CRA vs ISO 27001: Jak Twój SZBI Wspiera Zgodność z Bezpieczeństwem Produktów

Wielu producentów posiada już certyfikację ISO 27001 dla swojego systemu zarządzania bezpieczeństwem informacji. Czy to pomaga w zgodności CRA? Krótka odpowiedź: tak, ale to nie wystarczy. ISO 27001 koncentruje się na bezpieczeństwie organizacyjnym, podczas gdy CRA koncentruje się na bezpieczeństwie produktów. Uzupełniają się, ale nie zastępują.

Ten przewodnik wyjaśnia relację między ISO 27001 a CRA.

Zrozumienie Różnych Zakresów

Co Obejmuje ISO 27001

ISO 27001 to norma systemu zarządzania bezpieczeństwem informacji (SZBI) obejmująca:

Kontrole na poziomie organizacji:

• Polityki bezpieczeństwa informacji
• Zarządzanie aktywami
• Kontrola dostępu (do systemów i danych)
• Użycie kryptografii
• Bezpieczeństwo fizyczne
• Bezpieczeństwo operacji
• Bezpieczeństwo komunikacji
• Relacje z dostawcami
• Zarządzanie incydentami
• Ciągłość działania
• Zarządzanie zgodnością

Focus: Ochrona aktywów informacyjnych twojej organizacji

Co Obejmuje CRA

CRA to regulacja dotycząca produktów obejmująca:

Wymagania na poziomie produktu:

• Bezpieczeństwo od projektu w produktach
• Brak znanych podatności możliwych do wykorzystania
• Bezpieczna domyślna konfiguracja
• Ochrona przed nieautoryzowanym dostępem (w produkcie)
• Ochrona danych (przez produkt)
• Możliwość aktualizacji (produktu)
• Obsługa podatności (dla produktu)
• SBOM dla komponentów produktu
• Oznakowanie CE i ocena zgodności

Focus: Zapewnienie, że produkty, które sprzedajesz, są bezpieczne

Fundamentalna Różnica

ZAKRES ISO 27001 vs CRA

ISO 27001:
"Jak twoja ORGANIZACJA zarządza bezpieczeństwem?"
┌─────────────────────────────────────────────┐
│ Twoja Firma                                 │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ Systemy │ │ Dane    │ │ Ludzie  │        │
│ └─────────┘ └─────────┘ └─────────┘        │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ Procesy │ │ Sieć    │ │ Obiekty │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

CRA:
"Jak bezpieczne są PRODUKTY, które sprzedajesz?"
┌─────────────────────────────────────────────┐
│ Twoje Produkty (sprzedawane klientom)       │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Produkt A│ │Produkt B│ │Produkt C│        │
│ └─────────┘ └─────────┘ └─────────┘        │
│                                             │
│ Każdy produkt musi spełniać wymagania CRA  │
└─────────────────────────────────────────────┘

Szczegółowe Mapowanie Wymagań

Gdzie ISO 27001 Pomaga CRA

Gdzie ISO 27001 Jest Niewystarczające

Podsumowanie Analizy Luk

ANALIZA LUK ISO 27001 → CRA

SILNA PODSTAWA (ISO 27001 pomaga znacząco):
✓ Kultura i świadomość bezpieczeństwa
✓ Metodologia zarządzania ryzykiem
✓ Zdolność reagowania na incydenty
✓ Zarządzanie bezpieczeństwem dostawców
✓ Polityki bezpiecznego cyklu rozwoju
✓ Ramy kontroli dostępu
✓ Praktyki dokumentacyjne

CZĘŚCIOWE POKRYCIE (ISO 27001 pomaga ale nie wystarczy):
◐ Zarządzanie podatnościami (focus org vs. produkt)
◐ Kryptografia (polityka vs. implementacja)
◐ Testy bezpieczeństwa (przedsiębiorstwo vs. produkt)
◐ Zarządzanie zmianami (IT vs. produkt)

