Европейский союз всерьёз взялся за кибербезопасность подключённых устройств. Cyber Resilience Act ЕС (CRA, закон ЕС о киберустойчивости) – это самый всеобъемлющий закон, когда-либо принятый для безопасности устройств IoT, то есть подключённых к сети повседневных устройств. И он напрямую касается того, чем многие из нас пользуются ежедневно: охранных сигнализаций, камер видеонаблюдения, умных дверных замков и систем умного дома. „Ваша охранная сигнализация защищает Вас от взломщиков – но кто защищает Вашу охранную сигнализацию от хакеров?“
Что такое Cyber Resilience Act ЕС?
Cyber Resilience Act – это регламент ЕС, устанавливающий обязательные требования кибербезопасности ко всем продуктам с цифровыми элементами – то есть к любому устройству с сетевым подключением. Закон был принят в октябре 2024 года и вступает в силу поэтапно.
Ключевые требования CRA:
- Security by Design: кибербезопасность должна быть заложена в разработку продукта с самого начала, а не добавляться постфактум.
- Обязательные обновления безопасности: производители обязаны предоставлять обновления безопасности в течение всего ожидаемого срока службы продукта.
- Обязанность уведомления об уязвимостях: об активно эксплуатируемых брешах необходимо сообщать в ENISA (Агентство ЕС по кибербезопасности) в течение 24 часов.
- Никаких стандартных паролей: устройства не могут поставляться со стандартными паролями вроде „admin/admin“.
- Прозрачность: производители обязаны вести ведомость программных компонентов (SBOM) и публиковать информацию о безопасности.
График: когда что вступает в силу?
С 11 сентября 2026 года все производители обязаны выполнять требование об уведомлении об уязвимостях. С 11 декабря 2027 года все продукты, продаваемые в ЕС, должны полностью соответствовать требованиям CRA – включая Security by Design, обязанность по обновлениям и документацию.
Какие устройства затронуты?
CRA распространяется практически на все подключённые устройства. Для сферы техники безопасности особенно актуальны:
- Камеры видеонаблюдения (IP-камеры, видеозвонки, системы NVR)
- Охранные сигнализации с сетевым подключением (Wi-Fi, GSM, LAN)
- Умные дверные замки и электронные системы контроля доступа
- Датчики движения и сенсоры с радиосвязью
- Центры управления умным домом и шлюзы
- Дымовые извещатели и датчики воды с сетевыми функциями
CRA различает „обычные“ и „критические“ продукты. Охранные сигнализации и системы контроля доступа относятся к более высокой категории и подлежат более строгим требованиям проверки – включая внешние аудиты.
Что это значит для охранных сигнализаций и камер
Для потребителей CRA – хорошая новость: Вы сможете доверять тому, что подключённые устройства безопасности действительно защищены с точки зрения кибербезопасности. Конкретно меняется следующее:
Конец „Plug and Pray“
До сих пор производители могли продавать дешёвые IP-камеры со стандартными паролями и без шифрования. Такие устройства – открытая дверь для хакеров: в худшем случае посторонние могут использовать Вашу собственную камеру против Вас. CRA кладёт этому конец: каждое устройство должно быть безопасно настроено с завода.
Обязательные обновления безопасности
Знакомо: камера, установленная три года назад, уже два года не получала обновлений? В будущем это не будет законным. Производители обязаны поставлять обновления на протяжении всего жизненного цикла. Кто не может или не хочет – не сможет продавать в ЕС. Насколько важны регулярные обновления для защиты данных, мы уже освещали.
Прозрачность состояния безопасности
Производители в будущем обязаны раскрывать, какие программные компоненты присутствуют в их устройствах. Это позволит специалистам по безопасности и потребителям реально оценивать состояние безопасности.
Дешёвые камеры против профессиональных систем – разрыв растёт
CRA изменит рынок. Дешёвые безымянные камеры и сигнализации с Дальнего Востока, которые до сих пор продавались через онлайн-площадки, будут чувствовать себя значительно хуже. Ведь требования CRA влекут расходы – на разработку, тестирование, аудиты и долгосрочную поставку обновлений. „Дёшево – не выгодно, и уж точно не безопасно.“
Вывод для потребителей: тому, кто инвестирует в охранную сигнализацию или систему камер, следует выбирать производителей, доказуемо соответствующих требованиям CRA. Protexium работает исключительно с европейскими сертифицированными производителями, которые уже сегодня соответствуют будущим стандартам или превосходят их.
CRA распространяется на новые продукты, поступающие в обращение с декабря 2027 года. Уже установленные устройства не затронуты – но могут перестать получать обновления, если производитель покинет рынок. Если Вашей системе больше 5 лет, стоит провести проверку безопасности.
Как Protexium уже соответствует CRA
Для клиентов Protexium из-за CRA мало что меняется – потому что большинство требований мы уже выполняем сегодня:
- Сертифицированные системы: все системы Protexium сертифицированы по EN 50131 и соответствуют высшим европейским стандартам безопасности.
- Зашифрованная связь: наши беспроводные системы используют шифрованные радиопротоколы – никакого открытого Wi-Fi, никакого небезопасного Bluetooth.
- Регулярные обновления: обновления прошивки централизованно устанавливаются через пульт мониторинга – Вам не нужно ни о чём заботиться.
- Никаких стандартных паролей: каждая система индивидуально настраивается при установке – с собственными учётными данными и двухфакторной аутентификацией.
- Европейские производители: мы работаем исключительно с производителями, которые производят в ЕС и проактивно внедряют CRA.
„Кибербезопасность – не функция, а базовое требование. В Protexium так было всегда.“
Чек-лист: готова ли Ваша техника безопасности к CRA?
Проверьте свою существующую систему с помощью этих вопросов:
- Были ли изменены стандартные пароли при установке?
- Актуальна ли прошивка?
- Использует ли система шифрованную связь (не открытый Wi-Fi)?
- Есть ли названный производитель с поддержкой в ЕС?
- Получаете ли Вы регулярные обновления безопасности?
- Защищено ли приложение двухфакторной аутентификацией?
- Была ли система установлена и настроена профессионально?
Если на более чем два вопроса Вы ответили „нет“ или „не знаю“, стоит проверить систему. Protexium предлагает бесплатную проверку безопасности – также для существующих систем других поставщиков.
Итог: больше безопасности для всех – если выбирать правильных партнёров
Cyber Resilience Act ЕС – важный шаг для безопасности подключённых устройств. Он заставляет производителей относиться к кибербезопасности серьёзно – и защищает потребителей от небезопасных дешёвых продуктов, которые несут больше риска, чем защиты. „Замок, который можно взломать, – это не замок, это приглашение.“
Для Вас как потребителя это значит: делайте ставку на технику безопасности сертифицированных поставщиков, уже сегодня выполняющих стандарты завтрашнего дня. И регулярно проверяйте существующие системы – физическая безопасность и кибербезопасность неразделимы.
