ES Kibernetinio atsparumo aktas (CRA) – ką tai reiškia gamintojams?

Ar žinojote, kad nuo 2026 m. rugsėjo 11 d. visi Europos Sąjungos rinkoje veikiantys gamintojai privalės pranešti apie aktyviai išnaudojamus pažeidžiamumus per 24 valandas? ES Kibernetinio atsparumo aktas (angl. Cyber Resilience Act, CRA) – tai pirmasis ES teisės aktas, kuris nustato vienodus kibernetinio saugumo reikalavimus visiems produktams su skaitmeniniais elementais. O bausmės už neatitikimą gali siekti iki 15 milijonų eurų arba 2,5 % bendros pasaulinės įmonės metinės apyvartos.

Lietuvos statybos ir gamybos sektoriaus įmonės dažnai mano, kad šis reglamentas jų neliečia. Tačiau jei gaminate ar tiekiate bet kokius prie tinklo prijungiamus produktus – pramoninius IoT jutiklius, SCADA valdiklius, sujungtas stakles, pastatų automatikos sistemas ar net programinę įrangą – CRA jums tikrai aktualus. Šiame straipsnyje paaiškinsime, kas yra CRA, kokios pareigos tenka gamintojams, kokie svarbiausi terminai jau pasibaigė ar dar laukia, ir kokius praktinius žingsnius reikėtų atlikti dabar, kad išvengtumėte didelių problemų vėliau.

Kas yra ES Kibernetinio atsparumo aktas (CRA)?

ES Kibernetinio atsparumo aktas – tai 2024 m. priimtas Europos Parlamento ir Tarybos reglamentas (ES) 2024/2847, kuris įsigaliojo 2024 m. gruodžio 10 d. Jis nustato privalomus kibernetinio saugumo reikalavimus „produktams su skaitmeniniais elementais” (angl. products with digital elements, PDE) per visą jų gyvavimo ciklą – nuo projektavimo iki priežiūros pabaigos.

Pagrindinis akto tikslas – užtikrinti, kad į ES rinką patenkantys produktai būtų saugesni, o gamintojai prisiimtų atsakomybę už kibernetinį saugumą per visą produkto gyvavimo ciklą. Iki šiol ES neegzistavo bendros taisyklės, kurios reglamentuotų skaitmeninių produktų saugumą, o atskirų šalių reikalavimai buvo skirtingi ir fragmentuoti.

Kas yra „produktas su skaitmeniniais elementais”?

CRA taikomas labai plačiai. Į jo veikimo sritį patenka bet koks aparatūros ar programinės įrangos produktas, kurio numatomas arba pagrįstai numanomas naudojimas apima tiesioginį ar netiesioginį duomenų ryšį su įrenginiu arba tinklu. Gamybos ir statybos sektoriuje tai apima:

Pramoniniai IoT jutikliai – temperatūros, slėgio, vibracijos matavimo įrenginiai, perduodantys duomenis į debesį
SCADA ir PLC valdikliai – gamybos linijų automatizavimo sistemos
Sujungtos staklės ir robotai – CNC įrenginiai, gamybos robotai su nuotoline priežiūra
Pastatų automatikos sistemos – ŠVOK valdikliai, prieigos kontrolės sistemos, vaizdo stebėjimo kameros
ERP ir MES sistemos – gamybos valdymo programinė įranga su debesų integracijomis
Maršrutizatoriai, jungikliai, prieigos taškai – bet kokia tinklo įranga
Programinė įranga – nuo mobiliųjų aplikacijų iki operacinių sistemų komponentų

Svarbu suprasti – CRA taikomas ne tik ES gamintojams. Bet kuri įmonė, tiekianti produktus į ES rinką, privalo laikytis šio reglamento. Tai apima importuotojus, platintojus ir bet kokius ekonomikos veikėjus, dalyvaujančius produkto tiekimo grandinėje.

Ko CRA nereglamentuoja?

Aktas turi keletą svarbių išimčių. Į jo veikimo sritį nepatenka medicinos prietaisai (jiems taikomas atskiras MDR reglamentas), motorinės transporto priemonės, civilinės aviacijos produktai ir kai kurie kiti produktai, turintys savo specifinius saugumo teisės aktus. Be to, originalaus gamintojo tiekiamos atsarginės dalys taip pat yra atleidžiamos nuo naujų reikalavimų.

Kodėl CRA aktualus būtent dabar?

