Atenuați riscurile asociate cu Cyber Resilience Act printr-o abordare bazată pe platformă pentru gestionarea software-ului, hardware-ului și vulnerabilităților.
Cyber Resilience Act
Actul privind reziliența cibernetică (Cyber Resilience Act) transformă securitatea cibernetică.
Dintr-o preocupare exclusivă a departamentului IT, aceasta devine o problemă de:
- conformitate a produselor,
- acces pe piață,
- continuitate a afacerii.
La cele enumerate se adaugă și potențialele amenzi, capabile să amplifice costul inacțiunii.
Producătorii de echipamente originale (OEM)
Pentru producătorii OEM de echipamente și electronice de consum, aspectul e important.
Produsele conectate nu mai sunt definite doar de componenta hardware.
Ele combină:
- sisteme mecanice,
- componente electronice,
- software integrat,
- conectivitate,
- servicii cloud,
- componente furnizate de terți.
Vulnerabilitatea într-o singură dependență software poate afecta un senzor, un controler, un robot, un dispozitiv, o mașină sau un produs deja instalat și aflat în exploatare pe teren.

De ce procesele neconectate creează riscuri
Mulți producători utilizează deja depozite de cod software, sisteme de urmărire a problemelor (issue trackers), scanere de vulnerabilități, baze de date de inginerie, documente PDF și foi de calcul.
Fiecare dintre aceste sisteme poate servi ehipei de utilizatori.
Totuși, capacitatea de a răspunde cerințelor impuse de CRA depinde de posibilitatea de a conecta informațiile între domeniile enumerate.
Atunci când este identificată o vulnerabilitate, echipele trebuie să răspundă la întrebări operaționale precise:
- Care este componenta software afectată?
- Ce versiuni de produs o includ?
- Ce produse fizice sau configurații ale clienților sunt expuse?
- Ce cerințe și teste sunt asociate cu problema dată?
- Ce măsuri corective sunt deja planificate sau implementate?
- Ce dovezi și documentație sunt necesare pentru raportare și conformitate?
Încercarea de a răspunde manual la întrebările de mai sus poate consuma extrem de mult timp.
Un document static sau un Software Bill of Materials izolat nu este suficient.
Producătorii au nevoie de un context al produsului care să fie:
- guvernat (gestionat prin procese și reguli clare),
- trasabil (să permită urmărirea relațiilor dintre componente, cerințe, teste și produse),
- și actualizat continuu.
Doar astfel pot identifica rapid impactul unei vulnerabilități și pot demonstra conformitatea cu cerințele CRA în termene legale.
De la software BOM la reziliența la nivel de produs
Un software BOM reprezintă o bază esențială.
El oferă o imagine structurată asupra componentelor software și a dependențelor dintre ele, ajutând echipele să înțeleagă ce conține un produs.
Pentru un producător OEM, software-ul BOM devine cu adevărat valoros atunci când este conectat la definiția completă a produsului.
O componentă vulnerabilă trebuie să poată fi urmărită și corelată cu:
- arhitectura software;
- cerințele produsului;
- testele asociate;
- versiunile lansate;
- configurațiile hardware;
- și variantele de produs afectate.
Doar astfel se poate determina rapid impactul real al unei vulnerabilități:
- ce produse sunt afectate,
- ce clienți pot fi expuși,
- ce măsuri corective sunt necesare,
- ce dovezi trebuie furnizate pentru conformitatea cu cerințele CRA.

