Cyber Resilience Act: Cột mốc mới cho an ninh mạng

Thực trạng và lý do ban hành CRA

Hiện nay, ở cấp Liên minh châu Âu (EU) và cấp quốc gia nhiều đạo luật và sáng kiến khác nhau được thực hiện nhưng chỉ giải quyết một phần nhỏ các vấn đề và rủi ro liên quan đến an ninh mạng, tạo ra sự chắp vá về mặt lập pháp trong thị trường nội bộ.

EU nhận định rằng, an ninh mạng của các sản phẩm phần cứng và phần mềm có thành phần kỹ thuật số (products with digital elements) có tính chất xuyên biên giới đặc biệt mạnh mẽ. Chúng là một trong những con đường chính dẫn đến các cuộc tấn công mạng thành công.

Với tình hình an ninh mạng bất ổn như hiện tại, EU đang phải đối mặt với hai thách thức lớn, gây ra những tổn thất đáng kể cho người dùng và nền kinh tế xã hội:

• Mức độ an ninh mạng của các sản phẩm có thành phần kỹ thuật số đang ở mức đáng báo động. Tình trạng này được biểu hiện rõ rệt qua sự phổ biến của các lỗ hổng bảo mật nghiêm trọng và việc cung cấp các bản cập nhật bảo mật không đầy đủ hoặc thiếu nhất quán, khiến các sản phẩm này trở thành mục tiêu dễ bị tổn thương trước các cuộc tấn công mạng.
• Người dùng hiện tại thiếu khả năng tiếp cận và thấu hiểu các thông tin thiết yếu về an ninh mạng của sản phẩm. Điều này cản trở họ đưa ra các quyết định sáng suốt khi lựa chọn sản phẩm có tính năng bảo mật cần thiết, cũng như hạn chế khả năng sử dụng chúng một cách an toàn và hiệu quả, từ đó làm gia tăng rủi ro và thiệt hại tiềm ẩn.

Để giải quyết những lo ngại này, EU Cyber Resilience Act (CRA) đã chính thức có hiệu lực vào ngày 10/12/2024, đặt ra 4 mục tiêu chính:

1. Đảm bảo các nhà sản xuất cải thiện an ninh của các sản phẩm có thành phần kỹ thuật số ngay từ giai đoạn thiết kế và phát triển, và trong suốt vòng đời của chúng. 
2. Thiết lập một khuôn khổ an ninh mạng nhất quán để tạo điều kiện thuận lợi cho việc tuân thủ đối với các nhà sản xuất phần cứng và phần mềm. 
3. Nâng cao tính minh bạch về các thuộc tính an ninh của các sản phẩm có thành phần kỹ thuật số. 
4. Giúp các doanh nghiệp và người tiêu dùng sử dụng các sản phẩm có thành phần kỹ thuật số một cách an toàn. 

Phạm vi áp dụng CRA

Mặc dù CRA là quy định của EU nhưng phạm vi của nó lại rất rộng, bao trùm gần như mọi sản phẩm có thành phần kỹ thuật số. Về bản chất, có thể hiểu đây là quy định gia nhập thị trường. Các sản phẩm trong phạm vi chỉ có thể được bán trong thị trường EU nếu chúng tuân thủ các yêu cầu mở rộng được nêu trong đạo luật.

Cụ thể:

• Hardware: Laptop, smartphone, thiết bị IoT (nhà thông minh, thiết bị đeo), router, camera an ninh, đồ chơi thông minh...
• Software: Hệ điều hành, trình duyệt, phần mềm quản lý mật khẩu, ứng dụng di động, game, phần mềm diệt virus, các phần mềm doanh nghiệp (ERP, CRM)... nếu chúng có thành phần kết nối.
• Miễn trừ: Áp dụng với các sản phẩm đã được quản lý bởi các quy định an ninh mạng chuyên ngành tương đương như thiết bị y tế, hàng không, ô tô, một số phần mềm nguồn mở phi thương mại, ...

Điểm đáng chú ý nhất ở đây là khái niệm "đưa ra thị trường" (placing on the market). Kể cả khi công ty bạn chỉ sản xuất một module phần mềm nhỏ và bán cho một công ty khác, nếu sản phẩm cuối cùng của công ty đó được bán tại châu Âu, bạn vẫn là một mắt xích trong chuỗi cung ứng và có thể phải chịu trách nhiệm liên đới dưới vai trò là nhà sản xuất.