LUKI (Specyficzne dla CRA, nie w ISO 27001):
✗ Generowanie i utrzymanie SBOM
✗ Ocena zgodności produktu
✗ Proces oznakowania CE
✗ Zgłaszanie podatności do ENISA
✗ Dokumentacja techniczna specyficzna dla produktu
✗ Zobowiązanie do 5-letniego okresu wsparcia
✗ Weryfikacja bezpiecznej domyślnej konfiguracji
✗ Wymagania mechanizmu aktualizacji produktu

Jak Wykorzystać ISO 27001 dla CRA

Użyj Swojego SZBI jako Podstawy

Jeśli masz certyfikat ISO 27001, masz solidne podstawy, na których możesz budować:

WYKORZYSTANIE ISO 27001 DLA CRA

1. ROZSZERZENIE ISTNIEJĄCYCH PROCESÓW:

   Proces ISO 27001          →  Rozszerzenie CRA
   ─────────────────────────────────────────────
   Ocena ryzyka (6.1)        →  Ocena ryzyka produktu
   Zarządzanie podat. (A.8.8)→  Obsługa podatności produktu
   Zarządzanie dost. (A.5.19-22)→  SBOM od dostawców
   Zarządzanie incyd. (A.5.24-26)→  Zgłaszanie ENISA
   Bezpieczny rozwój (A.8.25-28)→  Testy bezp. produktu

2. DODANIE ELEMENTÓW SPECYFICZNYCH DLA CRA:

   Nowy Proces                   Cel
   ─────────────────────────────────────────────
   Generowanie SBOM              Śledzenie komponentów
   Ocena zgodności               Oznakowanie CE
   Dokumentacja tech. produktu   Dokumentacja regulacyjna
   Zarządzanie okresem wsparcia  Zobowiązanie 5-letnie
   Zgłaszanie ENISA              Powiadomienie o podatnościach

Praktyczne Kroki Integracji

INTEGRACJA ISO 27001 + CRA

KROK 1: ROZSZERZENIE ZAKRESU
- Dodaj "bezpieczeństwo produktu" do zakresu SZBI
- Włącz rozwój produktu do oceny ryzyka
- Rozszerz inwentarz aktywów o komponenty produktu

KROK 2: AKTUALIZACJE PROCESÓW
- Zaktualizuj procedurę podatności dla zgłaszania produktu
- Dodaj SBOM do zarządzania zmianami
- Włącz ENISA do reagowania na incydenty

KROK 3: DODATKI DOKUMENTACYJNE
- Dokumentacja techniczna produktów
- Rejestry SBOM
- Dowody oceny zgodności
- Dokumentacja okresu wsparcia

KROK 4: ROLE I ODPOWIEDZIALNOŚCI
- Przypisz właściciela bezpieczeństwa produktu
- Zdefiniuj odpowiedzialność za zgłaszanie ENISA
- Ustal właściciela utrzymania SBOM

Kontrole ISO 27001 Załącznik A i CRA

Najbardziej Odpowiednie Kontrole

A.8.25 Bezpieczny cykl rozwoju

• ISO 27001: Polityki bezpiecznego rozwoju
• Użycie CRA: Podstawa wymagań bezpieczeństwa produktu

A.8.26 Wymagania bezpieczeństwa aplikacji

• ISO 27001: Wymagania bezpieczeństwa w rozwoju
• Użycie CRA: Podstawa wymagań zasadniczych produktu

A.8.27 Bezpieczna architektura systemu

• ISO 27001: Zasady bezpiecznej architektury
• Użycie CRA: Architektura bezpieczeństwa produktu

A.8.28 Bezpieczne kodowanie

• ISO 27001: Praktyki bezpiecznego kodowania
• Użycie CRA: Bezpieczeństwo kodu produktu

A.8.8 Zarządzanie podatnościami technicznymi

• ISO 27001: Organizacyjna obsługa podatności
• Użycie CRA: Rozszerz na podatności produktu + zgłaszanie ENISA

A.5.19-22 Relacje z dostawcami

• ISO 27001: Zarządzanie bezpieczeństwem dostawców
• Użycie CRA: Zbieranie SBOM od dostawców, bezpieczeństwo łańcucha dostaw

Implementacja Kontroli dla CRA

ROZSZERZENIE KONTROLI ISO 27001 DLA CRA

ROZSZERZENIE A.8.8 ZARZĄDZANIA PODATNOŚCIAMI:

Wymaganie ISO 27001:
"Informacje o podatnościach technicznych używanych
systemów informacyjnych powinny być uzyskiwane..."

