W skrócie
Ten słownik obejmuje podstawową terminologię unijnego Rozporządzenia o Cyberodporności (CRA): SBOM (Zestawienie Materiałów Oprogramowania), CycloneDX, SPDX, VEX (Vulnerability Exploitability eXchange), CSAF, CVE, EPSS, KEV, TR-03183, raportowanie ENISA, oznakowanie CE, normy zharmonizowane, jednostki notyfikowane, ocena ryzyka, wymagania dokumentacji technicznej i ocena zgodności. Użyj tej referencji przygotowując się do zgodności CRA przed terminem w grudniu 2027.
Słownik Zgodności CRA
Podstawowa terminologia do zrozumienia unijnego rozporządzenia o cyberodporności, standardów bezpieczeństwa łańcucha dostaw oprogramowania i wymagań zgodności.
A
Załącznik VII
Załącznik VII CRA określa minimalną treść Deklaracji Zgodności UE, którą producenci muszą sporządzić dla produktów z elementami cyfrowymi. Obejmuje identyfikację produktu, dane producenta, zastosowane normy i podpis upoważnionego przedstawiciela.
Artykuł 13 - Obowiązki Producentów
Artykuł 13 CRA określa podstawowe obowiązki producenta: bezpieczeństwo przez projekt, utrzymywanie SBOM, obsługa podatności, zapewnianie aktualizacji bezpieczeństwa przez cały cykl życia produktu i utrzymywanie dokumentacji technicznej przez co najmniej 10 lat.
Artykuł 14 - Obowiązki Raportowania
Artykuł 14 CRA wymaga od producentów zgłaszania aktywnie wykorzystywanych podatności do ENISA w ciągu 24 godzin (wczesne ostrzeżenie), 72 godzin (szczegółowy raport) i 14 dni (raport końcowy). Poważne incydenty podlegają temu samemu wzorowi, ale z 30-dniowym terminem raportu końcowego.
C
Oznakowanie CE
Europejski znak zgodności wskazujący na zgodność z prawodawstwem UE. Zgodnie z CRA produkty z elementami cyfrowymi muszą nosić oznakowanie CE, aby mogły być legalnie sprzedawane na rynku UE. Wymaga przeprowadzenia oceny zgodności i Deklaracji Zgodności UE.
Ocena zgodności
Proces weryfikacji, czy produkt spełnia zasadnicze wymagania cyberbezpieczeństwa CRA. Produkty domyślne mogą korzystać z samooceny (Moduł A), podczas gdy Ważna Klasa I, Klasa II i Produkty krytyczne wymagają oceny przez stronę trzecią w jednostkach notyfikowanych.
CRA - Akt o Cyberodporności
Rozporządzenie UE 2024/2847 ustanawiające obowiązkowe wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi (PDE) sprzedawanych w Unii Europejskiej. Weszło w życie 10 grudnia 2024. Główne obowiązki obowiązują od 11 grudnia 2027. Obejmuje produkty sprzętowe i programowe z łącznością sieciową.
CSAF - Wspólne Ramy Komunikatów Bezpieczeństwa
Standard OASIS dla czytelnych maszynowo poradników bezpieczeństwa. Umożliwia automatyczne przetwarzanie ujawnień podatności. Używany do skoordynowanego ujawniania podatności (CVD) i raportowania ENISA zgodnie z wymaganiami CRA.
CVD - Skoordynowane Ujawnianie Luk w Zabezpieczeniach
Proces odpowiedzialnego ujawniania podatności bezpieczeństwa dostawcom przed publicznym ogłoszeniem. Artykuł 13(8) CRA wymaga od producentów ustanowienia i opublikowania polityk CVD, w tym informacji kontaktowych dotyczących bezpieczeństwa.
CVE - Powszechne Luki i Narażenia
Standaryzowany identyfikator dla publicznie znanych podatności cyberbezpieczeństwa (np. CVE-2024-12345). Zarządzany przez MITRE Corporation. Używany globalnie do śledzenia podatności, ujawniania i koordynacji napraw.
CVSS - Wspólny System Oceny Luk w Zabezpieczeniach
Standard branżowy do oceny powagi podatności w skali 0-10. CVSS 4.0 to najnowsza wersja. Zapewnia metryki bazowe, czasowe i środowiskowe. Krytyczny (9.0-10.0), Wysoki (7.0-8.9), Średni (4.0-6.9), Niski (0.1-3.9).
CycloneDX
Standard OWASP do tworzenia List Materiałów Oprogramowania (SBOM) i powiązanych artefaktów. Obsługuje SBOM, VEX, HBOM, SaaSBOM i więcej. Zalecana wersja 1.5+. Przywoływany przez BSI TR-03183 jako preferowany format dla zgodności CRA.
