Raspberry Pi та Закон ЄС про кіберстійкість
- 24 червня 2026
- Том Весткотт
Нормативно-правове поле щодо цифрових пристроїв зазнає змін, зокрема стосовно тих, що підпадають під відносно широке визначення, наведене в новому регламенті ЄС про кібербезпеку:
…«продукт із цифровими елементами» означає програмний або апаратний продукт та відповідні рішення для віддаленої обробки даних, включаючи програмні або апаратні компоненти, що випускаються на ринок окремо…
Якщо ви виробляєте та впроваджуєте цифрові продукти в Європейському Союзі, вам необхідно ознайомитися з Законом ЄС про кіберстійкість (CRA). У компанії Raspberry Pi ми уважно стежимо за розвитком подій і готові надати підтримку клієнтам, які інтегрують наші комп’ютери у свої проекти.
Що таке Закон про кіберстійкість?
CRA — це основний законодавчий акт ЄС, присвячений кібербезпеці цифрових продуктів. Він поширюється на будь-яке апаратне чи програмне забезпечення з цифровими елементами, зокрема на пристрої Інтернету речей (IoT), вбудовані системи, промислові контролери, пристрої «розумного дому» та багато іншого; якщо це підключений до мережі продукт, що продається в Європі, він майже стовідсотково підпадає під дію цього акту. CRA дотримуватиметься процедур перевірки відповідності продукції, встановлених у Регламенті (ЄС) № 765/2008 «Про нову законодавчу базу», широко відомому як маркування CE.
Виробники повинні розпочати з оцінки ризиків у сфері кібербезпеки, проаналізувавши, як функціонує цифровий продукт і де можуть бути потенційні вразливості. Залежно від результатів оцінки ризиків виробникам, можливо, доведеться впровадити засоби безпеки, забезпечувати безпечне обслуговування продуктів протягом усього їхнього життєвого циклу, запровадити процедури усунення вразливостей та відкрито інформувати споживачів про можливості та обмеження в сфері безпеки.
Виробники також повинні вживати заходів для підвищення кіберстійкості своїх продуктів — від цілісності переданих та отриманих ними повідомлень до конфіденційності їхніх даних — зокрема шляхом проведення регулярних перевірок та тестів на безпеку. Штрафи за недотримання вимог можуть сягати 15 мільйонів євро або 2,5 % від глобального річного обороту.
Терміни та вимоги
Повний текст CRA набуде чинності 11 грудня 2027 року — саме до цієї дати продукція повинна відповідати вимогам, викладеним у Додатку. Ці вимоги включають:
| Додаток 1 | Основні вимоги до кібербезпеки. |
| Додаток 2 | Мінімальний обсяг інформації, яку необхідно надати клієнту. |
| Додаток 3 | Перелік цифрових продуктів підвищеного рівня безпеки, розділених на два класи. |
| Додаток 4 | Ключові продукти з цифровими елементами. |
| Додаток 5 | Шаблон декларації про відповідність. |
| Додаток 6 | Спрощена декларація про відповідність. |
| Додаток 7 | Зміст технічної документації, яку виробник зобов’язаний вести і яка в рамках системи маркування CE зазвичай називається «технічним досьє на конструкцію» (з урахуванням того, що програмні елементи не мають фізичної конструкції). |
| Додаток 8 | Процедури оцінки відповідності: процеси, яких повинен дотримуватися виробник, щоб підтвердити відповідність продукції вимогам; згідно з CRA, вони варіюються від самодекларації через внутрішній контроль виробництва до оцінки призначеним нотифікованим органом. |
Кінцевий термін у грудні 2027 року все ще залишає інтеграторам час на виконання вимог законодавства. Однак для команд, які вже сьогодні розробляють продукцію — обирають мікросхеми, проектують архітектуру вбудованого програмного забезпечення, планують стратегії сертифікації — рішення, прийняті зараз, визначатимуть, чи зможуть вони впевнено дотриматися цього терміну. Коли настане цей час, усі продукти, що підпадають під дію законодавства, повинні мати маркування CE.
Повідомлення про вразливості та інциденти стануть обов’язковими з 11 вересня 2026 року. Виробники, які реалізують підключені до мережі продукти в ЄС, повинні повідомляти про будь-які вразливості, що активно експлуатуються, або серйозні інциденти безпеки, що впливають на їхні продукти. У них буде 24 години на подання попереднього повідомлення та 72 години на подання повного повідомлення. Звіти подаватимуться через нову центральну платформу для повідомлень, створену Агентством з кібербезпеки (CRA), що забезпечить безпечний обмін даними між європейськими командами реагування на інциденти комп’ютерної безпеки (CSIRT) та Європейським агентством з мережевої та інформаційної безпеки (ENISA).