Yêu cầu đặc biệt về SBOM

Software bill of materials (SBOM) về cơ bản là một danh mục gồm các thành phần tạo nên một sản phẩm phần mềm, bao gồm các mối quan hệ và các thành phần phụ thuộc vào nhau.

Không giống như các quy định trước đây như NIST CSF (Mỹ), Cybersecurity Law (Trung Quốc) khi SBOM là điều kiện không bắt buộc, thì giờ đây, CRA quy định SBOM phải được trình bày ở định dạng phổ biến và có thể đọc bằng máy. Điều này cho phép phân tích tự động và quản lý rủi ro tốt hơn.

Hai định dạng SBOM chính hiện đang được sử dụng trên thị trường hiện nay là SPDX (Software Package Data Exchange) và CycloneDX.

• Mẫu SBOM SPDX:

{
  "SPDXID" : "SPDXRef-DOCUMENT",
  "spdxVersion" : "SPDX-2.2",
  "creationInfo" : {
    "comment" : "This package has been shipped in source and binary form.\nThe binaries were created with gcc 4.5.1",
    "created" : "2010-01-29T18:30:22Z",
    "creators" : [ "Tool: LicenseFind-1.0", "Organization: ExampleCodeInspect ()", "Person: Jane Doe ()" ],
    "licenseListVersion" : "3.9"

• Mẫu SBOM CycloneDX:

 "bomFormat": "CycloneDX",
  "specVersion": "1.2",
  "serialNumber": "urn:uuid:699b6458-60da-4f52-b1b3-34915dc01eb6",
  "version": 1,
  "metadata": {
    "timestamp": "2020-08-03T01:28:52.765Z",
    "tools": [
      {
        "vendor": "CycloneDX",
        "name": "Node.js module",
        "version": "2.0.0"
      }

Mặc dù việc tạo và duy trì SBOM có thể là một thách thức lớn, đặc biệt với các sản phẩm phức tạp và chuỗi cung ứng dài, nhưng đây lại là một yêu cầu then chốt để quản lý rủi ro chủ động và phản ứng nhanh chóng với các mối đe dọa mới. 

Nghĩa vụ trong chuỗi cung ứng sản phẩm kỹ thuật số

Trong bối cảnh này, CRA tác động đến bất kỳ nhà sản xuất nào muốn đưa sản phẩm trong phạm vi vào thị trường EU, bất kể họ có thành lập trong EU hay không. Theo đó, các chủ thể trong chuỗi sản phẩm ở bất kỳ quốc gia nào bán sản phẩm trong EU sẽ phải đánh giá xem sản phẩm của họ có nằm trong phạm vi của CRA hay không. Nếu có, cần phải thực hiện tất cả các yêu cầu có liên quan bắt nguồn từ CRA nếu họ có ý định tiếp tục bán sản phẩm của mình tại EU.

Đối với nhà sản xuất & nhà phát triển phần mềm

• Đánh giá rủi ro an ninh mạng: Thực hiện và lập hồ sơ đánh giá rủi ro cho từng sản phẩm.
• Quản lý lỗ hổng: Thiết lập một quy trình rõ ràng về sản xuất, thiết kế sản phẩm; quy trình tiếp nhận báo cáo lỗ hổng, xử lý và phát hành bản vá một cách kịp thời và miễn phí trong suốt vòng đời hỗ trợ của sản phẩm (tối thiểu 5 năm hoặc theo dự kiến sử dụng).
• Cung cấp tài liệu rõ ràng: Hướng dẫn sử dụng phải bao gồm cả về cách cấu hình an toàn, vòng đời hỗ trợ, sản phẩm phải có đầy đủ DoC và dấu CE, tài liệu phải lưu giữ ít nhất 10 năm.
• Nghĩa vụ báo cáo nghiêm ngặt: Phải báo cáo bất kỳ lỗ hổng nào bị khai thác hoặc các sự cố nghiêm trọng cho cơ quan chức năng trong vòng 24 giờ và những thông báo tiếp theo sẽ được yêu cầu trong vòng 72 giờ và 14 ngày.
• Trách nhiệm tuyệt đối: Chịu trách nhiệm về các thiệt hại do sản phẩm thiếu an toàn bất kể lỗi là gì.