Produkt krytyczny — CRA Załącznik IV
Produkty z elementami cyfrowymi, które pełnią istotne funkcje cyberbezpieczeństwa dla innych produktów, sieci lub usług. Wymienione w Załączniku IV CRA obejmują sprzętowe moduły bezpieczeństwa (HSM), czytniki kart inteligentnych, elementy bezpieczne i urządzenia sprzętowe z modułami bezpieczeństwa. Produkty krytyczne wymagają europejskiej certyfikacji cyberbezpieczeństwa w ramach odpowiedniego programu lub — w przypadku braku takiego programu — oceny zgodności przez stronę trzecią w jednostce notyfikowanej.
D
Domyślna kategoria produktu
Produkty z elementami cyfrowymi, które nie należą do kategorii Ważne lub Krytyczne zdefiniowanych w Załącznikach III i IV CRA. Produkty domyślne mogą przejść ocenę zgodności poprzez kontrolę wewnętrzną (samoocenę) przeprowadzoną przez producenta zgodnie z Załącznikiem VIII CRA, bez udziału stron trzecich. Obejmuje to zdecydowaną większość komercyjnego oprogramowania i sprzętu konsumenckiego.
Dystrybutor
Każdy podmiot w łańcuchu dostaw, inny niż producent lub importer, który udostępnia produkt z elementami cyfrowymi na rynku UE. Dystrybutorzy muszą przed udostępnieniem sprawdzić, czy produkt posiada oznakowanie CE i towarzyszy mu deklaracja zgodności UE. Jeśli dystrybutor zmodyfikuje produkt, staje się producentem w rozumieniu CRA.
E
ENISA - Agencja Unii Europejskiej ds. Cyberbezpieczeństwa
Agencja UE odpowiedzialna za politykę cyberbezpieczeństwa i koordynację incydentów. Zgodnie z CRA producenci muszą zgłaszać ENISA aktywnie wykorzystywane podatności w ciągu 24 godzin i poważne incydenty w ciągu 72 godzin. Obowiązek zgłaszania zaczyna się 11 września 2026.
EPSS - System Przewidywania Prawdopodobieństwa Wykorzystania
Model FIRST.org szacujący prawdopodobieństwo (0-100%), że podatność zostanie wykorzystana w ciągu najbliższych 30 dni. Używany do priorytetyzacji podatności opartej na ryzyku wraz z CVSS. Wyższy EPSS = wyższy priorytet naprawy.
Deklaracja zgodności UE
Formalny dokument stwierdzający, że produkt jest zgodny z obowiązującym prawodawstwem UE, w tym CRA. Musi być podpisany przez producenta lub upoważnionego przedstawiciela. Wymagany dla oznakowania CE. Musi odwoływać się do obowiązujących norm zharmonizowanych.
H
HBOM - Wykaz Komponentów Sprzętowych
Czytelny maszynowo inwentarz komponentów sprzętowych w produkcie, w tym procesory, pamięć, układy scalone i firmware. Uzupełnia SBOM dla pełnej przejrzystości produktu. CycloneDX obsługuje format HBOM.
Normy Zharmonizowane
Europejskie normy przyjęte przez uznane organy normalizacyjne (CEN, CENELEC, ETSI) i przywoływane w Dzienniku Urzędowym UE. Produkty zgodne z normami zharmonizowanymi korzystają z domniemania zgodności z odpowiednimi podstawowymi wymaganiami CRA, upraszczając ocenę zgodności.
I
Importer
Podmiot z siedzibą w UE, który wprowadza na rynek europejski produkt z elementami cyfrowymi od producenta spoza UE. Importerzy muszą sprawdzić, czy producent przeprowadził ocenę zgodności, czy zastosowano oznakowanie CE i czy dokumentacja techniczna jest dostępna. Ponoszą współodpowiedzialność za produkty niezgodne z wymogami.
Ważny produkt (Klasa I) — CRA Załącznik III, Część I
Produkty z elementami cyfrowymi, które pełnią funkcję istotną dla cyberbezpieczeństwa lub niosą podwyższone ryzyko. Klasa I obejmuje systemy zarządzania tożsamością, VPN, narzędzia do zarządzania siecią, systemy SIEM, menedżery rozruchu i inne kategorie wymienione w Załączniku III Część I CRA. Producenci muszą stosować normy zharmonizowane obejmujące wszystkie wymagania zasadnicze (umożliwiające samoocenę) lub poddać się ocenie zgodności przez stronę trzecią w jednostce notyfikowanej.
Ważny produkt (Klasa II) — CRA Załącznik III, Część II
Produkty z elementami cyfrowymi, które pełnią krytyczne funkcje cyberbezpieczeństwa i niosą znaczące ryzyko. Klasa II obejmuje systemy operacyjne, hiperwizory, zapory sieciowe, systemy wykrywania włamań, mikrokontrolery, systemy automatyki przemysłowej i inne kategorie wymienione w Załączniku III Część II CRA. Produkty te zawsze wymagają oceny zgodności przez stronę trzecią w jednostce notyfikowanej, niezależnie od tego, czy istnieją normy zharmonizowane.
K
KEV - Znane Aktywnie Wykorzystywane Luki
Oficjalny katalog CISA podatności aktywnie wykorzystywanych w środowisku produkcyjnym. Najwyższy priorytet do naprawy, ponieważ reprezentują potwierdzone zagrożenia w świecie rzeczywistym. Agencje federalne muszą naprawić podatności KEV w określonych ramach czasowych.