Skaičiai byloja patys už save. Tyrimų duomenimis, pasaulinė kibernetinių nusikaltimų žala iki 2026 m. pabaigos prognozuojama virš 1,2 trilijono dolerių per metus. Tuo pačiu sujungtų įrenginių skaičius pasaulyje sparčiai auga – kiekvienas naujas jutiklis, valdiklis ar pažangus įrenginys gamykloje yra ir potencialus įėjimo taškas užpuolikui.

Praktinis pavyzdys: Kauno regiono gamybos įmonė įsidiegia šiuolaikinę gamybos liniją su 50 IoT jutiklių, kurie perduoda duomenis į gamintojo debesį priežiūros tikslais. Jei kuris nors iš šių jutiklių turi nepataisytą pažeidžiamumą, užpuolikas gali jį panaudoti kaip įėjimo tašką į visą įmonės tinklą. Daugiau apie tokias grėsmes ir kaip nuo jų apsisaugoti rasite straipsnyje apie kibernetines atakas.

CRA siekia šią problemą spręsti sisteminiu lygmeniu – ne pasitikint vartotojais ar IT specialistais, o perkeliant atsakomybę ten, kur ji turėtų būti: ant gamintojo pečių.

CRA įgyvendinimo terminų grafikas – svarbiausios datos

Reglamentas įsigaliojo, tačiau jo reikalavimai įsigalioja etapais. Štai chronologinis svarbiausių datų grafikas, kurį turėtų žinoti kiekvienas gamintojas:

2024 m. gruodžio 10 d. – CRA įsigaliojo. Reglamentas (ES) 2024/2847 paskelbtas ES oficialiajame leidinyje. Pradėtas skaičiuoti 36 mėnesių pereinamasis laikotarpis.
2026 m. birželio 11 d. – Pradeda galioti taisyklės dėl atitikties vertinimo įstaigų (angl. notified bodies) skyrimo ir pranešimo. Valstybės narės privalo paskirti atsakingas institucijas.
2026 m. rugsėjo 11 d. – Įsigalioja privalomi reikalavimai dėl pažeidžiamumų ir incidentų pranešimo. Tai svarbiausias artimiausias terminas gamintojams.
2026 m. III ketvirtis – Numatoma, kad bus paskelbti pirmieji suderintieji standartai (angl. harmonized standards), kuriais gamintojai galės remtis atlikdami atitikties vertinimą.
2027 m. gruodžio 11 d. – Visi CRA reikalavimai pradeda galioti pilna apimtimi. Nuo šios dienos jokie reikalavimus neatitinkantys produktai negali būti pateikiami ES rinkai.

Pranešimo apie pažeidžiamumus terminai yra itin griežti. Sužinojus apie aktyviai išnaudojamą pažeidžiamumą, gamintojas privalo:

Per 24 valandas – pateikti išankstinį įspėjimą
Per 72 valandas – pateikti pilną pranešimą
Per 14 dienų nuo korekcinės priemonės atsiradimo – pateikti galutinę ataskaitą

Šios pareigos taikomos ir produktams, jau esantiems rinkoje iki 2027 m. gruodžio 11 d. – t. y. „seniems” produktams, kurie pateko į rinką dar prieš pilną CRA įsigaliojimą.

Pagrindinės gamintojų pareigos pagal CRA

Aktas nustato keletą esminių gamintojų pareigų, kurios apima visą produkto gyvavimo ciklą – nuo idėjos iki nutraukimo. Žemiau apžvelgsime pagrindines.

Saugumas pagal projektavimą (security by design)

Pirmoji ir bene svarbiausia pareiga – integruoti kibernetinį saugumą jau projektavimo etape, o ne pridėti vėliau. Gamintojai privalo:

Atlikti kibernetinio saugumo rizikos vertinimą prie projektavimo pradžioje
Tiekti produktus be žinomų išnaudojamų pažeidžiamumų
Pristatyti produktus su saugiomis numatytomis konfigūracijomis
Užtikrinti, kad būtų galima pakeisti pradinius slaptažodžius
Apsaugoti perduodamus ir saugomus duomenis šifravimu
Riboti prieigos teises pagal mažiausių privilegijų principą

Pažeidžiamumų valdymas viso gyvavimo ciklo metu

Gamintojas atsakingas už produkto saugumą visą jo numatomą gyvavimo ciklą (paprastai – ne mažiau kaip 5 metus). Tai reiškia, kad nepakanka tik parduoti saugų produktą – reikia jį prižiūrėti ir atnaujinti. Privalomos veiklos:

