Serwis

Cyberbezpieczeństwo

Cyber Resilience Act (CRA): Security for production and IT

Czym jest Cyber Resilience Act (CRA)?
Co to oznacza dla klientów i jak reaguje Mitsubishi Electric?
CRA w naszych produktach – przejrzystość i bezpieczeństwo planowania
Wpływ na rynek i konkurencyjność

Cyber Resilience Act (CRA) – cyberbezpieczeństwo w automatyce przemysłowej z Mitsubishi Electric

Cyber Resilience Act (CRA) to unijne rozporządzenie wprowadzające obowiązkowe wymagania bezpieczeństwa dla produktów z elementami cyfrowymi. Jego celem jest uwzględnienie cyberbezpieczeństwa już na etapie projektowania sprzętu i oprogramowania („security by design”) oraz profesjonalne zarządzanie podatnościami przez cały cykl życia produktu. Przepisy obowiązują jednolicie we wszystkich państwach członkowskich UE.

Powód wprowadzenia regulacji jest oczywisty. Systemy produkcyjne, linie technologiczne i sterowanie oparte na IT są coraz silniej połączone sieciowo. Gdy maszyny, sterowniki lub komponenty komunikują się z innymi systemami, pojawia się realne ryzyko cyberataków. Dotychczas wiele działań w zakresie bezpieczeństwa miało charakter dobrowolny. Nowe regulacje czynią je obowiązkowymi w całej Unii Europejskiej. Cyberbezpieczeństwo przestaje być rekomendacją, a staje się wymaganym elementem każdego produktu cyfrowego.

Dla użytkowników i operatorów systemów automatyki oznacza to nowe obowiązki, ale także realną szansę na długoterminowe zabezpieczenie infrastruktury produkcyjnej.

Czym jest Cyber Resilience Act (CRA)?

Pierwsze unijne rozporządzenie określające minimalne standardy cyberbezpieczeństwa
Obejmuje wszystkie produkty podłączone do sieci dostępne na rynku UE, zarówno sprzęt, jak i oprogramowanie
Jednolite zasady we wszystkich krajach członkowskich
Wdrożenie przepisów będzie realizowane stopniowo

Cel: Firmy muszą wykazać, że ich produkty zostały zaprojektowane z uwzględnieniem zasad bezpieczeństwa, przetestowane pod kątem potencjalnych zagrożeń oraz że posiadają udokumentowane procesy zarządzania podatnościami. Takie podejście zwiększa odporność cybernetyczną organizacji, skuteczniej chroniąc je przed atakami, awariami oraz nieuprawnioną ingerencją. W rezultacie podnosząc ogólny poziom cyberbezpieczeństwa na terenie Unii Europejskiej.

Podstawa prawna i zakres obowiązywania Cyber Resilience Act

Cyber Resilience Act opiera się na Rozporządzeniu (UE) 2024/2847. Obejmuje producentów, importerów oraz dystrybutorów produktów z funkcjami cyfrowymi, od systemów wbudowanych i urządzeń połączonych, po oprogramowanie oraz firmware. W praktyce oznacza to, że regulacja dotyczy niemal wszystkich firm oferujących produkty cyfrowe na rynku Unii Europejskiej, od producentów automatyki przemysłowej po dostawców usług chmurowych.

Szczególną rolę odgrywa tu transparentność. Przepisy wymagają prowadzenia możliwej do prześledzenia dokumentacji, zapewnienia bezpiecznych łańcuchów dostaw oprogramowania oraz jasno zdefiniowanych procesów raportowania.

Standardy te nie tylko podnoszą poziom bezpieczeństwa, lecz także zwiększają przewidywalność i stabilność operacyjną po stronie użytkowników i operatorów systemów.

Okres stosowania i okresy przejściowe CRA

Rozporządzenie obowiązuje od 11 grudnia 2024 r. Obowiązek jego stosowania zaczyna się po zakończeniu okresów przejściowych, co daje producentom odpowiedni czas na dostosowanie produktów, procesów rozwojowych oraz dokumentacji.

20 listopada 2024 r.: publikacja aktu prawnego w Dzienniku Urzędowym UE
Ostateczna wersja Cyber Resilience Act zostaje opublikowana w Dzienniku Urzędowym Unii Europejskiej, co oznacza jej oficjalne ogłoszenie.