M
Producent
Podmiot, który opracowuje lub wytwarza produkt z elementami cyfrowymi i wprowadza go na rynek UE pod własną nazwą lub znakiem towarowym. Producenci ponoszą główne obowiązki wynikające z CRA: przeprowadzanie ocen ryzyka, utrzymywanie SBOM, obsługa podatności, dostarczanie aktualizacji bezpieczeństwa przez co najmniej pięć lat oraz zgłaszanie wykorzystywanych podatności do ENISA.
N
NVD - Krajowa Baza Danych Luk w Zabezpieczeniach
Amerykańskie rządowe repozytorium danych o podatnościach utrzymywane przez NIST. Oparte na identyfikatorach CVE. Dostarcza wyniki CVSS, informacje CPE (dotknięty produkt), klasyfikacje CWE i wskazówki naprawcze.
Jednostka Notyfikowana
Niezależna jednostka oceny zgodności wyznaczona przez państwo członkowskie UE do oceny, czy produkty spełniają wymagania regulacyjne. Wymagana do oceny zgodności przez stronę trzecią Ważna Klasa I, Klasa II i Produkty krytyczne zgodnie z Załącznikami III i IV CRA.
O
OSV.dev - Baza danych podatności open source
Baza danych podatności open source utrzymywana przez Google. Agreguje ostrzeżenia bezpieczeństwa z GitHub (GHSA), Go, Rust, PyPI i ponad 15 ekosystemów w jedno zapytywalne API. CRA Evidence używa OSV.dev jako drugorzędnego źródła podatności obok NVD, aby przechwytywać ostrzeżenia, które bazy danych specyficzne dla ekosystemu śledzą, zanim otrzymają identyfikatory CVE.
P
PDE - Produkt z Elementami Cyfrowymi
Każdy produkt programowy lub sprzętowy z połączeniem (bezpośrednim lub pośrednim) z innym urządzeniem lub siecią. Główny zakres rozporządzenia CRA. Obejmuje urządzenia IoT, sprzęt przemysłowy, elektronikę użytkową i samodzielne oprogramowanie.
PURL - URL Pakietu
Standaryzowany format do identyfikacji pakietów oprogramowania w różnych ekosystemach (np. pkg:npm/lodash@4.17.21). Używany w SBOM do jednoznacznej identyfikacji komponentów. Umożliwia automatyczne dopasowywanie podatności i zgodność licencji.
R
Ocena ryzyka
Systematyczny proces identyfikacji, analizy i oceny ryzyka cyberbezpieczeństwa związanego z produktem z elementami cyfrowymi. Wymagany przez Artykuł 13(2) CRA i musi być udokumentowany w dokumentacji technicznej. Obejmuje zagrożenia, podatności, potencjalny wpływ i środki ograniczania ryzyka przez cały cykl życia produktu.
S
SBOM - Wykaz Komponentów Oprogramowania
Formalny, czytelny maszynowo inwentarz komponentów oprogramowania i zależności, w tym wersje, licencje i relacje. Wymagany przez Artykuł 13(4) CRA do zarządzania podatnościami i przejrzystości łańcucha dostaw. Może być w formacie CycloneDX lub SPDX.
SPDX - Wymiana Danych Pakietów Oprogramowania
Standard ISO/IEC 5962:2021 do komunikowania informacji o liście materiałów oprogramowania. Opracowany przez Linux Foundation. Szeroko stosowany do zgodności licencji i śledzenia podatności. Wersja 2.2.1+ zalecana dla zgodności CRA.
T
Dokumentacja Techniczna
Kompletny pakiet dokumentacji potwierdzający zgodność z CRA. Obejmuje ocenę ryzyka, SBOM, dokumentację projektową bezpieczeństwa, procedury obsługi podatności, wyniki testów i Deklarację Zgodności UE. Musi być przechowywany przez 10 lat lub okres życia produktu (w zależności od tego, co jest dłuższe).
TR-03183
Wytyczne Techniczne niemieckiego BSI (Federalnego Urzędu Bezpieczeństwa Informacji) zawierające szczegółowe wymagania dotyczące tworzenia i zarządzania SBOM. Szeroko przywoływane jako najlepsza praktyka zgodności z Artykułem 13 CRA. Określa minimalne pola SBOM, formaty i wymagania aktualizacji.
V
VEX - Wymiana Informacji o Exploitowalności Luk
Dokument komunikujący status możliwości wykorzystania podatności w konkretnym produkcie. Określa, czy CVE dotyczy Twojego produktu (dotknięty, niedotknięty, naprawiony, w trakcie badania). Pomaga użytkownikom końcowym zmniejszyć zmęczenie alertami z powodu fałszywych alarmów.
Gotowy na zgodność z CRA?
CRA Evidence pomaga zarządzać SBOM-ami, śledzić podatności i generować dokumentację gotową do audytu.