MITSUBISHI ELECTRIC Changes for the Better
HUEN
HU
MagyarAngol
Factory Automation
Szolgáltatások

Cyber security

Automating the World
Cyber security
Content

Kiberbiztonsági törvény (CRA) – kiberbiztonság az ipari automatizálásban a Mitsubishi Electric segítségével

A kiberbiztonsági törvény (CRA) egy uniós rendelet, amely kötelező biztonsági követelményeket vezet be a digitális alkatrészekkel rendelkező termékek számára. Célja a kiberbiztonság beépítése a hardver és szoftver tervezési szakaszába („tervezés során biztosított biztonság”) és a termék életciklusa során a sebezhetőségek professzionális kezelésének biztosítása. A szabályozás egységesen alkalmazandó az EU összes tagállamában.

A rendelet bevezetésének oka nyilvánvaló. A gyártási rendszerek, a technológiai vonalak és az IT-alapú vezérlőrendszerek egyre inkább hálózatba kapcsolódnak. Amikor a gépek, vezérlők vagy alkatrészek más rendszerekkel kommunikálnak, fennáll a kibertámadások reális kockázata. Eddig sok biztonsági intézkedés önkéntes alapon működött. Az új rendeletek ezeket az Európai Unió egész területén kötelezővé teszik. A kiberbiztonság már nem ajánlás, hanem minden digitális termék kötelező eleme.

Az automatizálási rendszerek felhasználói és üzemeltetői számára ez új felelősségeket jelent, de egyben valódi lehetőséget is a termelési infrastruktúrájuk hosszú távú biztonságának garantálására.

Mi az a kiberbiztonsági törvény (CRA)?

  • Az első EU-rendelet, amely kiberbiztonsági minimum elvárásokat ír elő
  • Az EU piacán elérhető összes hálózati kapcsolattal rendelkező terméket lefedi, mind a hardvert, mind a szoftvert
  • Egységes szabályok minden tagállamban
  • A rendeletek végrehajtása fokozatosan történik

Cél: A vállalatoknak igazolniuk kell, hogy termékeiket a biztonság szem előtt tartásával tervezték, tesztelték a potenciális fenyegetésekre, és hogy dokumentált sebezhetőségkezelési folyamatokkal rendelkeznek. Ez a megközelítés növeli a szervezetek kiberbiztonságát, hatékonyabban védve őket a támadások, meghibásodások és jogosulatlan beavatkozások ellen. Ennek eredményeként emeli az Európai Unió kiberbiztonságának általános szintjét.

A kiberbiztonsági törvény jogalapja és hatálya

A kiberbiztonsági törvény(CRA) az (EU) 2024/2847 rendeletre épül. Hatálya kiterjed a digitális funkciókkal rendelkező termékek gyártóira, importőreire és forgalmazóira, a beágyazott rendszerektől és a csatlakoztatott eszközöktől a szoftverekig és a firmware-ekig. A gyakorlatban ez azt jelenti, hogy a rendelet szinte minden, az Európai Unió piacán digitális termékeket kínáló vállalatra vonatkozik, az ipari automatizálási gyártóktól a felhőszolgáltatókig.

Transparency is particularly important here: the regulation requires traceable documentation, secure software supply chains, and clearly defined reporting processes.

These standards not only increase security but also improve predictability for operators.

CRA alkalmazási időszak és átmeneti időszakok

A rendelet 2024. december 11-től alkalmazandó. Az alkalmazási kötelezettség az átmeneti időszakok lejárta után kezdődik, így a gyártóknak elegendő idő áll rendelkezésükre termékeik, fejlesztési folyamataik és dokumentációjuk kiigazítására.