Pažeidžiamumų valdymo procesas – nuolatinis monitoringas, ar produktuose neatsiranda naujų pažeidžiamumų
Saugumo atnaujinimai – nemokami, prieinami visiems naudotojams
Atnaujinimų automatizavimas – kai įmanoma, saugumo atnaujinimai turi būti diegiami automatiškai (su galimybe atsisakyti)
Saugumo ir funkcijų atnaujinimų atskyrimas – kad naudotojai galėtų gauti saugumo pataisas, neprivalėdami priimti naujų funkcijų
SBOM (Software Bill of Materials) – programinės įrangos komponentų sąrašas, leidžiantis identifikuoti pažeidžiamumus tiekimo grandinėje

Privalomas pažeidžiamumų ir incidentų pranešimas

Tai svarbiausias artimiausio termino reikalavimas. Nuo 2026 m. rugsėjo 11 d. gamintojai turi pranešti apie:

Aktyviai išnaudojamus pažeidžiamumus savo produktuose
Sunkius saugumo incidentus, turinčius įtakos produkto saugumui

Pranešimai teikiami per vieną platformą – CRA Single Reporting Platform (SRP), kurią administruos ENISA. Pranešimas perduodamas šalies CSIRT (Lietuvos atveju – NKSC) ir vienu metu paskelbiamas ENISA. Šis vienas pranešimo taškas turi supaprastinti procesą gamintojams, kurie tiekia produktus į kelias šalis.

Techninė dokumentacija ir CE žymėjimas

Kaip ir kiti ES gaminių saugumo reglamentai (CE žymėjimo sistema), CRA reikalauja, kad produktai būtų pažymėti CE ženklu, įrodančiu atitiktį akto reikalavimams. Gamintojas privalo:

Parengti ES atitikties deklaraciją
Sudaryti techninę dokumentaciją
Atlikti atitikties vertinimą (savarankiškai arba per notifikuotą įstaigą)
Saugoti dokumentus mažiausiai 10 metų
Pateikti naudotojams aiškias instrukcijas saugaus naudojimo klausimais

Produktų kategorijos pagal CRA rizikos lygį

CRA suskirsto produktus į kelias kategorijas pagal jų svarbą kibernetiniam saugumui. Nuo kategorijos priklauso ir atitikties vertinimo procedūra.

Standartiniai produktai – maždaug 90 % visų produktų. Gamintojas atlieka savarankišką atitikties vertinimą. Pavyzdžiai: išmanieji garsiakalbiai, žaislai, namų buitiniai prietaisai.
Svarbūs produktai I klasė – padidintos rizikos produktai. Pavyzdžiai: tinklo valdymo programinė įranga, slaptažodžių tvarkyklės, išmaniųjų namų asistentai.
Svarbūs produktai II klasė – dar didesnės rizikos. Pavyzdžiai: ugniasienės, įsibrovimų aptikimo sistemos, operacinės sistemos, mikroprocesoriai.
Kritiniai produktai – privalo turėti trečiosios šalies atitikties vertinimą. Pavyzdžiai: aparatūros saugumo moduliai, išmaniosios elektros tinklo skaitlių sistemos.

Daugumai gamintojų pakaks atlikti savarankišką atitikties vertinimą remiantis suderintaisiais standartais. Tačiau jei gaminate svarbius II klasės ar kritinius produktus, prireiks bendradarbiavimo su notifikuota įstaiga.

Ką CRA reiškia Lietuvos statybos ir gamybos įmonėms?

Praktinis CRA poveikis priklauso nuo įmonės vaidmens. Pažvelkime į kelis scenarijus.

Jei jūs – gamintojas

Jei jūsų įmonė projektuoja ar gamina prie tinklo prijungiamus įrenginius – nuo specializuotų pramoninių jutiklių iki sujungtų matavimo prietaisų – CRA jums taikomas tiesiogiai. Privalėsite atlikti rizikos vertinimą, parengti techninę dokumentaciją, įdiegti pažeidžiamumų valdymo procesą ir parengti pranešimo sistemą. Pasiruošimas užims mėnesius, o ne savaites.

