kuningaskunnan yrityksille, jotka haluavat hyödyntää laajoja EU:n markkinoita. Onneksi parhaiden käytäntöjen turvastandardien, kuten ISO 27001, noudattaminen tekee suuren osan raskaiden nostoista.
Mitä se kattaa?
Luottoluokituslaitos koskee:
- Tuotteet, joissa on digitaalisia elementtejä (PDE) – toisin sanoen ohjelmistoja tai laitteistoja, jotka voidaan yhdistää laitteeseen tai verkkoon
- PDE:n "etätietojenkäsittelyratkaisut".
- PDE:n ohjelmisto- tai laitteistokomponentit, joita markkinoidaan erikseen
Käytännössä tämä tarkoittaa laajaa tuotevalikoimaa, mukaan lukien älylaitteet, kuten älypuhelimet, tabletit, tietokoneet, televisiot ja jääkaapit, puettavat laitteet ja jopa lasten lelut. Jotkin tuoteluokat, kuten lääketieteelliset laitteet ja ajoneuvot, jotka ovat jo säänneltyjä, eivät vielä kuulu CRA:n piiriin.
Mitä sinun tarvitsee tehdä?
Laki koskee valmistajia, heidän valtuutettuja edustajiaan, maahantuojia, jakelijoita ja jälleenmyyjiä. Suurin osa vaatimustenmukaisuudesta lankee valmistajille, joiden on:
- Arvioi PDE-kyberturvallisuusriskejä ja varmista, että tuotteet on suunniteltu ja valmistettu CRA:n olennaisten kyberturvallisuusvaatimusten (ECR) mukaisesti.
- Varmista, että ulkopuolelta hankitut komponentit eivät vaaranna PDE:n turvallisuutta
- Dokumentoi ja korjaa haavoittuvuudet ajoissa
- Tarjoa tietoturvatukea viiden vuoden tai tuotteen käyttöiän ajan (sen mukaan kumpi on lyhyempi)
- Ilmoita EU:n turvallisuusvirastolle ENISAlle 24 tunnin kuluessa aktiivisesta haavoittuvuuden hyväksikäytöstä tai muusta tietoturvaloukkauksesta sekä tiedot korjaavista toimenpiteistä
- Anna yksityiskohtaisia tietoja tuotepäivitysten asentamisesta, kenelle haavoittuvuuksista ilmoittaa ja muita valmistajan tietoja
- Luoda vaatimustenmukaisuuden arviointiprosessi luottoluokituslaitosten vaatimustenmukaisuuden tarkistamiseksi
Maahantuojien on oltava tietoisia edellä mainituista voidakseen täyttää velvollisuutensa varmistaakseen, että EU:ssa myydään vain vaatimustenmukaisia PDE:itä. Luottoluokituslaitoksella on laaja ECR-luettelo lueteltu liitteessä I lainsäädännöstä, jotka on suunniteltu avoimiksi sen sijaan, että ne keskittyisivät yksityiskohtiin, jotta ne pysyisivät merkityksellisinä tekniikan kehittyessä. Ne sisältävät vaatimukset, joiden mukaan PDE:t ovat:
- Tuotettu ilman tunnettuja hyödynnettävissä olevia haavoittuvuuksia ja oletuksena suojatulla kokoonpanolla
- Suunniteltu ja valmistettu "asianmukaisella" kyberturvallisella tasolla ja tavalla, joka vähentää tietoturvaloukkausten vaikutusta
- Pystyy suojaamaan luvattomalta käytöltä vahvalla todennuksella
- Pystyy suojaamaan tallennettujen, lähetettyjen tai käsiteltyjen tietojen luottamuksellisuutta esimerkiksi salauksella
- Tietojen minimointiperiaatteiden mukainen
- Suunniteltu ja valmistettu rajoitetulla hyökkäyspinnalla
- Suunniteltu varmistamaan, että haavoittuvuudet voidaan korjata tuotepäivitysten kautta automaattisesti, mikäli mahdollista
- Tuotettu haavoittuvuuden paljastamiskäytännön ohella
Aika suunnitella
John Moor, IoT Security Foundationin (IoTSF) johtaja, selittää, että vaikka ei ole vielä aika panikoida, valmistajien on aloitettava yhteistyö toimitusketjujensa kanssa määrittääkseen, kuinka uudet tuotteet ovat CRA:n mukaisia.