  • 2024. november 20.: a jogi aktus közzététele az EU Hivatalos Lapjában
    A kiberbiztonsági törvény végleges változata az Európai Unió Hivatalos Lapjában kerül közzétételre, ami azt jelenti, hogy hivatalosan is kihirdetik.
  • 2024. december 11.: a kiberbiztonsági törvény hatálybalépése
    A kiberbiztonsági törvény hivatalosan hatályba lép. Az átmeneti időszakok ezen a napon kezdődnek.
  • 2026. szeptember 11.: a sebezhetőségek és a biztonsági incidensek bejelentésének kötelezettsége
    A vállalatoknak a CRA követelményeinek megfelelően be kell jelenteniük a sebezhetőségeket és a kiberbiztonsági incidenseket.
  • 2027. december 11.: az új termékek teljes körű kötelező megfelelése a CRA-nak
    Ettől az időponttól kezdve minden új, forgalomba hozott terméknek meg kell felelnie a kiberbiztonsági törvény összes követelményének.

Mit jelent ez a gyártók számára? Már most érdemes módosítani a terméktervezési, tesztelési és biztonsági folyamatokat. Az üzemeltetők is profitálnak ebből – a kiberbiztonsági törvénynek megfelelően létrehozott eszközök és rendszerek évekig rendszeres biztonsági frissítések, hatékony javításkezelés és teljes dokumentáció tárgyát képezik. Ennek eredményeként az egész termelési környezet ellenállóbbá válik a kiberfenyegetésekkel szemben.

Mely termékekre vonatkozik a kiberbiztonsági törvény?

A rendelet hatálya szándékosan széles körű. Nemcsak a fokozott biztonsági követelményekkel rendelkező termékeket vagy kritikus rendszereket fedi le, hanem szinte az összes digitális eszközt is. Még a PC-n helyileg futó alkalmazások is a kiberbiztonsági törvény követelményeinek hatálya alá tartoznak, ha adatokat dolgoznak fel, interfészeket használnak vagy hálózathoz csatlakoztathatók. A gyakorlatban a kiberbiztonsági törvény szinte minden digitális alkatrészekkel rendelkező termékre vonatkozik, többek között:

  • beágyazott szoftverrel rendelkező hardverek,
  • hálózati eszközök, például IoT-berendezések,
  • önálló szoftvertermékek,
  • felhőalkalmazások és helyileg futó alkalmazások.

A legfontosabb szempont, hogy minden digitális funkcióval rendelkező termék, amelyet az Európai Unió piacán forgalmaznak, a CRA előírásainak, és ezzel együtt a biztonságra, a frissítésekre és a sebezhetőségek kezelésére vonatkozó követelményeknek is alá van vetve.

Mit jelent ez az ügyfelek számára, és hogyan reagál erre a Mitsubishi Electric?

A kiberbiztonsági törvénynek megfelelő termékeink esetében ez a következőket jelenti:

Az EU kiberbiztonsági törvénye (CRA) jelentősen szigorítja az ipari termékekre vonatkozó biztonsági követelményeket. Gyártóként keményen dolgozunk ezen előírások végrehajtásán, hogy Ön, mint ügyfél, továbbra is biztonságos, előírásoknak megfelelő és jövőbiztos automatizálási megoldások előnyeit élvezhesse.

Az üzemeltetők számára ez nagyobb biztonságot jelent a mindennapi munkájukban. Sok vállalat már most is egyre több kibertámadással szembesül – a nem tervezett üzemleállásoktól és a rendszermanipulációtól a fel nem fedezett adat szivárgásokig. A kiberbiztonsági törvény emeli a piac általános biztonsági szintjét. Az ellenőrizhető kiberbiztonsággal nem rendelkező termékek a jövőben nem kapnak forgalmazási engedélyt.

Biztonság már a gyártási szakasztól kezdve

A jövőben termékeinket a „biztonságos tervezés” elve szerint fogjuk megtervezni – titkosított kommunikációval, minimalizált támadási felülettel és integrált sebezhetőségkezeléssel. A Mitsubishi Electric ezzel nem csak a jogi követelményeket teljesíti, hanem aktívan növeli a gyártási környezetek kiberbiztonságát is.

