欧州委員会のサイバー レジリエンス法 (CRA) は、ネットワークに接続されたデバイスとシステムのデジタル パッチワークをなくすことを目的としています。 産業用ネットワークと重要なインフラストラクチャには、特別な保護が必要です。 サイバー レジリエンスに関する EU の規制は、製造業者、流通業者、輸入業者に何百万もの罰金を科す可能性があります。
欧州連合によると、現在、1 秒ごとにランサムウェア攻撃が発生しています。 過去数週間だけでも、離乳食の大手メーカーと、ドイツに本社を置くグローバル Tier2023 自動車サプライヤーを襲い、後者は大規模なランサムウェア攻撃の犠牲になりました。 このような攻撃は、XNUMX 年 XNUMX 月にメーカーの Prophete の倒産にさえつながりました。
意図的なセキュリティギャップは罰せられる
製造業者、流通業者、および輸入業者に責任を負わせるために、デバイスのセキュリティ ギャップが発見され、報告されず、正しく閉鎖されなかった場合、厳しい罰則が科せられる恐れがあります。 「製造業者、流通業者、輸入業者など、業界への圧力は非常に高まっています。 EU は、たとえば地元の州当局との間でいくつかの作業手順を完了する必要があるとしても、妥協することなくこの規制を実施します」と、サイバーセキュリティ会社 ONEKEY のマネージング ディレクターである Jan Wendenburg 氏は述べています。
罰金: 15 万ユーロまたは年間売上高の 2,5%
したがって、影響を受ける製造業者と流通業者に対する罰則は高く、最大 15 万ユーロまたは過去会計年度の世界年間売上高の 2,5% であり、大きい方がカウントされます。 「これは、仕様が実装されていない場合、メーカーが厳しい罰則に直面することを明確に示しています」とウェンデンバーグ氏は続けました。
製造業者、流通業者、および輸入業者は、自社製品の脆弱性が悪用された場合、24 時間以内に ENISA (欧州連合のサイバーセキュリティ機関) に通知する必要があります。 報告期限を超えると罰せられます。
製造業者は、サイバー レジリエンス法に対応する必要があります
欧州委員会の提案は、規制が発効してから 24 か月後に適用される新しい要件を規定しています。 セキュリティ インシデントを報告する義務などの個々の要素は、12 か月後に適用する必要があります。 「OEM メーカーからの IT 製品の注文は、今後 12 ~ 18 か月間で今年すでに行われていることを考えると、タイム ホライズンはタイトです。 したがって、欠陥が原因で製品を市場に投入できなかったり、市場投入が遅れたりする前に、タイミングの状況を今すぐ検討して解決する必要があります」と ONEKEY の Jan Wendenburg 氏は説明します。
同社は、掃除機ロボットから数百万ドル相当の産業用制御装置まで、スマート デバイスやネットワーク デバイスのセキュリティの脆弱性を見つけるためのファームウェア分析プラットフォームを運営しています。 Cyber Resilience Readiness Assessment により、ONEKEY は、製造業者、流通業者、および輸入業者が、サイバー レジリエンス法の必須要件について製品をチェックし、セキュリティ ギャップや SBOM (ソフトウェア部品表) を調べる可能性を提供します。コンテンツで満たすことができます。
詳細は ONEKEY.com をご覧ください
ワンキーについて ONEKEY (以前の IoT Inspector) は、業界 (IIoT)、生産 (OT)、およびモノのインターネット (IoT) におけるデバイスのセキュリティとコンプライアンスの自動分析のためのヨーロッパをリードするプラットフォームです。 ONEKEY は、自動的に作成されたデバイスの「デジタル ツイン」と「ソフトウェア部品表 (SBOM)」を使用して、ソース コード、デバイス、またはネットワーク アクセスなしで、重大なセキュリティ ギャップとコンプライアンス違反についてファームウェアを独自に分析します。