"Markkinoilla olevat tuotteet eivät ole toistaiseksi käytettävissä, mutta ne saattavat tarvita käyttöiän päättymissuunnitelman", hän kertoo ISMS.online-sivustolle. ”Vaikka aikajana on noin 36 kuukautta, jotkut säännökset tulevat voimaan aikaisemmin. Tuotteiden valmistajien on noudatettava vaatimuksia tuona päivänä, ja koska kaikkien toimitusketjun jäsenten on otettava vastuu, tämä viittaa tulevaisuuteen."
Näiden toimitusketjukumppaneiden kanssa työskentelyn lisäksi valmistajien tulee myös arvioida, ovatko sisäiset prosessit tarkoituksenmukaisia riskien ja haavoittuvuuden hallinnan näkökulmasta, Moor väittää.
"Sitten päästään itse tuotteeseen. Täällä turvallisuus- ja yksityisyydensuojakäytännöt tulevat voimaan. Monet valmistajat tuntevat nämä elementit jo perinteisten toimivuus-, suorituskyky- ja tehonäkökohtien lisäksi”, hän sanoo. "Mistä he saavat apua? Konsultit, testilaboratoriot ja organisaatiot, kuten IoTSF. Meidät perustettiin vuonna 2015 ja näimme, miten maailma oli menossa. Siksi olemme ennakoineet, mitä on tulossa, ja sisällyttänyt neuvoja, prosesseja ja menetelmiä oppaihimme ja työkaluihimme."
Miten ISO 27001 voi auttaa?
Kun otetaan huomioon luottoluokituslaitoksen pitkät ja tiukat vaatimustenmukaisuusvaatimukset, organisaatiot voivat myös hyötyä toimiin liittyvien jo vahvistettujen parhaiden käytäntöjen noudattamisesta. Moor sanoo, että tuotekehitysstandardit ISO/SAE 21434 autoteollisuudelle ja IEC/ISA 62443 teollisuuden ohjausjärjestelmille ovat luultavasti oleellisimmat. Muut asiantuntijat sanovat kuitenkin, että ISO 27001:n kanssa on jonkin verran päällekkäisyyttä.
Adam Brown, johtava tietoturvakonsultti yrityksessä Musta ankka, kertoo ISMS.onlinelle, että se voisi luoda "hyvän perustan" brittiläisille teknologiayrityksille, jotka katselevat luottoluokituslaitosta.
”ISO 27001:n systemaattinen lähestymistapa riskienhallintaan, turvalliseen kehitykseen, toimitusketjun turvallisuuteen, häiriötilanteisiin reagoimiseen ja elinkaaren hallintaan kattaa monia samoja alueita, joita luottoluokituslaitos korostaa. ISO 27001 on kuitenkin suunnattu organisaation turvallisuuteen, kun taas CRA on suunnattu yksittäisille tuotteille”, hän lisää.
”ISO-akkreditoinnin läpikäyneet organisaatiot ymmärtävät riskien arvioinnin; luottoluokituslaitos määrää myös perusteellisen riskinarvioinnin tuotekohtaisesti. Suunniteltu ja oletussuojattu: CRA:n liite 1(h) edellyttää, että tuotteet suunnitellaan, kehitetään ja tuotetaan rajoittamaan hyökkäyspintoja, mukaan lukien ulkoiset rajapinnat. Samoin ISO 27001:n liite A.14 käsittelee tietojärjestelmien turvallista kehitystä ja tukea, mukaan lukien tietoturvan integrointi koko ohjelmistokehityksen elinkaaren ajan."
Hyvä uutinen on, että yhdenmukaistaminen ISO 27001 -standardin kanssa ei vain aseta valmistajia menestymään CRA-yhteensopivuudessa. Se voi myös auttaa luomaan turvallisen perustan joukolle muita alan säännöksiä ja vaatimuksia NIS 2:sta GDPR:ään. Voi olla aika katsoa.