Biztonságos alapbeállítások

Elkötelezettek vagyunk a „biztonságos alapbeállítások” elve mellett, ami biztonságos gyári beállításokat, gyenge alapbeállítású jelszavak hiányát és frissítésre kész hardvert jelent. Ez biztosítja, hogy a termékek már az indítás pillanatától védettek legyenek.

Átláthatóság és ellenőrzés

A CRA-nak megfelelő termékek esetében egyértelmű és világos megerősítést adunk a megfelelőségről, beleértve a megfelelőségi nyilatkozatot és, ha szükséges, a tesztelési dokumentációt. Az üzemeltetők és az ellenőrök átlátható információkat kapnak a használt hardver- és szoftverkomponensekről, a frissítések szállításának módjáról és a bevezetett biztonsági mechanizmusokról. Az egységes szabványok az ellenőrzési folyamatokat is egyszerűbbé és kiszámíthatóbbá teszik.

Hatékony reagálás a biztonsági incidensekre

Az azonosított sebezhetőségeket az EU hivatalos platformján (EUVD)* jelentik, és a lehető leggyorsabban eltávolítják. Ez magasabb szintű biztonságot és rendszer megbízhatóságot biztosít.

Hosszú távú támogatás

Gondoskodunk arról, hogy a CRA-nak megfelelő termékek biztonsági frissítéseket és javításkezelési támogatást kapjanak a támogatási időszakuk alatt, amely általában legalább öt év. Ez kritikus fontosságú a kiberbiztonság szempontjából, mivel a sebezhetőség felfedezése és eltávolítása közötti idő döntő fontosságú a támadások elleni védelem szempontjából.

* Itt található az Európai Biztonsági Részrehajlások Adatbázisa (EUVD), ahol az Európai Unió biztonsági sebezhetőségeit központilag jelentik és dokumentálják.

CRA termékeinkben – átláthatóság és tervezési biztonság

Az EU kiberbiztonsági törvénye kötelező biztonsági szabványokat állapít meg az ipari termékek számára. A Mitsubishi Electric aktívan készül arra, hogy számos automatizálási terméke megfeleljen a CRA követelményeinek.

Termékportfóliónk a CRA kontextusában

Az EU kiberbiztonsági törvénye (CRA) kötelező biztonsági szabványokat állapít meg az ipari termékek számára. A Mitsubishi Electricnél aktívan készülünk arra, hogy termékportfóliónk jelentős részét az IEC 62443-4-2 szabványnak megfelelően tanúsítsuk.

Hamarosan részletes információkat közlünk arról, hogy mely termékek felelnek meg a szabvány követelményeinek, és melyek nem lesznek forgalmazhatók a jövőben az új kiberbiztonsági előírások miatt.

A Mitsubishi Electric termékei, amelyek nem felelnek meg a CRA követelményeinek

Nem minden meglévő termékcsalád tud majd teljes mértékben alkalmazkodni a CRA követelményeihez. Ez elsősorban technikai korlátok, különösen a régebbi generációs eszközök hardver- és tervezési korlátai miatt van, amelyekkel nem mindig megoldható, hogy alkalmazkodjanak az új biztonsági szabványokhoz. Ezekhez a sorozatokhoz egyértelműen meghatározott migrációs útvonalakat és hosszú távú támogatást kínálunk, hogy időben és előre látható módon lehessen frissíteni a rendszereket.

Nincs negatív következmény a felhasználók számára
Ez nem jelent semmilyen kellemetlenséget a felhasználók számára. A pótalkatrészek továbbra is rendelkezésre állnak, és a szervizelési folyamatok is folytatódnak. Ezenkívül megoldásokat kínálunk a fokozatos rendszerfrissítésekhez és a telepítés megfelelő biztonsági szintjének fenntartásához.

A kiberbiztonsági törvény nem kényszeríti a berendezések hirtelen cseréjét, hanem hosszú távú, előre jelezhető piaci átalakulási folyamatot vezet be.

Miért fontos a CRA a gyártók és a beszállítók számára?

