Asmeninis archyvasPastaraisiais metais Europos Sąjungoje vis daugiau dėmesio skiriama kibernetinio saugumo reguliavimui. Nuo 2026 m. rugsėjo 11 d. pradės galioti dalis Kibernetinio atsparumo akto (angl. Cyber Resilience Act, CRA) nuostatų, kurios iš esmės išplečia skaitmeninių produktų gamintojų atsakomybę. Šie pokyčiai neišvengiamai paveiks ne tik pačius gamintojus, bet ir produktų naudotojus. Tai ypač aktualu gamybos įmonėms, kurių veikloje šiandien naudojama daugybė skaitmenizuotų ir automatizuotų sprendimų. Tam, kad gamybos procesai ir ateityje vyktų sklandžiai, reguliavimo pokyčiams būtina ruoštis iš anksto.
Produkto saugumas – privaloma jo savybė
Kibernetinio atsparumo aktu siekiama užtikrinti, kad produktai su skaitmeniniais elementais – nuo techninės įrangos ir tinklo komponentų iki programinės įrangos – būtų saugūs ne tik jų patekimo į rinką momentu, bet per visą naudojimo laikotarpį. Tai reiškia, kad saugumas tampa ne papildoma funkcija, o privaloma produkto savybe, numatyta projektavimo ir gamybos etape.
Vienas iš esminių pokyčių – pažeidžiamumų valdymas. Skaitmeninių produktų gamintojams atsiranda pareiga identifikuoti ir vertinti produktų saugumo trūkumus bei užtikrinti, kad naudotojai turėtų galimybę laiku atlikti reikiamus atnaujinimus ar kitus veiksmus rizikai sumažinti.
Įrankiai gali nebeveikti
Nors Kibernetinio atsparumo akto nuostatos pirmiausia nukreiptos į gamintojus, tačiau šie pokyčiai neišvengiamai pasieks ir produktų naudotojus, ypač – gamybos įmones, kurios savo veikloje remiasi ilgą laiką eksploatuojama įranga ir sudėtingais gamybiniais tinklais.
Dėl minėtų teisės aktų pokyčių dalis šiandien veikiančios įrangos ateityje gali tapti nebepalaikoma, nes jos architektūra nebeleis užtikrinti reikalaujamo saugumo lygio ar valdyti pažeidžiamumų. Kai kuriais atvejais tai reikš, kad nebus galima įsigyti net atsarginių dalių ar identiškų pakeitimų, prie kurių gamybos įmonės yra įpratusios. Todėl gamybos įmonėms svarbu jau dabar domėtis, kokia jų naudojamų įrankių ateitis: ar jie bus palaikomi, atnaujinami ir atitiks naujus reikalavimus.
Būtini namų darbai
Gamybos įmonėms turbūt nieko nėra baisiau už sustojusią liniją. Tad ką daryti, kad nauji reikalavimai nesukeltų tokio nuostolingo atoveiksmio?
Gamybos įmonėms svarbu ne tik žinoti, kokią įrangą jos naudoja šiandien, bet ir suprasti jos saugumo bei palaikymo perspektyvą. Vertėtų peržiūrėti, kokių gamintojų ekosistemomis remiasi gamybiniai tinklai, kokie yra jų planai dėl palaikymo, atnaujinimų ir pažeidžiamumų valdymo. Taip pat svarbu įsivertinti, ar organizacija turi pakankamai informacijos apie savo OT (angl. Operational Technology) aplinką: kokie įrenginiai joje veikia, kaip jie tarpusavyje komunikuoja ir ar egzistuoja aiškūs procesai, leidžiantys laiku reaguoti į saugumo rizikas.
Šie klausimai glaudžiai susiję ir su Tinklų ir informacinių sistemų direktyvos TIS2 (angl. NIS2) reikalavimais, kurie Lietuvoje perkelti į Kibernetinio saugumo įstatymą. Nors Kibernetinio atsparumo aktas labiau siejasi su produktų saugumu per visą jų gyvavimo ciklą, o TIS2 – su organizacijų atsakomybe ir pasirengimu, abiem atvejais organizacijos privalo gerai pažinti savo sistemas, valdyti rizikas ir užtikrinti veiklos tęstinumą. Būtent todėl šie reikalavimai neturėtų būti vertinami kaip formalus atitikties klausimas ar tolima ateities problema.
Todėl svarbiausia žinutė gamybos įmonėms – neatidėliokite pasirengimo Kibernetinio atsparumo akto reikalavimams. Ruoštis pradėkite jau dabar: vertinkite savo naudojamos įrangos būklę, kalbėkitės su tiekėjais ir planuokite pokyčius. Taip sklandžiai užsitikrinsite tiek atitiktį naujiems reikalavimams, tiek ir stabilų, nenutrūkstamą gamybos procesą ateityje.
Evaldas Valūnas yra „Atea“ saugumo kompetencijų centro grupės vadovas
