Datele și Cyber Resilience Act

Atenuați riscurile asociate cu Cyber Resilience Act printr-o abordare bazată pe platformă pentru gestionarea software-ului, hardware-ului și vulnerabilităților.

Cyber Resilience Act

Actul privind reziliența cibernetică (Cyber Resilience Act) transformă securitatea cibernetică.

Dintr-o preocupare exclusivă a departamentului IT, aceasta devine o problemă de:

  • conformitate a produselor,
  • acces pe piață,
  • continuitate a afacerii.

La cele enumerate se adaugă și potențialele amenzi, capabile să amplifice costul inacțiunii.

Producătorii de echipamente originale (OEM)

Pentru producătorii OEM de echipamente și electronice de consum, aspectul e important.

Produsele conectate nu mai sunt definite doar de componenta hardware.

Ele combină:

  • sisteme mecanice,
  • componente electronice,
  • software integrat,
  • conectivitate,
  • servicii cloud,
  • componente furnizate de terți.

Vulnerabilitatea într-o singură dependență software poate afecta un senzor, un controler, un robot, un dispozitiv, o mașină sau un produs deja instalat și aflat în exploatare pe teren.

Reguli noi, urgențe noi

Urgența începe înainte ca cerințele complete de certificare a produselor conform CRA să devină aplicabile.

Începând din septembrie 2026, obligațiile de raportare se aplică nu doar produselor lansate în viitor, ci și produselor cu elemente digitale care intră în domeniul de aplicare al regulamentului și care au fost deja puse la dispoziție pe piața UE.

Odată identificată o vulnerabilitate sau un incident de securitate sever, producătorii trebuie să știe exact ce produse, versiuni și configurații sunt afectate.

Ulterior, trebuie să răspundă în termene impuse de lege:

  • în termen de 24 de ore pentru o avertizare preliminară;
  • în termen de 72 de ore pentru o notificare detaliată;
  • iar un raport final trebuie transmis în cel mult 14 zile (după ce este disponibilă o măsură corectivă).

Posibilele amenzi sporesc și mai mult costul întârzierilor.

Totuși, detectarea reprezintă doar punctul de plecare.

Provocarea operațională constă în transformarea unui semnal de securitate într-o evaluare fiabilă a impactului asupra produsului:

  • unde este utilizată componenta afectată,
  • ce produse și configurații sunt expuse,
  • ce acțiuni sunt necesare,
  • cine trebuie să le întreprindă.
Provocările producătorilor de echipamente originale

Mulți producători OEM nu pot realiza procesul suficient de rapid. Motivul? Datele relevante sunt dispersate în sisteme și domenii neconectate între ele.

Instrumentele de securitate cibernetică identifică software-ul vulnerabil.

Sistemele de inginerie definesc produsul.

Echipele de conformitate gestionează dovezile și documentația.

Echipele de service știu ce a fost livrat către clienți.

Dacă perspectivele respective nu sunt conectate, organizațiile vor întâmpina dificultăți în a răspunde eficient, atunci când obligațiile impuse de CRA vor intra în vigoare.

Pregătirea pentru conformitatea cu CRA

Pregătirea pentru conformitatea cu CRA depinde de existența unei inteligențe integrate asupra produselor (connected product intelligence).

Altfel spus, ține de capacitatea de a conecta și corela informațiile despre:

  • produse,
  • componente,
  • software,
  • vulnerabilități,
  • conformitate,
  • utilizarea în teren.

Astfel, companiile pot înțelege rapid impactul problemelor de securitate.

De ce procesele neconectate creează riscuri

Mulți producători utilizează deja depozite de cod software, sisteme de urmărire a problemelor (issue trackers), scanere de vulnerabilități, baze de date de inginerie, documente PDF și foi de calcul.

Fiecare dintre aceste sisteme poate servi ehipei de utilizatori.

Totuși, capacitatea de a răspunde cerințelor impuse de CRA depinde de posibilitatea de a conecta informațiile între domeniile enumerate.

Atunci când este identificată o vulnerabilitate, echipele trebuie să răspundă la întrebări operaționale precise:

  • Care este componenta software afectată?
  • Ce versiuni de produs o includ?
  • Ce produse fizice sau configurații ale clienților sunt expuse?
  • Ce cerințe și teste sunt asociate cu problema dată?
  • Ce măsuri corective sunt deja planificate sau implementate?
  • Ce dovezi și documentație sunt necesare pentru raportare și conformitate?

Încercarea de a răspunde manual la întrebările de mai sus poate consuma extrem de mult timp.

 Un document static sau un Software Bill of Materials izolat nu este suficient.

Producătorii au nevoie de un context al produsului care să fie:

  • guvernat (gestionat prin procese și reguli clare),
  • trasabil (să permită urmărirea relațiilor dintre componente, cerințe, teste și produse),
  • și actualizat continuu.

Doar astfel pot identifica rapid impactul unei vulnerabilități și pot demonstra conformitatea cu cerințele CRA în termene legale.

De la software BOM la reziliența la nivel de produs

Un software BOM reprezintă o bază esențială.

El oferă o imagine structurată asupra componentelor software și a dependențelor dintre ele, ajutând echipele să înțeleagă ce conține un produs.

Pentru un producător OEM, software-ul BOM devine cu adevărat valoros atunci când este conectat la definiția completă a produsului.