Rozszerzenie CRA:
- Monitoruj podatności w TWOICH PRODUKTACH
- Utrzymuj proces powiadamiania klientów
- Wdróż zgłaszanie ENISA (24h/72h)
- Śledź status podatności per produkt
- Generuj dokumenty VEX

ROZSZERZENIE A.8.25-28 BEZPIECZNEGO ROZWOJU:

Wymaganie ISO 27001:
"Zasady rozwoju oprogramowania i systemów
powinny być ustalone i stosowane..."

Rozszerzenie CRA:
- Włącz generowanie SBOM do procesu budowy
- Weryfikuj konfigurację "bezpieczną domyślnie"
- Testuj wymagania bezpieczeństwa produktu
- Dokumentuj dla dokumentacji technicznej
- Utrzymuj dowody dla oceny zgodności

Rozważania Certyfikacyjne

Certyfikacja ISO 27001 ≠ Zgodność CRA

Krytyczne zrozumienie:

• Certyfikacja ISO 27001 pokazuje dojrzałość bezpieczeństwa organizacyjnego
• Zgodność CRA to wymaganie regulacyjne per produkt
• Posiadanie ISO 27001 NIE zwalnia z CRA
• Audytorzy ISO 27001 nie oceniają zgodności CRA

Wykorzystanie ISO 27001 w Kontekście CRA

JAK ODWOŁYWAĆ SIĘ DO ISO 27001 W DOKUMENTACJI CRA

W DOKUMENTACJI TECHNICZNEJ:
"[Firma] utrzymuje System Zarządzania Bezpieczeństwem
Informacji certyfikowany ISO/IEC 27001:2022
(Certyfikat nr XXX, wydany przez [Jednostkę Certyfikującą]).

SZBI zapewnia organizacyjną podstawę dla bezpieczeństwa
produktu, obejmując:
- Bezpieczny cykl rozwoju (A.8.25-28)
- Proces zarządzania podatnościami (A.8.8)
- Wymagania bezpieczeństwa dostawców (A.5.19-22)

Zgodność CRA specyficzna dla produktu jest udokumentowana
w tej dokumentacji technicznej, opierając się na tych
kontrolach SZBI."

CO TO POKAZUJE:
- Dojrzałość zarządzania bezpieczeństwem
- Podstawa procesu istnieje
- Nie jest substytutem dla dowodów produktu

Synergie Audytowe

DOPASOWANIE AUDYTU ISO 27001 I CRA

AUDYT NADZORCZY ISO 27001:
- Roczna ocena SZBI
- Może obejmować zakres bezpieczeństwa produktu
- Dowody wielokrotnego użytku dla CRA

OCENA ZGODNOŚCI CRA:
- Ocena specyficzna dla produktu
- Odwołuje się do SZBI dla dowodów procesowych
- Wymaga dodatkowych dowodów produktu

MOŻLIWOŚCI SYNERGII:
- Dopasuj harmonogramy audytów
- Ponownie wykorzystuj dowody tam gdzie stosowne
- Podejście zintegrowanego systemu zarządzania
- Pojedyncze repozytorium dokumentacji

Typowe Scenariusze

Scenariusz 1: Certyfikat ISO 27001, Początek CRA

SCENARIUSZ: ISTNIEJĄCE ISO 27001, NOWE W CRA

ZALETY:
✓ Metodologia ryzyka istnieje
✓ Kultura bezpieczeństwa ustanowiona
✓ Praktyki dokumentacyjne na miejscu
✓ Zarządzanie dostawcami istnieje
✓ Zdolność reagowania na incydenty

CO DODAĆ:
[ ] Klasyfikacja produktu według CRA
[ ] Zdolność generowania SBOM
[ ] Proces zgłaszania ENISA
[ ] Dokumentacja techniczna produktów
[ ] Proces oceny zgodności
[ ] Zarządzanie okresem wsparcia
[ ] Testy specyficzne dla produktu