Cu ajutorul platformei 3DEXPERIENCE, producătorii pot conecta într-un mediu comun informațiile privind: software-ul, hardware-ul, ingineria sistemelor, conformitatea și managementul vulnerabilităților.
Scopul nu este înlocuirea tuturor instrumentelor utilizate pentru dezvoltarea software.
Obiectivul vizează conectarea datelor despre software cu datele despre produs. Astfel, vulnerabilitățile pot fi evaluate în contextul produsului real.
Abordarea permite echipelor să coreleze software-urile BOM logice și fizice cu:
- structurile produsului,
- cerințele de dezvoltare,
- dovezile și rezultatele verificărilor,
- procesele de modificare și gestionare a schimbărilor.
De asemenea, platforma sprijină colaborarea dintre echipele de:
- cercetare și dezvoltare (R&D);
- securitate cibernetică;
- IT;
- calitate;
- conformitate;
- management de produs.
În loc să obțină răspunsuri fragmentate din sisteme separate, echipele beneficiază de o sursă unică de adevăr pentru toate deciziile legate de securitatea cibernetică a produselor.
Sigur prin proiectare, conform la livrare, rezilient în exploatare
O abordare bazată pe platformă sprijină pregătirea pentru conformitatea cu CRA pe întregul ciclu de viață al produsului.
În etapa de proiectare
Echipele pot identifica și defini din timp riscurile și cerințele de securitate cibernetică.
După, le pot conecta la arhitectura produsului, modulele software, dependențele și cazurile de testare.
Implicit, securitatea devine o parte integrantă a procesului de inginerie încă de la început, nu doar un exercițiu de documentare realizat în ultimele etape ale dezvoltării.
În etapa de verificare și validare
Echipele pot testa și valida cerințele de securitate cibernetică.
De asemenea, pot gestiona evaluările vulnerabilităților și pot construi setul de dovezi necesar pentru demonstrarea conformității cu marcajul CE.
Prin urmare, conformitatea este integrată în procesul de dezvoltare a produsului, în loc să fie tratată separat la finalul proiectului.
În etapa de exploatare și operare
Echipele pot monitoriza vulnerabilitățile, analiza impactul acestora, identifica produsele afectate și gestiona măsurile corective.
Atunci când apare o vulnerabilitate, datele conectate despre produs permit echipelor să treacă mult mai rapid de la identificarea problemei la:
- evaluarea impactului,
- remedierea situației,
- raportarea către autorități și părțile interesate.
Orientare către produs și independență de depozitul de cod (repository-agnostic)
O strategie practică pentru conformitatea cu CRA nu ar trebui să oblige echipele software să renunțe la instrumentele pe care le folosesc deja.
Platforma 3DEXPERIENCE se poate integra cu depozitele de cod și mediile de dezvoltare software existente, permițând echipelor să își păstreze fluxurile de lucru familiare.
În paralel, informațiile software relevante pentru produs devin parte a unui registru de produs gestionat și controlat în mod centralizat.
Diferența e importantă.
Instrumentele de securitate software pot identifica codul vulnerabil. În schimb, o platformă de inovare și management al produsului ajută la determinarea:
- produselor afectate,
- configurațiilor expuse,
- clienților care pot fi afectați.
Pentru producătorii OEM, contextul la nivel de produs e esențial.
Transformarea presiunii CRA într-un avantaj competitiv al platformei
Cyber Resilience Act ridică standardele pe care trebuie să le respecte producătorii care comercializează produse în Europa.
Totodată, creează o oportunitate de a îmbunătăți modul în care sunt gestionate împreună software-ul, hardware-ul și conformitatea.
Producătorii OEM pot reduce dificultățile operaționale prin conectarea în cadrul platformei 3DEXPERIENCE a următoarelor elemente:
- Software-ul BOM,
- structurile de produs;
- cerințe;
- teste;
- vulnerabilități;
- fluxuri de remediere și corectare.
Astfel, ei pot:
- îmbunătăți colaborarea dintre echipe,
- consolida trasabilitatea informațiilor,
- facilita pregătirea pentru obținerea și menținerea marcajului CE;
- răspunde mai rapid atunci când apar vulnerabilități.

Concluzii
Conformitatea cu CRA nu este un proiect care se realizează o singură dată. Este o disciplină permanentă.
Prin adoptarea unei abordări bazate pe platformă, producătorii pot depăși modelul de conformitate reactivă.
În plus, pot integra reziliența cibernetică în modul în care produsele sunt proiectate, livrate și întreținute.
Dacă vă sunt utile articolele noastre, nu ezitați să vă abonați la newsletter.