Kiber támadások ipari vállalatok ellen
Az elmúlt években jelentősen megnőtt az ipari vállalatok ellen indított kibertámadások száma. Sok közülük nem közvetlenül az informatikai hálózatokat célozza meg, hanem a szoftvereket, a firmware-eket vagy az ellátási lánc egyéb elemeit.

Ezért az EU kiberbiztonsági szabályozása egyértelmű iránymutatásokat vezet be, amelyeket mind a beszállítóknak, mind a gyártóknak be kell tartaniuk.
A kiberbiztonsági törvény nemcsak a termékek műszaki tervezését érinti, hanem a vállalatok piaci helyzetét, a felelősségi kockázatokat és az ellátási láncon belüli együttműködést is.

Azok a vállalatok, amelyek korai szakaszban intézkednek, versenyelőnyt szereznek és csökkentik a jövőbeli költségeket.

Hatása a piacra és a versenyképességre

A kiberbiztonsági törvény hatálybalépésével a kiberbiztonság kötelező minőségi kritériummá válik a digitális alkatrészekkel rendelkező termékek esetében.

A kötelező biztonsági szabványok növelik a piac átláthatóságát. Azok a vállalatok, amelyek korai szakaszban fektetnek be a biztonságba, bizalmat építenek és erősítik versenyképes pozíciójukat. Az üzemeltetők egyre inkább olyan termékeket választanak, amelyek biztonságát ellenőrizték és amelyek aktív kiberbiztonsági mechanizmusokkal rendelkeznek.

A gyártók és beszállítók számára ez azt jelenti, hogy:
  • a CRA-nak nem megfelelő termékek elveszíthetik piaci hozzáférésüket, vagy késedelmet szenvedhetnek a piacra jutásukban,
  • az ügyfelek a bizonyított biztonsági szinttel és átlátható dokumentációval rendelkező megoldásokat részesítik előnyben,
  • a biztonságos fejlesztési és frissítési folyamatokba korán befektető vállalatok növelik versenyképességüket és csökkentik a termékek piacra kerülésének késedelmét.

Kockázat, felelősség és az ellátási lánc

Az ellátási lánc a modern gyártás kulcsfontosságú eleme. A szoftverkönyvtárak, a nyílt forráskódú csomagok és a külső modulok biztonsági réseket tartalmazhatnak. A kiberbiztonsági törvény előírja a gyártóknak, hogy dokumentálják, mely alkatrészeket használnak és hogyan biztosítják azok biztonságát. Ezek a követelmények növelik az egész ipari értéklánc kiberbiztonságát.

A CRA különösen a következőket írja elő:

  • egyértelműen meghatározott felelősségek és sebezhetőségi jelentési csatornák,
  • biztonságos frissítési mechanizmusok,
  • teljes technikai dokumentáció,
  • átláthatóság a használt alkatrészek tekintetében.

Azok a gyártók és beszállítók, akik nem felelnek meg ezeknek a követelményeknek, kiteszik magukat a következő kockázatoknak:

  • biztonsági incidensek,
  • javítási és szervizelési költségek,
  • hírnévvesztés,
  • jogi következmények és polgári jogi felelősség.

A CRA irányelvek proaktív végrehajtásának előnyei

A CRA követelményekre való korai felkészülés csökkenti a munkaerőt és a költségeket a termék életciklusa során. Ez magasabb termékminőséget, nagyobb telepítési biztonságot és jobb működési kiszámíthatóságot jelent. Azok a vállalatok, amelyek 2027 előtt CRA-kompatibilis megoldásokat vezetnek be, hosszú távú stabilitást, nagyobb biztonságot és alacsonyabb kockázatot élveznek.

A vállalkozások az alábbi előnyöket élvezhetik:

  • automatizált SBOM karbantartási folyamatok,
  • egyértelműen meghatározott követelmények a beszállítók és a külső fejlesztők számára,
  • gyorsabb tanúsítási folyamatok,
  • jobb ellenőrizhetőség az ügyfelek igényeinek tekintetében.