Nhà sản xuất là mắt xích trọng yếu trong chuỗi an ninh mạng

Đối với nhà nhập khẩu & nhà phân phối

• Kiểm tra thông tin: Đảm bảo sản phẩm có dấu CE và các tài liệu kỹ thuật đi kèm.
• Xác minh nghĩa vụ của nhà sản xuất: Yêu cầu và kiểm tra xem nhà sản xuất đã hoàn thành các nghĩa vụ hay chưa. Nếu phát hiện sản phẩm không tuân thủ, nhà nhập khẩu và phân phối có nghĩa vụ báo cáo và không được đưa sản phẩm đó ra thị trường.
• Lưu trữ hồ sơ: Lưu trữ thông tin và tuyên bố về sự phù hợp ít nhất 10 năm (đối với nhà nhập khẩu).

Người quản lý mã nguồn mở

• Trở thành tác nhân kinh tế chịu trách nhiệm trong chuỗi cung ứng phần mềm.
• Chủ động phối hợp quản lý, giảm rủi ro bảo mật, hợp tác để tạo ra các thông số kỹ thuật và tiêu chuẩn chung.

Các bên liên quan đều chia sẻ trách nhiệm đảm bảo sản phẩm kỹ thuật số tuân thủ tiêu chuẩn CRA

CRA là cơ hội vàng

CRA của EU được các chuyên gia đánh giá là một cột mốc pháp lý quan trọng, có khả năng thiết lập tiêu chuẩn an ninh mạng toàn cầu, tương tự như tầm ảnh hưởng của GDPR đối với quyền riêng tư dữ liệu. Như Ủy viên Thị trường Nội bộ EU, ông Thierry Breton, đã nhấn mạnh, mục tiêu cốt lõi của CRA là chuyển gánh nặng bảo mật từ người tiêu dùng và doanh nghiệp sang các nhà sản xuất.

Về mặt pháp lý, lợi ích của CRA vượt xa việc tuân thủ đơn thuần. Bằng cách áp đặt một bộ quy tắc an ninh mạng hài hòa hóa trên toàn bộ 27 quốc gia thành viên, CRA loại bỏ sự phân mảnh pháp lý, cho phép các doanh nghiệp, đặc biệt là các nhà xuất khẩu vào EU, dễ dàng tiếp cận thị trường mà không phải đối mặt với một mê cung các quy định chồng chéo.

Về mặt kinh tế, việc đầu tư vào an ninh mạng từ giai đoạn đầu không chỉ giúp doanh nghiệp giảm thiểu chi phí khổng lồ liên quan đến khắc phục sự cố và vi phạm dữ liệu, mà còn xây dựng một lợi thế cạnh tranh bền vững.

CRA mở ra cơ hội vàng cho các doanh nghiệp toàn cầu thâm nhập vào thị trường EU

Hơn nữa, CRA được kỳ vọng sẽ trở thành chất xúc tác mạnh mẽ cho niềm tin số. Khi các sản phẩm từ thiết bị IoT đến phần mềm doanh nghiệp đều phải đáp ứng một 'tiêu chuẩn vàng' về an ninh, niềm tin của người tiêu dùng và các đối tác kinh doanh sẽ được củng cố vững chắc. Sự tin cậy này là nền tảng để thúc đẩy nhu cầu, kích thích sự đổi mới và tăng cường sức mạnh của thị trường chung kỹ thuật số EU, khẳng định vị thế của EU như một khu vực dẫn đầu về một không gian mạng an toàn và đáng tin cậy.

Kết luận

Cyber Resilience Act của EU không chỉ là một bộ luật, mà còn là cơ hội để các chủ thể bứt phá và khẳng định vị thế trên thị trường toàn cầu. Thời gian chuyển tiếp 36 tháng là 'vạch xuất phát' cho những ai sẵn sàng đón nhận thay đổi, biến thách thức thành lợi thế cạnh tranh. Chủ động tuân thủ từ hôm nay, đồng nghĩa với việc mở cánh cửa bước vào sân chơi quốc tế, xây dựng uy tín thương hiệu và tạo niềm tin từ thị trường khó tính nhất.

Tham khảo

Cyber Resilience Act

What to know about the EU Cyber Resilience Act

EU cybersecurity rules for smart devices enter into force

Software Bill of Materials (SBOM) | CISA