Jei jūs – importuotojas ar platintojas

CRA reikalauja, kad importuotojai ir platintojai patikrintų, ar tiekiami produktai atitinka reikalavimus. Privalėsite užtikrinti, kad turite CE žymėjimą, ES atitikties deklaraciją ir techninę dokumentaciją (arba bent galimybę gauti ją iš gamintojo). Sutartys su gamintojais turės atspindėti šias pareigas.

Jei jūs – įrenginių naudotojas

Net jei nieko negaminate – CRA jums vis tiek aktualus. Įsigyjant naują įrangą po 2027 m. gruodžio – matysite CE ženklą su CRA atitiktimi. Tai padės pasirinkti saugesnius produktus. Be to, naudotojai turi teisę gauti saugumo atnaujinimus ir aiškią informaciją apie produkto saugumo paramos laiką. Šiuo metu rekomenduojame atlikti IT auditą, kad žinotumėte, kokie sujungti įrenginiai jau yra jūsų infrastruktūroje.

Praktiniai žingsniai gamintojui pasiruošti CRA

Pasiruošimas CRA nėra projektas, kurį galima atidėti paskutinę minutę. Štai praktinis veiksmų planas:

1 žingsnis: Inventorizuokite produktus. Sudarykite sąrašą visų savo produktų su skaitmeniniais elementais. Pažymėkite, kokia ryšio funkcija jie turi, kokia programinė įranga juose veikia.
2 žingsnis: Nustatykite kategorijas. Suklasifikuokite produktus pagal CRA kategorijas (standartiniai, svarbūs I/II, kritiniai). Tai lems atitikties vertinimo procedūrą.
3 žingsnis: Atlikite spragų analizę. Palyginkite dabartines praktikas su CRA reikalavimais. Kur trūksta dokumentacijos? Kur trūksta procesų?
4 žingsnis: Įdiekite pažeidžiamumų valdymą. Sukurkite procesą, kaip stebėsite pažeidžiamumus, kaip juos klasifikuosite ir pataisysite. Numatykite atsakingus asmenis ir laiko terminus.
5 žingsnis: Paruoškite pranešimo procedūras. Iki 2026 m. rugsėjo 11 d. turite turėti aiškią procedūrą: kas, per kiek laiko, kam praneša apie pažeidžiamumus.
6 žingsnis: Atnaujinkite tiekėjų sutartis. Jūsų komponentų tiekėjai taip pat turi atitikti CRA. Sutartyse turi būti aiškios sąlygos dėl pažeidžiamumų pranešimo ir saugumo atnaujinimų.
7 žingsnis: Apmokykite komandą. Inžinieriai, projektuotojai, kokybės kontrolės specialistai – visi turi suprasti, kas yra kibernetinis saugumas jų darbe.
8 žingsnis: Sekite suderintųjų standartų išleidimą. 2026 m. III ketvirtyje atsiras pirmieji harmonizuoti standartai – jais galėsite remtis atitikties vertinime.

Smulkioms ir vidutinėms gamybos įmonėms šis darbas gali atrodyti milžiniškas. Tačiau ankstyvas pasiruošimas leis išvengti panikos ir didelių kaštų vėliau. Be to, geri kibernetinio saugumo procesai – tai ne tik atitiktis, bet ir konkurencinis pranašumas, ypač dirbant su didesnėmis įmonėmis, kurios tikrina savo tiekėjų saugumą.

Bausmės ir neatitikimo pasekmės

CRA numato vienas griežčiausių bausmių ES skaitmeninio reguliavimo srityje. Maksimalios bausmės už esminius reikalavimų pažeidimus siekia iki 15 milijonų eurų arba 2,5 % bendros pasaulinės įmonės metinės apyvartos (priklausomai, kuri suma didesnė). Mažesni pažeidimai gali kainuoti iki 10 milijonų eurų arba 2 % apyvartos.

Bet bausmės – ne vienintelė problema. Neatitinkantis produktas negali būti pateikiamas ES rinkai. Tai reiškia, kad jūsų produktas tiesiog negali būti parduodamas – nepriklausomai nuo to, ar atvežėte iš Kinijos, ar pagaminote Kaune. Pridėkite reputacinę žalą, klientų pasitikėjimo praradimą ir teisinius ginčus su pirkėjais – ir bendros pasekmės gali būti dar skausmingesnės už finansines bausmes.