O componentă vulnerabilă trebuie să poată fi urmărită și corelată cu:

  • arhitectura software;
  • cerințele produsului;
  • testele asociate;
  • versiunile lansate;
  • configurațiile hardware;
  • și variantele de produs afectate.

Doar astfel se poate determina rapid impactul real al unei vulnerabilități:

  • ce produse sunt afectate,
  • ce clienți pot fi expuși,
  • ce măsuri corective sunt necesare,
  • ce dovezi trebuie furnizate pentru conformitatea cu cerințele CRA.

Platforma 3DEXPERIENCE

Cu ajutorul platformei 3DEXPERIENCE, producătorii pot conecta într-un mediu comun informațiile privind: software-ul, hardware-ul, ingineria sistemelor, conformitatea și managementul vulnerabilităților.

Scopul nu este înlocuirea tuturor instrumentelor utilizate pentru dezvoltarea software.

Obiectivul vizează conectarea datelor despre software cu datele despre produs. Astfel, vulnerabilitățile pot fi evaluate în contextul produsului real.

Abordarea permite echipelor să coreleze software-urile BOM logice și fizice cu:

  • structurile produsului,
  • cerințele de dezvoltare,
  • dovezile și rezultatele verificărilor,
  • procesele de modificare și gestionare a schimbărilor.

De asemenea, platforma sprijină colaborarea dintre echipele de:

  • cercetare și dezvoltare (R&D);
  • securitate cibernetică;
  • IT;
  • calitate;
  • conformitate;
  • management de produs.

În loc să obțină răspunsuri fragmentate din sisteme separate, echipele beneficiază de o sursă unică de adevăr pentru toate deciziile legate de securitatea cibernetică a produselor.

Sigur prin proiectare, conform la livrare, rezilient în exploatare

O abordare bazată pe platformă sprijină pregătirea pentru conformitatea cu CRA pe întregul ciclu de viață al produsului.

În etapa de proiectare

Echipele pot identifica și defini din timp riscurile și cerințele de securitate cibernetică.

După, le pot conecta la arhitectura produsului, modulele software, dependențele și cazurile de testare.

Implicit, securitatea devine o parte integrantă a procesului de inginerie încă de la început, nu doar un exercițiu de documentare realizat în ultimele etape ale dezvoltării.

În etapa de verificare și validare

Echipele pot testa și valida cerințele de securitate cibernetică.

De asemenea, pot gestiona evaluările vulnerabilităților și pot construi setul de dovezi necesar pentru demonstrarea conformității cu marcajul CE.

Prin urmare, conformitatea este integrată în procesul de dezvoltare a produsului, în loc să fie tratată separat la finalul proiectului.

În etapa de exploatare și operare

Echipele pot monitoriza vulnerabilitățile, analiza impactul acestora, identifica produsele afectate și gestiona măsurile corective.

Atunci când apare o vulnerabilitate, datele conectate despre produs permit echipelor să treacă mult mai rapid de la identificarea problemei la:

  • evaluarea impactului,
  • remedierea situației,
  • raportarea către autorități și părțile interesate.

Orientare către produs și independență de depozitul de cod (repository-agnostic)

O strategie practică pentru conformitatea cu CRA nu ar trebui să oblige echipele software să renunțe la instrumentele pe care le folosesc deja.

Platforma 3DEXPERIENCE se poate integra cu depozitele de cod și mediile de dezvoltare software existente, permițând echipelor să își păstreze fluxurile de lucru familiare.

În paralel, informațiile software relevante pentru produs devin parte a unui registru de produs gestionat și controlat în mod centralizat.

Diferența e importantă.

Instrumentele de securitate software pot identifica codul vulnerabil. În schimb, o platformă de inovare și management al produsului ajută la determinarea:

  • produselor afectate,
  • configurațiilor expuse,
  • clienților care pot fi afectați.

Pentru producătorii OEM, contextul la nivel de produs e esențial.

Transformarea presiunii CRA într-un avantaj competitiv al platformei

Cyber Resilience Act ridică standardele pe care trebuie să le respecte producătorii care comercializează produse în Europa.

Totodată, creează o oportunitate de a îmbunătăți modul în care sunt gestionate împreună software-ul, hardware-ul și conformitatea.

Producătorii OEM pot reduce dificultățile operaționale prin conectarea în cadrul platformei 3DEXPERIENCE a următoarelor elemente:

  • Software-ul BOM,
  • structurile de produs;
  • cerințe;
  • teste;
  • vulnerabilități;
  • fluxuri de remediere și corectare.

Astfel, ei pot:

  • îmbunătăți colaborarea dintre echipe,
  • consolida trasabilitatea informațiilor,
  • facilita pregătirea pentru obținerea și menținerea marcajului CE;
  • răspunde mai rapid atunci când apar vulnerabilități.

Concluzii

Conformitatea cu CRA nu este un proiect care se realizează o singură dată. Este o disciplină permanentă.

Prin adoptarea unei abordări bazate pe platformă, producătorii pot depăși modelul de conformitate reactivă.

În plus, pot integra reziliența cibernetică în modul în care produsele sunt proiectate, livrate și întreținute.

Dacă vă sunt utile articolele noastre, nu ezitați să vă abonați la newsletter.

    Sunt de acord să primesc ultimele noutăți în domeniul

    3D CAD/CAM3D Print3D ScanHardwarePromoții, Webinarii ,Evenimente, Cursuri


    Politica de prelucrare a datelor caracter personal
    Am citit Politica prelucrare date cu caracter personal CADWORKS și sunt de acord cu prelucrarea acestora.