PODEJŚCIE:
1. Analiza luk względem wymagań CRA
2. Rozszerz zakres SZBI o produkty
3. Dodaj procesy specyficzne dla CRA
4. Zaktualizuj dokumentację
5. Przeszkol odpowiednie zespoły

Scenariusz 2: Brak ISO 27001, Podejście do CRA

SCENARIUSZ: BRAK ISO 27001, POTRZEBA ZGODNOŚCI CRA

OPCJE:

OPCJA A: Tylko CRA
- Wdróż wymagania CRA bezpośrednio
- Podejście zorientowane na produkt
- Może brakować korzyści bezpieczeństwa organizacyjnego
- Szybciej do zgodności CRA

OPCJA B: ISO 27001 + CRA
- Wdróż oba ramy
- Silniejsze ogólne bezpieczeństwo
- Więcej pracy z góry
- Lepsza pozycja długoterminowa

REKOMENDACJA:
Dla producentów produktów, rozważ:
- Zacznij od wymagań CRA (termin regulacyjny)
- Buduj w kierunku ISO 27001 z czasem
- Dopasuj podejścia od początku

Scenariusz 3: Wiele Produktów, Centralny SZBI

SCENARIUSZ: SZBI WSPIERAJĄCY WIELE PRODUKTÓW

PODEJŚCIE:

SCENTRALIZOWANE (SZBI):
- Metodologia ryzyka
- Proces obsługi podatności
- Zarządzanie dostawcami
- Reagowanie na incydenty
- Standardy rozwoju

PER PRODUKT (CRA):
- Dokumentacja techniczna
- SBOM
- Ocena zgodności
- Dokumentacja produktu
- Okres wsparcia

KORZYŚCI:
- Efektywne ponowne wykorzystanie procesów
- Spójne podejście do bezpieczeństwa
- Scentralizowana ekspertyza
- Zgodność specyficzna dla produktu

Ramy Integracji

Model Zarządzania

ZINTEGROWANY MODEL ZARZĄDZANIA

POZIOM ORGANIZACYJNY (ISO 27001):
┌─────────────────────────────────────────────┐
│ System Zarządzania Bezpieczeństwem          │
│ Informacji                                  │
│                                             │
│ - Polityki bezpieczeństwa                   │
│ - Ramy zarządzania ryzykiem                 │
│ - Organizacja bezpieczeństwa                │
│ - Świadomość i szkolenia                    │
└─────────────────────────────────────────────┘
            │
            ▼
POZIOM PRODUKTU (CRA):
┌─────────────────────────────────────────────┐
│ Zgodność Bezpieczeństwa Produktu            │
│                                             │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Produkt A│ │Produkt B│ │Produkt C│        │
│ │- Dok.   │ │- Dok.   │ │- Dok.   │        │
│ │  tech.  │ │  tech.  │ │  tech.  │        │
│ │- SBOM   │ │- SBOM   │ │- SBOM   │        │
│ │- DoC    │ │- DoC    │ │- DoC    │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

Struktura Dokumentacji

ZINTEGROWANA DOKUMENTACJA

DOKUMENTACJA SZBI (ISO 27001):
├── Polityka Bezpieczeństwa Informacji
├── Procedura Oceny Ryzyka
├── Deklaracja Stosowania
├── Polityka Bezpiecznego Rozwoju
├── Procedura Zarządzania Podatnościami
├── Procedura Reagowania na Incydenty
└── Polityka Bezpieczeństwa Dostawców

DOKUMENTACJA CRA (Per Produkt):
├── Dokumentacja Techniczna Produktu
│   ├── Opis produktu
│   ├── Ocena ryzyka
│   ├── Architektura bezpieczeństwa
│   ├── Raporty z testów
│   └── SBOM
├── Deklaracja Zgodności UE
├── Dokumentacja Użytkownika
└── Deklaracja Okresu Wsparcia

ODNIESIENIA KRZYŻOWE:
- Dokumentacja techniczna odwołuje się do procedur SZBI
- Procedury SZBI obejmują wymagania CRA
- Pojedyncze źródło prawdy tam gdzie możliwe