11 grudnia 2024 r.: wejście w życie Cyber Resilience Act
Cyber Resilience Act formalnie wchodzi w życie. Od tego dnia rozpoczynają się okresy przejściowe.

11 września 2026 r.: obowiązek raportowania podatności i incydentów bezpieczeństwa
Przedsiębiorstwa są zobowiązane do zgłaszania podatności oraz incydentów związanych z cyberbezpieczeństwem zgodnie z wymaganiami CRA.

11 grudnia 2027 r.: pełna obowiązkowa zgodność nowych produktów z CRA
Od tego momentu wszystkie nowe produkty wprowadzane na rynek muszą spełniać wszystkie wymagania Cyber Resilience Act.

Co to oznacza dla producentów? Już teraz warto dostosować procesy projektowania, testowania oraz zabezpieczania produktów. Skorzystają na tym również operatorzy – urządzenia i systemy tworzone zgodnie z Cyber Resilience Act są objęte regularnymi aktualizacjami bezpieczeństwa, sprawnym zarządzaniem poprawkami oraz pełną dokumentacją przez wiele lat. W efekcie całe środowisko produkcyjne staje się bardziej odporne na zagrożenia cybernetyczne.

Jakie produkty podlegają regulacji Cyber Resilience Act?

Regulacja celowo ma szeroki zakres. Obejmuje nie tylko produkty o podwyższonych wymaganiach bezpieczeństwa czy systemy krytyczne, lecz także niemal wszystkie urządzenia cyfrowe. Nawet aplikacje działające lokalnie na komputerze PC podlegają wymogom Cyber Resilience Act, jeśli przetwarzają dane, korzystają z interfejsów lub mogą być połączone z siecią. Cyber Resilience Act dotyczy w praktyce prawie wszystkich produktów z elementami cyfrowymi, w tym między innymi:

sprzętu z wbudowanym oprogramowaniem,
urządzeń sieciowych, na przykład sprzętu IoT,
samodzielnych produktów programowych,
aplikacji chmurowych oraz aplikacji uruchamianych lokalnie.

Kluczowe jest to, że każdy produkt posiadający funkcje cyfrowe i udostępniany na rynku Unii Europejskiej podlega przepisom CRA, a wraz z nimi wymaganiom dotyczącym bezpieczeństwa, aktualizacji oraz zarządzania podatnościami.

Co to oznacza dla klientów i jak reaguje Mitsubishi Electric?

W przypadku naszych produktów zgodnych z Cyber Resilience Act oznacza to w szczególności:

Unijny Cyber Resilience Act (CRA) znacząco podnosi wymagania w zakresie bezpieczeństwa dla produktów przemysłowych. Jako producent intensywnie przygotowujemy się do wdrożenia tych regulacji, abyś Ty, jako klient, mógł również w przyszłości korzystać z bezpiecznych, zgodnych z przepisami i gotowych na przyszłe wyzwania rozwiązań automatyki.

Dla operatorów oznacza to większe bezpieczeństwo w codziennej pracy. Wiele firm już dziś mierzy się z rosnącą liczbą cyberataków – od nieplanowanych przestojów instalacji, przez manipulacje systemami, aż po niewykryte wycieki danych. Cyber Resilience Act podnosi ogólny poziom bezpieczeństwa na rynku. Produkty bez możliwego do potwierdzenia cyberbezpieczeństwa nie będą w przyszłości dopuszczone do sprzedaży.

Bezpieczeństwo już na etapie produkcji

W przyszłości nasze produkty będą projektowane zgodnie z zasadą „secure by design” – z szyfrowaną komunikacją, zminimalizowaną powierzchnią ataku oraz zintegrowanym zarządzaniem podatnościami. Mitsubishi Electric nie tylko spełnia w ten sposób wymogi prawne, ale także aktywnie zwiększa cyberodporność środowisk produkcyjnych.

Bezpieczne ustawienia domyślne

Stawiamy na zasadę „secure by default”, co oznacza bezpieczne ustawienia fabryczne, brak słabych haseł domyślnych oraz sprzęt przystosowany do aktualizacji. Dzięki temu produkty są chronione już od momentu uruchomienia.