Ми завжди готові допомогти!
Продукти Raspberry Pi лежать в основі величезного розмаїття підключених до мережі додатків, зокрема в галузі промислової автоматизації, інфраструктури «розумних» будівель, вузлів периферійних обчислень, обладнання для медичного моніторингу, систем роздрібної торгівлі та в багатьох інших сферах. Багато з цих випадків використання підпадають під дію CRA.
CRA класифікує продукти з цифровими елементами за рівнем ризику — більшість з них належить до категорії за замовчуванням, що характеризується найнижчим рівнем ризику, але деякі потрапляють до категорій «важливих» та «критичних», до яких застосовуються більш суворі вимоги щодо оцінки. Для багатьох наших клієнтів застосовуватиметься категорія за замовчуванням, але ті, хто будує більш критичну інфраструктуру, матимуть пропорційно більш суворі зобов’язання.
Ми розуміємо, що дотримання нормативних вимог — це не просто формальність; воно вимагає документально зафіксованих оцінок ризиків, підтверджень проведення тестувань безпеки, процедур розкриття інформації про вразливості, а також постійних зобов’язань, які залишаються в силі ще довго після виходу продукту на ринок. Наші клієнти — це інженери та розробники продуктів, а не фахівці з питань регулювання, і ми докладаємо всіх зусиль, щоб полегшити їм цей процес.
Наша продукція допоможе вам забезпечити відповідність вимогам
З огляду на основні вимоги CRA щодо кібербезпеки, наші апаратні та програмні продукти забезпечують міцну основу для розробки систем, що відповідають цим вимогам. Функції безпечного завантаження, опції шифрованого зберігання даних, надійні механізми оновлення та потужні криптографічні примітиви є вбудованими в платформу, а Raspberry Pi OS, наша офіційна операційна система, постачається з посиленою конфігурацією за замовчуванням.
Дотримання вимог є спільною відповідальністю всіх учасників ланцюга постачання. Розробляючи продукт на базі технології Raspberry Pi, ви не починаєте з нуля — ви створюєте його на платформі, яка вже виконала значну частину найскладнішої роботи. Наша архітектура безпеки ретельно задокументована, процес розкриття інформації про вразливості є досконалим, а наше прагнення забезпечувати продукти довгостроковими оновленнями безпеки має міцну репутацію. Ми продовжуємо підтримувати навіть наші найперші комп’ютери в останніх версіях Raspberry Pi OS.
Консультації та підтримка для наших клієнтів
Щоб підтвердити відповідність продукту вимогам CRA, інженери та розробники продуктів повинні будуть задокументувати всі свої оцінки відповідності та ризиків, продемонструвавши, що існуючі на даний момент заходи безпеки є адекватними, а також викласти свої плани щодо постійного забезпечення безпеки. Саме тому ми інвестуємо в підтримку та консультації, спрямовані саме на те, щоб допомогти нашим клієнтам орієнтуватися у вимогах CRA.
Наш портал інформації про продукцію (PIP) вже містить рекомендації щодо застосування та аналітичні документи, в яких пояснюється, як впроваджувати заходи безпеки. Ми й надалі надаватимемо додаткові рекомендації, оскільки наша внутрішня робоча група стежить за розвитком регуляторних процесів та публікацією гармонізованих стандартів, на яких ґрунтуватиметься оцінка відповідності.
Чудовий відправний пункт для нових дизайнів
Якщо ви починаєте розробку нового продукту, Raspberry Pi — це чудовий вибір. Керівники інженерних підрозділів повинні розглядати цей період як останній шанс забезпечити відповідність вимогам CRA, а впровадження технології Raspberry Pi дає суттєву перевагу на старті. Якщо чекати до початку застосування цих вимог, це може призвести до затримок, юридичних ризиків та неминучої необхідності перепроектування.
Вибір платформи, яка інвестувала в безпеку, вже має довгострокові зобов’язання щодо технічної підтримки та прозору систему управління вразливостями, а також активно розробляє рекомендації щодо дотримання нормативних вимог, забезпечує міцну основу безпеки. Це означає, що наші клієнти можуть зосередити свої технічні зусилля на самій програмі, а не на створенні інфраструктури безпеки з нуля.
CRA значно підвищує вимоги до безпеки підключених пристроїв. Заохочення інженерів до розробки продуктів із вбудованими засобами безпеки допоможе забезпечити кращий захист споживачів та кінцевих користувачів.