11 września zaczną obowiązywać pierwsze wymogi raportowe wynikające z Cyber Resilience Act. Obejmą producentów określonych produktów z elementami cyfrowymi, w tym oprogramowania i urządzeń połączonych.
W przypadku aktywnie wykorzystywanej podatności albo poważnego incydentu pierwsze ostrzeżenie może być wymagane w ciągu 24 godzin od uzyskania informacji o zdarzeniu. Na pełniejsze zgłoszenie przewidziano 72 godziny.
To mało czasu, jeśli wiadomość od zespołu technicznego najpierw trafia do project managera, później do CTO, następnie do osoby odpowiedzialnej za compliance, a dopiero na końcu do zarządu lub działu prawnego.
Dlatego przed wrześniem przeprowadźcie prostą symulację.
Developer wykrywa podatność w piątek po południu. Gdzie ją zgłasza? Kto ocenia jej znaczenie? Kto może zdecydować o zawiadomieniu? Co się dzieje, jeśli jedna z tych osób jest niedostępna?
Jeżeli odpowiedzi trzeba dopiero szukać, firma nie ma jeszcze gotowego procesu, nawet jeśli dokument opisujący incydenty znajduje się na dysku.
Sprawdźcie również umowy z podwykonawcami. Firma nie zgłosi na czas zdarzenia, o którym jej dostawca poinformuje ją po kilku dniach. |