Če bi sodili po aktualnih razpravah na ravni EU, kot jih je nedavno na Cipru soustvarjal tudi URSIV, se ena stvar jasno kaže: kibernetska varnost ni več “IT tema”. Postaja poslovna odgovornost.
In tukaj v igro vstopa Cyber Resilience Act (CRA).
Od regulative do realnosti: premik, ki se že dogaja
Dolgo časa so bile evropske direktive nekaj, kar “prihaja”. Danes govorimo o tem, kako jih izvajati – operativno, v vsakodnevnih procesih podjetij.
Na eni strani imamo NIS2 Direktivo, ki podjetjem nalaga odgovornosti glede upravljanja tveganj, incidentov in odgovornosti vodstva.
Na drugi strani prihaja CRA, ki to logiko razširi – neposredno na produkte in storitve.
Poenostavljeno:
- NIS2 = kako upravljaš varnost kot organizacija
- CRA = kako varni so tvoji produkti, še preden pridejo na trg
In potem je tukaj še slovenski okvir: ZInfV-1, ki to evropsko zgodbo prevaja v lokalno prakso in določa konkretne pristojnosti, nadzor ter izvajanje.
Skupaj tvorijo nekaj, čemur bi lahko rekli: nov operativni model kibernetske odgovornosti, kjer se varnost seli iz “podpore IT” v jedro poslovanja.
Kaj CRA pomeni v praksi (brez birokratskega jezika)
Če odstranimo regulatorni jezik, CRA podjetjem sporoča zelo konkretne stvari – predvsem to, da varnost postaja sestavni del produkta in njegovega življenjskega cikla.
1. Varnost postane del produkta
Ne gre več za dodatek ali certifikat na koncu razvoja.
Gre za to, da:
- je produkt varen že v fazi načrtovanja in razvoja (security by design),
- vsebuje mehanizme za varne posodobitve,
- omogoča obvladovanje ranljivosti skozi celoten življenjski cikel.
To pomeni tudi spremembo v razvojnih procesih (npr. vključevanje varnosti v razvojne cikle), ne le dodatnega “checklista” na koncu.
Če prodajaš digitalni produkt (ali karkoli, kar vsebuje programsko opremo), si zdaj tudi ponudnik varnosti.
2. Odgovornost se ne konča ob prodaji
CRA uvaja jasno logiko:
Če si dal produkt na trg, si zanj odgovoren tudi po tem.
To pomeni:
- stalno spremljanje ranljivosti (tudi preko zunanjih virov),
- pravočasno obveščanje uporabnikov in pristojnih organov,
- redno izdajanje varnostnih popravkov in posodobitev.
Za marsikatero podjetje to pomeni vzpostavitev novih procesov, vlog in odgovornosti – pogosto tudi po prodaji, kjer prej teh aktivnosti sploh ni bilo.
3. Dokumentacija postane strateško orodje
Ne gre več samo za “papirje za audit”.
Gre za:
- dokazovanje skladnosti,
- jasno definirane procese,
- sledljivost odločitev skozi razvoj in upravljanje produkta.
Dobra dokumentacija pomeni hitrejše certificiranje, manj tveganj in boljšo pripravljenost na nadzor.
Podjetja, ki imajo procese že danes strukturirane, bodo imela tukaj bistveno prednost – tako časovno kot stroškovno.
4. Certificiranje ni več opcija (za nekatere)
Za določene kategorije produktov CRA uvaja obvezno vključevanje tretjih strani (t. i. CAB – organi za ugotavljanje skladnosti).
To pomeni:
- formalne postopke preverjanja,
- večjo vlogo neodvisnih institucij,
- jasnejšo razmejitev med samostojno oceno in zunanjo validacijo.
Hkrati pa to prinaša tudi večjo kredibilnost na trgu – certificiran produkt postane konkurenčna prednost, ne samo regulatorna obveznost.
Kateri sektorji so najbolj na udaru?
CRA ne cilja vseh podjetij enako. Stopnja zahtevnosti je odvisna od vrste produkta in njegovega vpliva na okolje.
Najbolj izpostavljeni bodo:
Proizvajalci digitalnih produktov
- IoT naprave
- industrijski sistemi
- programska oprema
IT in SaaS podjetja
- platforme
- cloud rešitve
- poslovne aplikacije
Industrija in energetika
- sistemi z dolgo življenjsko dobo
- kompleksne dobavne verige
- odvisnost od stabilnega delovanja
Zdravstvo in kritična infrastruktura
- okolja, kjer ima varnost neposreden vpliv na ljudi in družbo
Skupni imenovalec je jasen: če tvoj produkt lahko vpliva na varnost, delovanje ali zanesljivost drugih sistemov, si del te zgodbe.
Kako se to povezuje z NIS2 in ZInfV-1?
Prava teža CRA se pokaže šele, ko ga pogledamo v kontekstu drugih regulativ.
NIS2 pritiska na organizacijo
- upravljanje tveganj
- odziv na incidente
- odgovornost vodstva
- nadzor dobavne verige
CRA pritiska na produkt
- varnost v fazi razvoja
- upravljanje skozi življenjski cikel
- skladnost pred vstopom na trg
ZInfV-1 povezuje lokalno realnost
- določa nadzorne organe v Sloveniji
- opredeljuje izvajanje in nadzor
- prenaša evropske zahteve v konkretne obveznosti podjetij
Skupaj ustvarjajo pritisk iz dveh smeri:
- od zgoraj (regulativa in nadzor),
- od trga (partnerji, kupci, zahteve v dobavnih verigah).
To pomeni, da skladnost ni več le pravna zahteva, ampak pogoj za sodelovanje na trgu.
Kaj podjetja pogosto spregledajo?
Največja napaka je, da CRA vidijo kot “še eno regulativo”, ki jo je treba odkljukati.
V resnici gre za spremembo načina, kako podjetje:
- razvija produkte,
- upravlja tveganja,
- gradi zaupanje pri kupcih.
Če poenostavimo:
- prej: naredimo produkt, prodamo, gremo naprej
- zdaj: naredimo produkt, ga varno vzdržujemo, odgovarjamo zanj
Ta premik vpliva na razvoj, podporo, prodajo in celo marketing.
Kje začeti (brez panike)?
Namesto da začnete z regulativo, začnite z realnimi vprašanji:
- Kateri naši produkti spadajo pod CRA?
- Kako danes obravnavamo ranljivosti?
- Imamo proces za varnostne posodobitve?
- Kdo je odgovoren za varnost produkta?
- Kako dokazujemo, da delamo stvari pravilno?
Če na ta vprašanja ni jasnih odgovorov, CRA ni problem prihodnosti, ampak sedanjosti.
Dodatno: smiselno je narediti osnovno “gap analizo” med trenutnim stanjem in zahtevami CRA ter NIS2 – to je običajno najhitrejši način, da podjetje dobi realno sliko.
Zaključek: CRA ni compliance projekt. Je poslovna odločitev.
Podjetja, ki bodo CRA razumela kot:
- birokratsko breme, bodo lovila rok,
- poslovno priložnost, bodo gradila zaupanje in konkurenčno prednost.
V svetu, kjer zaupanje postaja ena ključnih valut, to ni več tehnična tema – ampak strateška odločitev vodstva.