Transparentność i weryfikacja

Dla produktów zgodnych z CRA zapewnimy jasne i jednoznaczne potwierdzenie spełnienia wymagań, w tym deklarację zgodności oraz, w razie potrzeby, dokumentację testową. Operatorzy i audytorzy otrzymają przejrzyste informacje dotyczące zastosowanych komponentów sprzętowych i programowych, sposobu dostarczania aktualizacji oraz wdrożonych mechanizmów bezpieczeństwa. Ujednolicone standardy sprawią również, że procesy audytowe staną się prostsze i bardziej przewidywalne.

Skuteczna reakcja na incydenty bezpieczeństwa

Zidentyfikowane podatności są zgłaszane za pośrednictwem oficjalnej platformy UE (EUVD)* i usuwane w możliwie najkrótszym czasie. Dzięki temu zyskujesz wyższy poziom bezpieczeństwa oraz niezawodności systemów.

Długoterminowe wsparcie

Zapewniamy, że produkty zgodne z CRA otrzymują aktualizacje bezpieczeństwa oraz wsparcie w zakresie zarządzania poprawkami przez cały okres wsparcia, zazwyczaj co najmniej pięć lat. Ma to kluczowe znaczenie dla cyberbezpieczeństwa, ponieważ czas pomiędzy wykryciem podatności a jej usunięciem jest decydujący w ochronie przed atakami.

* Tutaj znajduje się Europejska Baza Podatności (EUVD), w której podatności bezpieczeństwa są centralnie zgłaszane i dokumentowane na potrzeby Unii Europejskiej.

CRA w naszych produktach – przejrzystość i bezpieczeństwo planowania

Unijny Cyber Resilience Act ustanawia wiążące standardy bezpieczeństwa dla produktów przemysłowych. Mitsubishi Electric aktywnie przygotowuje się do zapewnienia zgodności wielu swoich produktów automatyki z wymaganiami CRA.

Nasze portfolio produktów w kontekście CRA

Unijny Cyber Resilience Act (CRA) ustanawia wiążące standardy bezpieczeństwa dla produktów przemysłowych. W Mitsubishi Electric aktywnie przygotowujemy się do certyfikacji znacznej części naszego portfolio produktowego zgodnie z normą IEC 62443-4-2.

Wkrótce udostępnimy w tym miejscu szczegółowe informacje na temat tego, które produkty spełniają wymagania normy oraz które, ze względu na nowe regulacje dotyczące cyberbezpieczeństwa, nie będą mogły być w przyszłości wprowadzane do obrotu.

Produkty Mitsubishi Electric, które nie będą zgodne z CRA

Nie wszystkie dotychczasowe serie produktowe będą mogły zostać w pełni dostosowane do wymagań CRA. Wynika to głównie z ograniczeń technicznych, w szczególności sprzętowych i konstrukcyjnych starszych generacji urządzeń, których nie zawsze można dostosować do nowych standardów bezpieczeństwa. Dla tych serii oferujemy jasno określone ścieżki migracji oraz długoterminowe wsparcie, umożliwiające terminową i przewidywalną modernizację systemów.

Brak negatywnych konsekwencji dla operatorów
Dla operatorów nie oznacza to żadnych utrudnień. Części zamienne pozostają dostępne, a procesy serwisowe są kontynuowane. Dodatkowo oferowane są rozwiązania umożliwiające stopniową aktualizację systemów i utrzymanie odpowiedniego poziomu bezpieczeństwa instalacji.

Cyber Resilience Act nie wymusza nagłych wymian urządzeń, lecz wprowadza długoterminowy, przewidywalny proces transformacji rynku.

Dlaczego CRA jest istotny dla producentów i dostawców

Cyberataki na przedsiębiorstwa przemysłowe
W ostatnich latach liczba cyberataków na firmy przemysłowe znacząco wzrosła. Wiele z nich nie jest wymierzonych bezpośrednio w sieci IT, lecz w oprogramowanie, firmware lub inne elementy łańcucha dostaw.

Właśnie dlatego unijne regulacje dotyczące cyberbezpieczeństwa wprowadzają jasne wytyczne, których muszą przestrzegać zarówno dostawcy, jak i producenci.

Cyber Resilience Act wpływa nie tylko na techniczne projektowanie produktów, ale także na pozycję rynkową firm, ryzyka związane z odpowiedzialnością oraz współpracę w ramach łańcucha dostaw.

Przedsiębiorstwa, które podejmą działania na wczesnym etapie, zyskują przewagę konkurencyjną i ograniczają przyszłe koszty.

Wpływ na rynek i konkurencyjność

Wraz z wejściem w życie Cyber Resilience Act cyberbezpieczeństwo staje się obowiązkowym kryterium jakości dla produktów z elementami cyfrowymi.

Wiążące standardy bezpieczeństwa zwiększają przejrzystość rynku. Firmy, które inwestują w bezpieczeństwo na wczesnym etapie, budują zaufanie i wzmacniają swoją pozycję konkurencyjną. Operatorzy coraz częściej wybierają produkty, których bezpieczeństwo zostało potwierdzone i które posiadają aktywne mechanizmy cyberbezpieczeństwa.

Dla producentów i dostawców oznacza to, że:

produkty niezgodne z CRA mogą utracić dostęp do rynku lub zostać dopuszczone do obrotu z opóźnieniem,
klienci preferują rozwiązania z potwierdzonym poziomem bezpieczeństwa i przejrzystą dokumentacją,
firmy, które wcześnie inwestują w bezpieczne procesy rozwoju i aktualizacji, zwiększają swoją konkurencyjność oraz ograniczają ryzyko opóźnień we wprowadzaniu produktów na rynek.

Ryzyko, odpowiedzialność i łańcuch dostaw

Łańcuch dostaw jest kluczowym elementem nowoczesnej produkcji. Biblioteki programowe, pakiety open source czy zewnętrzne moduły mogą zawierać podatności bezpieczeństwa. Cyber Resilience Act nakłada na producentów obowiązek dokumentowania, jakie komponenty są wykorzystywane oraz w jaki sposób są one zabezpieczone. Wymagania te zwiększają cyberodporność całego przemysłowego łańcucha wartości.

CRA wymaga w szczególności:

jasno określonych odpowiedzialności oraz kanałów zgłaszania podatności,
bezpiecznych mechanizmów aktualizacji,
kompletnej dokumentacji technicznej,
przejrzystości w zakresie stosowanych komponentów.

Producenci i dostawcy, którzy nie spełnią tych wymagań, narażają się na:

incydenty bezpieczeństwa,
koszty napraw i akcji serwisowych,
utratę reputacji,
konsekwencje prawne i odpowiedzialność cywilną.

Korzyści z proaktywnego wdrożenia wytycznych CRA

Wczesne przygotowanie do wymagań CRA ogranicza nakłady pracy i koszty w całym cyklu życia produktu. Przekłada się to na wyższą jakość produktów, większe bezpieczeństwo instalacji oraz lepszą przewidywalność operacyjną. Firmy, które wdrożą rozwiązania zgodne z CRA przed 2027 rokiem, zyskają długoterminową stabilność, wyższy poziom bezpieczeństwa oraz mniejsze ryzyko awarii.

Przedsiębiorstwa odnoszą korzyści dzięki:

zautomatyzowanym procesom utrzymania SBOM,
jasno określonym wymaganiom wobec dostawców i zewnętrznych deweloperów,
szybszym procesom certyfikacji,
lepszej audytowalności na potrzeby klientów.

Dodatkowo solidna architektura bezpieczeństwa wzmacnia zaufanie partnerów biznesowych i ułatwia dostęp do przetargów oraz rynków regulowanych.

FAQ

Czym jest Cyber Resilience Act?

Cyber Resilience Act (CRA) to unijne rozporządzenie wprowadzające obowiązkowe wymagania z zakresu cyberbezpieczeństwa dla produktów z elementami cyfrowymi.

Producenci muszą uwzględniać bezpieczeństwo już na etapie projektowania („security by design”), zapewniać bezpieczne aktualizacje, odpowiedzialnie zarządzać podatnościami, prowadzić Software Bill of Materials (SBOM) oraz utrzymywać kompletną dokumentację techniczną. Celem regulacji jest długoterminowe zwiększenie bezpieczeństwa produktów w UE i lepsza ochrona użytkowników przed zagrożeniami cybernetycznymi.

Czy Cyber Resilience Act został już przyjęty?

Tak.

Cyber Resilience Act został formalnie przyjęty i obowiązuje od 11 grudnia 2024 r. Jest to wiążące prawo Unii Europejskiej.

Jaka jest różnica między NIS2 a Cyber Resilience Act?

NIS2

dyrektywa skierowana do operatorów usług kluczowych i ważnych, takich jak energetyka, ochrona zdrowia, transport czy administracja,
koncentracja na organizacyjnym bezpieczeństwie IT, zarządzaniu ryzykiem, raportowaniu incydentów oraz bezpieczeństwie łańcucha dostaw,
dotyczy firm świadczących usługi krytyczne lub istotne.

Cyber Resilience Act

rozporządzenie dla producentów, importerów i dystrybutorów produktów z elementami cyfrowymi, w tym oprogramowania, urządzeń IoT oraz systemów wbudowanych,
koncentracja na bezpiecznym projektowaniu produktów, SBOM, zarządzaniu podatnościami, bezpiecznych aktualizacjach i dokumentacji technicznej,
dotyczy produktów wprowadzanych na rynek Unii Europejskiej.

W skrócie:

NIS2 reguluje organizacje,
CRA reguluje produkty, które są przez te organizacje używane, wytwarzane lub dystrybuowane.

Od kiedy należy stosować Cyber Resilience Act?

Rozporządzenie obowiązuje od 11 grudnia 2024 r.

Obowiązek jego stosowania zaczyna się po okresie przejściowym, który umożliwia producentom dostosowanie produktów, procesów rozwojowych oraz dokumentacji do nowych wymagań.

Od 11 września 2026 r. obowiązuje wymóg raportowania podatności oraz incydentów bezpieczeństwa,
Od 11 grudnia 2027 r. wszystkie produkty wprowadzane na rynek UE muszą spełniać wymagania Cyber Resilience Act.

Chętnie doradzimy Ci osobiście!

Cyber Resilience Act to kamień milowy dla europejskiego przemysłu. Wprowadza jasne standardy cyberbezpieczeństwa, zapewnia transparentność w łańcuchach dostaw, chroni operatorów oraz wzmacnia bezpieczeństwo połączonych systemów produkcyjnych. Dzięki bezpiecznym procesom rozwoju, nowoczesnej architekturze produktów oraz silnemu naciskowi na jakość oprogramowania, Mitsubishi Electric konsekwentnie przygotowuje swoje rozwiązania do zgodności z wymaganiami CRA.

Cyberataki pozostaną realnym zagrożeniem. Jednak dzięki nowoczesnym mechanizmom bezpieczeństwa, bezpiecznemu oprogramowaniu oraz konsekwentnemu wdrażaniu Cyber Resilience Act, instalacje przemysłowe mogą być eksploatowane w sposób stabilny, niezawodny i odporny na zagrożenia.

*Firma

Position / Funktion

*Nachname

*Vorname

*Email

*Telefon

Kommentar

Potwierdzam, że zapoznałem się z informacjami że administratorem osobowych jest Mitsubishi Electric Europe B.V. sp. z o.o. Oddział w Polsce. Dane będą przetwarzane w celu udzielenia odpowiedzi na złożone zapytanie z wykorzystaniem powyższego formularza. Przetwarzanie danych w tych celach jest prawnie uzasadnionym interesem administratora (art. 6 ust. 1 lit. f RODO). Więcej informacji o zasadach przetwarzania danych, w tym prawach (m.in. możliwości złożenia sprzeciwu) dostępne jest pod linkiem oraz w naszej polityce prywatności Polityka prywatności - Mitsubishi Electric Factory Automation - Poland (melco.co.jp)

Chcę otrzymywać wiadomości od Mitsubishi Electric Europe B.V. Sp. z o.o. Oddział w Polsce/Polish Branch, z siedzibą w Balicach przy ul. Krakowskiej 48, 32-083 Balice, na temat ofert promocyjnych, informacji produktowych, akcji specjalnych oraz wydarzeń organizowanych przez Mitsubishi Electric za pomocą podanego przeze mnie adresu email.

Pola oznaczone * są obowiązkowe.

Skontaktuj się
- Wsparcie techniczne
- Skontaktuj się
Newsletter
Usługi
- Support
- Shop
Pliki do pobrania

Home
Serwis
Cyberbezpieczeństwo
Cyber Resilience Act (CRA): Security for production and IT

Śledź nas