Vienas teigiamas niuansas – labai mažoms ir mažoms įmonėms (microenterprises and small enterprises) bausmės už 24 valandų pranešimo termino nesilaikymą nebūtinai bus taikomos. Tačiau tai nereiškia, kad galima ignoruoti reikalavimus – tiesiog Europos teisės aktų leidėjai atsižvelgia į MVĮ realybę.

Išvados

ES Kibernetinio atsparumo aktas (CRA) – tai esminis poslinkis ES skaitmeninių produktų reguliavime. Iki šiol gamintojai galėjo tiekti produktus su žinomais pažeidžiamumais, neturėti atnaujinimo strategijos ir nepateikti naudotojams informacijos apie produkto saugumo paramos laiką. Nuo 2027 m. gruodžio – tai bus istorija. O nuo 2026 m. rugsėjo – pradės galioti pirmieji konkretūs reikalavimai.

Lietuvos statybos ir gamybos įmonėms svarbu suvokti, kad CRA – ne abstraktus Briuselio dokumentas, o reglamentas, turintis konkrečių pasekmių jūsų verslui. Ar jūs gaminate sujungtus įrenginius, ar tik juos naudojate – pasiruošimas nuo dabar leis išvengti didelių problemų vėliau. Pradėkite nuo inventorizacijos, atlikite rizikos vertinimą ir parenkite pažeidžiamumų valdymo procesą – tai trys svarbiausi pirmieji žingsniai. Jei reikia pagalbos vertinant esamą infrastruktūrą, kviečiame atlikti nemokamą IT ūkio testą.

Dažniausiai užduodami klausimai (DUK)

Ar CRA taikomas mano įmonei, jei nieko negaminu, o tik perparduodu?

Taip, CRA taikomas ir platintojams, ir importuotojams. Jūs privalote įsitikinti, kad tiekiamuose produktuose yra CE žymėjimas, kad gamintojas yra parengęs atitikties deklaraciją ir techninę dokumentaciją. Jei importuojate iš ne ES šalies (pavyzdžiui, Kinijos ar JAV), tampate atsakingas už produkto atitiktį prieš pateikiant jį ES rinkai.

Ar CRA taikomas atviro kodo programinei įrangai?

Iš esmės ne. Atviro kodo programinė įranga, kuri nėra monetarizuojama jos kūrėjų, nepatenka į CRA veikimo sritį. Tačiau jei jūsų įmonė naudoja atviro kodo komponentus komerciniame produkte, jūs (kaip gamintojas) tampate atsakingas už viso produkto atitiktį, įskaitant atviro kodo dalis. CRA taip pat įveda naują „atviro kodo prižiūrėtojo” (angl. open-source steward) sąvoką, kuri taikoma kai kuriems fondams ir organizacijoms.

Kiek laiko užtruks pasiruošimas CRA?

Priklauso nuo įmonės dydžio ir produktų portfelio. Mažoms įmonėms su keletu produktų – nuo 6 iki 12 mėnesių. Vidutinėms su platesniu portfeliu – nuo 12 iki 24 mėnesių. Didelėms pramonės įmonėms gali tekti net 24-36 mėnesių. Kadangi pirmieji reikalavimai įsigalioja 2026 m. rugsėjį, o pilna apimtimi – 2027 m. gruodžio mėn., pradėti reikia jau dabar.

Ar produktai, jau esantys rinkoje, taip pat turi atitikti CRA?

Iš esmės – produktai, pateikti į rinką iki 2027 m. gruodžio 11 d., yra atleidžiami nuo CRA esminių reikalavimų. Tačiau yra svarbi išimtis: pranešimo apie pažeidžiamumus pareiga (nuo 2026 m. rugsėjo) taikoma ir „seniems” produktams. Be to, jei produktas po 2027 m. gruodžio reikšmingai modifikuojamas, jis tampa naujai pateiktu rinkai ir privalo atitikti visus CRA reikalavimus.

Kas Lietuvoje yra atsakinga už CRA priežiūrą?

Lietuvoje pagrindinę priežiūros funkciją vykdys rinkos priežiūros institucijos, koordinuojamos su Nacionaliniu kibernetinio saugumo centru (NKSC). NKSC taip pat veiks kaip CSIRT – t. y. įstaiga, kuriai gamintojai teiks pranešimus apie pažeidžiamumus per ENISA administruojamą bendrąją pranešimo platformą (SRP). Detalesnis nacionalinis reglamentavimas dar tikslinamas, todėl verta sekti NKSC ir ENISA paskelbtas gaires.