Ezenkívül a robusztus biztonsági architektúra erősíti az üzleti partnerek bizalmát és megkönnyíti a pályázatokhoz és a szabályozott piacokhoz való hozzáférést.

GYIK

Mi az a kiberbiztonsági törvény?

A kiberbiztonsági törvény (CRA) egy uniós rendelet, amely kötelező kiberbiztonsági követelményeket vezet be a digitális alkatrészekkel rendelkező termékek számára.

A gyártóknak a tervezési szakaszban figyelembe kell venniük a biztonságot („biztonság a tervezés során”), biztonságos frissítéseket kell biztosítaniuk, felelősségteljesen kell kezelniük a sebezhetőségeket, szoftveralkatrész-nyilvántartást (SBOM) kell vezetniük és teljes műszaki dokumentációt kell megőrizniük. A rendelet célja az EU-ban forgalmazott termékek hosszú távú biztonságának növelése és a felhasználók jobb védelme a kiberfenyegetésekkel szemben.

Elfogadták már a kiberbiztonsági törvényt?

Igen.

A kiberbiztonsági törvényt hivatalosan elfogadták, és 2024. december 11-től hatályba lépett. Ez az Európai Unió jogában kötelező erejű.

Mi a különbség az NIS2 és a kiberbiztonsági törvény között?

NIS2:

  • az energia-, egészségügyi, közlekedési és közigazgatási ágazatban működő kulcsfontosságú és fontos szolgáltatások üzemeltetőire irányuló irányelv
  • a szervezeti IT-biztonságra, a kockázatkezelésre, az incidensek jelentésére és az ellátási lánc biztonságára összpontosít
  • a kritikus vagy fontos szolgáltatásokat nyújtó vállalatokra vonatkozik.

Kiberbiztonsági törvény

  • a digitális elemeket tartalmazó termékek, beleértve a szoftvereket, az IoT-eszközöket és a beágyazott rendszereket, gyártóira, importőreire és forgalmazóira vonatkozó rendelet,
  • amely a biztonságos terméktervezésre, az SBOM-ra, a sebezhetőségkezelésre, a biztonságos frissítésekre és a műszaki dokumentációra összpontosít,
  • és az Európai Unió piacára kerülő termékekre vonatkozik.

Röviden:

  • Az NIS2 a szervezeteket szabályozza,
  • a CRA pedig az ezek által használt, gyártott vagy forgalmazott termékeket.
Mikor lép hatályba a kiberbiztonsági törvény?

A rendelet 2024. december 11-től alkalmazandó.

Az alkalmazási kötelezettség egy átmeneti időszak után kezdődik, amely lehetővé teszi a gyártók számára, hogy termékeiket, fejlesztési folyamataikat és dokumentációjukat az új követelményekhez igazítsák.

2026. szeptember 11-től kötelező a sebezhetőségek és a biztonsági incidensek bejelentése.
2027. december 11-től az EU piacára kerülő összes terméknek meg kell felelnie a kiberbiztonsági törvény követelményeinek.

Örömmel adunk személyesen tanácsot!

A kiberbiztonsági törvény mérföldkő az európai ipar számára. Egyértelmű kiberbiztonsági szabványokat vezet be, biztosítja az ellátási láncok átláthatóságát, védi az üzemeltetőket és erősíti a hálózatba kapcsolt gyártási rendszerek biztonságát. A biztonságos fejlesztési folyamatok, a modern termékarchitektúra és a szoftverminőségre való erős összpontosítás révén a Mitsubishi Electric következetesen felkészíti megoldásait a CRA-nak való megfelelésre.

A kibertámadások továbbra is valós fenyegetést jelentenek. A modern biztonsági mechanizmusoknak, a biztonságos szoftvereknek és a kiberbiztonsági törvény következetes végrehajtásának köszönhetően azonban az ipari létesítmények stabilan, megbízhatóan és fenyegetésekkel szemben ellenálló módon üzemeltethetők.

A * -gal jelölt mezők kitöltése kötelező.
Kövessen minket
tm
© Mitsubishi Electric Europe B.V.