Lista Kontrolna: Organizacja ISO 27001 Dodająca CRA

LISTA KONTROLNA ZGODNOŚCI ISO 27001 → CRA

OCENA:
[ ] Przegląd bieżącego zakresu SZBI
[ ] Identyfikacja produktów z elementami cyfrowymi
[ ] Klasyfikacja produktów według kategorii CRA
[ ] Analiza luk: SZBI vs. wymagania CRA

ROZSZERZENIE ZAKRESU:
[ ] Dodaj bezpieczeństwo produktu do zakresu SZBI
[ ] Zaktualizuj ocenę ryzyka o produkty
[ ] Rozszerz Deklarację Stosowania

DODATKI PROCESOWE:
[ ] Proces generowania SBOM
[ ] Procedura zgłaszania ENISA
[ ] Proces oceny zgodności
[ ] Zarządzanie okresem wsparcia
[ ] Procedura dokumentacji technicznej produktu

DOKUMENTACJA:
[ ] Szablony dokumentacji technicznej
[ ] Szablon oceny ryzyka produktu
[ ] Format i przechowywanie SBOM
[ ] Szablon Deklaracji Zgodności

ROZSZERZENIA KONTROLI:
[ ] A.8.8 - Dodaj podatności produktu
[ ] A.8.25-28 - Dodaj testy bezpieczeństwa produktu
[ ] A.5.19-22 - Dodaj SBOM od dostawców

ROLE:
[ ] Przypisz właściciela bezpieczeństwa produktu
[ ] Zdefiniuj odpowiedzialność za zgłaszanie ENISA
[ ] Ustal rolę oceny zgodności

SZKOLENIE:
[ ] Świadomość CRA dla zespołów deweloperskich
[ ] Szkolenie z narzędzi SBOM
[ ] Szkolenie z oceny zgodności

Kluczowe Zasoby

NORMY I WYTYCZNE

ISO 27001:
ISO/IEC 27001:2022 - Zarządzanie bezpieczeństwem informacji
ISO/IEC 27002:2022 - Kontrole bezpieczeństwa informacji

CRA:
Rozporządzenie (UE) 2024/2847 - Cyber Resilience Act

WYTYCZNE INTEGRACJI:
ISO 27001 + Rozwój Produktu
- Rozważ ISO/IEC 27034 (Bezpieczeństwo aplikacji)
- Rozważ IEC 62443 (Bezpieczeństwo przemysłowe)
- Rozważ ISO/SAE 21434 (Bezpieczeństwo motoryzacyjne)

JEDNOSTKI CERTYFIKUJĄCE:
Mogą certyfikować ISO 27001 i potencjalnie
ocenić dopasowanie CRA w ramach zakresu

Wazne: Certyfikacja ISO 27001 NIE oznacza zgodnosci z CRA. ISO 27001 obejmuje organizacyjne bezpieczenstwo informacji; CRA wymaga oceny zgodnosci specyficznej dla produktu.

Wskazowka: Jesli juz posiadasz certyfikat ISO 27001, masz solidne podstawy. Zmapuj istniejace kontrole do wymagan Zalacznika I CRA, aby zidentyfikowac luki.

Powiazane przewodniki:

• Dokumentacja Techniczna CRA: Co trafia do kazdej sekcji (Analiza Zalacznika VII)
• Ocena Zgodnosci CRA: Przewodnik Decyzyjny Modul A vs B+C vs H

Jak CRA Evidence Pomaga

CRA Evidence uzupełnia twój SZBI ISO 27001:

• Analiza luk: Zidentyfikuj czego twój SZBI nie obejmuje
• Focus na produkt: Zarządzaj zgodnością CRA per produkt
• Integracja SBOM: Śledzenie komponentów, którego twój SZBI nie zapewnia
• Dokumentacja techniczna: Dokumentacja specyficzna dla CRA
• Łączenie dowodów: Odwoływanie się do kontroli SZBI w dokumentacji CRA

Rozpocznij swoją zgodność CRA na app.craevidence.com.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem.