אָרגאַניזאַציעס האָבן פֿאַרבראַכט יאָרן זיך קאָנצענטרירט אויף זיך זיכער מאַכן. אָבער ווי דער סייבער רעזיליענס אַקט (CRA) קומט אָן, פֿאַרשיבט זיך דער פאָקוס אויף די פּראָדוקטן אויף וועלכע זיי פֿאַרלאָזן זיך, און די צושטעל קייטן הינטער זיי.
אין די לעצטע יאָר די אימפּלעמענטאַציע פון דער NIS2 דירעקטיווע דאָמינירט באָרד רומס איבער אייראָפּע. אָרגאַניזאַציעס האָבן זיך געמוטשעט צו אָפּשאַצן ריזיקע ויסשטעל, פֿאַרשטאַרקן זייער צוטריט קאָנטראָל, און זיכער מאַכן אַז זייער אינערלעכע אָפּעראַציאָנעלע ווידערשטאַנד איז געווען לויטן קאָד.
אבער זיכער מאכן אייער ארגאניזאציע איז נאר האלב די קאמף ווען די דריט-פארטיי מכשירים וואס ארבעטן אינעווייניג קענען אריינברענגען אייגענע שוואכקייטן.
איצט, דער רעגולאַטאָרישער פאָקוס ווערט ברייטער פֿון די קויפֿער פֿון טעכנאָלאָגיע צו די בויער דערפֿון. מיט דעם אי.יו. סייבער רעזילענס אקט (CRA) איז אריין אין קראַפט שפּעט אין 2024, אַנטוויקלט זיך די עפאכע פון דער "זיכערער אָרגאַניזאַציע" שנעל אין דער עפאכע פון דעם "זיכערן פּראָדוקט".
פֿאַר זיכערהייט פירער, מיינט דאָס אַז סופּליי טשיין גאַווערנאַנס וועט באַלד ווערן באַדייטנד שטרענגער. די טעג פון זיך פֿאַרלאָזן אויף בלינד צוטרוי און סטאַטישע פֿאַרקויפֿער פֿראַגעבאָגן זענען פֿאַרביי. דאָ איז פאַרוואָס די CRA ענדערט די כּללים פֿון באַטייליקונג, און פאַרוואָס דער סעפּטעמבער 2026 מיילשטיין איז דער וועק-אַפּ רוף וואָס די אינדוסטריע דאַרף.
דער סעפטעמבער 2026 מיילשטיין פירט צו א 24-שעה רעאליטעט טשעק
כאָטש די פולע וואָג פון די CRA'ס קאָמפּרעהענסיוו "זיכער דורך דיזיין" און CE מאַרקינג רעקווייערמענץ וועט נישט נעמען קראַפט ביזן 11טן דעצעמבער 2027, קומט די ערשטע גרויסע אָפּעראַציאָנעלע ענדערונג פיל פריער.
ביזן 11טן סעפטעמבער, 2026, וועט ארטיקל 14 פון די CRA איינפירן פארפליכטעטע, געשעעניש-אויסגערופענע וואַלנעראַביליטי רעפּאָרטינג. פאַבריקאַנטן פון פּראָדוקטן מיט דיגיטאַלע עלעמענטן, וואָס שפּאַנען סיי האַרדווער און סיי ווייכווארג, מוזן מעלדן אַקטיוו אויסגעניצטע וואַלנעראַביליטיז צו דער אייראפעישער פֿאַרבאַנד אַגענטור פֿאַר סייבערזיכערהייט (ENISA) און זייער נאַציאָנאַלער קאָמפּיוטער זיכערהייט אינצידענט רעספּאָנס מאַנשאַפֿט (CSIRT).
די צייט-פלאן איז קורץ, און פארלאנגט א פריע מעלדונג אן אומנייטיקע פארשפעטיגונג (אפט אינטערפרעטירט אלס אינערהאלב 24 שעה), נאכגעפאלגט דורך מער דעטאלירטע באריכטן ווי די אויספארשונגען גייען פאראויס.
אלס עקליפסיום'ס טשייס סניידער הערות אין א פרישער אנאליז, "די CRA אנטהאלט אויך צאלרייכע קלאוזלען וואס פארלאנגען 'צייטיקע' מעלדונג, אפענטלעכונג און פאררעכטן ארום שוואכקייטן," מיט דורכפירונג וואס ווערט פארשטארקט ביז סעפטעמבער 2026.
קריטיש, די פליכט גילט פאר פראדוקטן שוין אויפן אי.יו. מארקעט וואס ווערן נאך געשטיצט אדער אויפגעהאלטן, נישט נאר נייע ווייכווארג אויסגאבעס.
פֿאַר פֿירמע קויפֿער, שאַפֿט דאָס אַ באַדײַטנדיקן עפֿעקט פֿון גרויסע מעגלעכקייטן אין די ריזיקע פֿון צושטעלן קייט. אויב אײַערע פֿאַרקויפֿער פֿאַרלאָזן זיך אויף אָפֿן-קוואַל קאָמפּאָנענטן וואָס זענען שוין אין סוף (EOL) און עס פֿעלט זיי די אינערלעכע גאַווערנאַנס צו פֿאַרפֿאָלגן זיי, ווערט זייער דורכפֿאַל פֿון קאָנפֿאָרמאַנס שנעל אײַער אָפּעראַציאָנעלע שוואַכקייט.
איבערבריקן דעם ריס ווען NIS2 טרעפט זיך מיט די CRA
כדי צו פֿאַרשטיין די צוקונפֿט פֿון סופּליי טשיין גאַווערנאַנס, מוז מען קוקן ווי NIS2 און די CRA פּאַסן צוזאַמען. זיי זענען נישט קאָנקורירנדיקע ראַמען; זיי זענען קאָמפּלעמענטאַרע דימענסיעס פֿון דעם זעלבן גאַנצקייטלעכן ווידערשטאַנד מאָדעל.
NIS2 איז ארגאניזאציע-צענטרירט. עס פארלאנגט אז עסענציעלע און וויכטיגע ענטיטעטן זאלן פארוואלטן ריזיקעס איבער זייערע אפעראציעס, אריינגערעכנט טיפע דריט-פארטיי אפהענגיקייטן. עס פרעגט, "זענען אייערע אפעראציעס ווידערשטאנדספעאיק צו שטערונגען, אריינגערעכנט סופלייער דורכפאל?"
CRA איז פּראָדוקט-צענטרירט. עס רעגולירט די פאַקטישע האַרדווער און ווייכווארג וואָס פליסט דורך יענער צושטעל קייט. עס פארלאנגט זיכערהייט-דורך-דיזיין, קאָנטינויִערלעכע לעבן-ציקל דערהייַנטיקונגען, און שטרענגע וואַלנעראַביליטי האַנדלינג. עס פרעגט, "זענען די מכשירים וואָס איר דיפּלוייז פונדאַמענטאַל זיכער?" ווי מעטיקולאָוס ריסערטש אונטערשטרייכט אין זייער OT/ICS מאַרק אַנאַליז, "CRA'ס SBOM פארלאנג... שאפט א סטרוקטורעלן דרייווער פאר וואַלנעראַביליטי מאַנאַגעמענט טולינג" אריבער NIS2 און CRA סקאָפּעס.
אַסעט אייגנטימער אונטער NIS2 זענען נישט פּאַסיווע באַטייליקטע אין דעם וועקסל. זיי בלייבן פאַראַנטוואָרטלעך פֿאַר אַססעססינג און פאַרוואַלטן סאַפּלייער ריזיקירן אָבער וועלן מער און מער פאַרלאָזן זיך אויף די CRA קאַמפּליאַנס פון זייערע סאַפּלייערז ווי טייל פון דעם פארזיכערונג מאָדעל.
דער סוף פון "סטאַטיש" צוטרוי
היסטאָריש, האָט צושטעל-קייט גאַווערנאַנס זיך פֿאַרלאָזט אויף סטאַטישע דאָקומענטאַציע. אַ פֿאַרקויפֿער האָט אויסגעפֿילט אַ יערלעכן זיכערהייט פֿראַגעבאָגן, איבערגעגעבן אַ SOC 2 באַריכט, און צוטרוי איז געגרינדעט געוואָרן, לפּחות אויף פּאַפּיר.
אונטער די CRA, איז סטאַטישע צוטרוי נישט מער גענוג.
די רעגולאציע פירט איין קאנטינעווער לעבנס-ציקל פארוואלטונג. ווען א פארקויפער איז געצוואונגען צו האלטן א דינאמישע ווייכווארג רעכענונג פון מאטעריאלן (SBOM) און אקטיוו מעלדן חסרונות אין א באשטימטן צייט-פלאן, מוז דער קויפער האבן די מעכאניזמען אין פלאץ צו באקומען, פארארבעטן, און האנדלען אויף די דאטן אין רעאל-צייט.
"CRA פארברייטערט די פֿאַראַנטוואָרטלעכקייט טיף אין צושטעל קייטן," דערקלערט דזשאָו יוז, וויצע־פּרעזידענט פון סופּליי טשיין ריזיקאָ מאַנאַגעמענט, פאָרטרעסס אינפֿאָרמאַציע זיכערהייט. "קאָנטראַקטן דאַרפן איצט קלאָר אויסלייגן סאַפּלייער פֿאַרפליכטונגען, אַרייַנגערעכנט SBOMs".
דערצו, די קאמערציעלע איינזיכטן זענען קיינמאל נישט געווען העכער. אויב א קריטישער ווייכווארג פארקויפער קען נישט מקיים זיין די CRA'ס פראדוקט זיכערהייט רעקווייערמענץ ביזן דעצעמבער 2027 דעדליין, וועט זייער פראדוקט ווערן בארויבט פון זיין CE מארקירונג. אן א CE מארק, קען עס נישט לעגאל פארקויפט אדער גענוצט ווערן אין דעם אי.יו. מארק.
פֿאַר פּראָקורעמענט טימז, דאָס הייבט CRA קאַמפּליאַנס פֿון אַ טעכנישער פֿײַנקייט צו אַ פֿונדאַמענטאַלע קאמערציעלע פֿאָדערונג. אויב אײַער סאַפּלייער איז נישט קאַמפּליאַנט, קענט איר זײַן לעגאַל געצוואונגען צו ריפּן און פאַרבײַטן זייער ווייכווארג, וואָס פֿירט צו אָפּעראַציאָנעלע שוועריקייטן.
בויען אַן אַקטיווע סאַפּליי טשיין סטראַטעגיע
די רעגולאַטאָרישע ענדערונג רעפּרעזענטירט אַ גרויסע געלעגנהייט פֿאַר פֿאָרויס-טראַכטנדיקע CISOs צו גיין פֿון דעפֿענסיווע, אָפּהאַקן-קעסטל קאָנפאָרמאַנס צו אַקטיווע, רעוועך-שיצנדיקע גאַווערנאַנס. כּדי זיך צוצוגרייטן פֿאַר די 2026 און 2027 CRA דעדליינז צוזאַמען מיט אָנגייענדיקע NIS2 פֿאַרפֿליכטונגען, מוזן פֿירער האַנדלען איצט:
פארלאנגען טראַנספּאַרענץ פריוואַרט נישט ביז סעפּטעמבער 2026 צו פרעגן אייערע פארקויפער ווי זיי פּלאַנירן צו האַנדלען מיט די ENISA באַריכט רעקווייערמענץ. פאַרבעסערן CRA-גרייטקייט אין אייערע פּראָקורעמענט קאָנטראַקטן און פארקויפער עוואַלואַציעס הייַנט.
מאַפּע די "נישט זעבארע" אָפּהענגיקייטןניצט דעם לעגיסלאטיווען דרוק פאר SBOMs צו באקומען אמתע זעאונג אין פערט- און פינפט-פארטיי ריזיקעס. פארשטייט וועלכע אפען-קוואל פריימווערקס זענען באגראבן אינעווייניג פון די קאמערציעלע אפ-די-שעלוו (COTS) פראדוקטן אויף וועלכע איר פארלאזט זיך.
פאַראייניקן אייער ריזיקע-בליקפאַרוואַלטן פארקויפער ריזיקע אַריבער NIS2, DORA, און די CRA ניצן פראַגמענטירטע ספּרעדשיטס איז אַ רעצעפּט פֿאַר פאַרפעלטע דעדליינז און בלינדע פלעקן. איבערגאַנג צו דינאַמישע, פאַראייניקטע גאַווערנאַנס פּלאַטפאָרמעס וואָס פֿאַרבינדן פארקויפער פּראָופיילז, אינצידענט לאָגס, און קאַמפּליאַנס סטאַטוסעס גלייַך צו דיין צענטראל ריזיקע רעגיסטער.
"פירער קענען באהאנדלען CRA ווי א קאטאליזאטאר צו בויען שטארקערע, מער טראנספארענטע און מער ווידערשטאנדספעאיקע צושטעל קייטן," לויט OPSWAT'ס ראָאַדמאַפּ אויף ווייכווארג קאמפלייענס.
ווידערשטאנדסקראפט איז שוין נישט קיין אפגעזונדערטע געניטונג
די רעגולאַטאָרישע לאַנדשאַפט שיקט אַ קלאָרע מעסעדזש: ווידערשטאַנד איז ניט מער אַן אפגעזונדערטע אינערלעכע געניטונג. ווי דער פאָקוס טוישט זיך פון זיכערע אָרגאַניזאַציעס צו זיכערע פּראָדוקטן, ווערט צושטעל-קייט גאַווערנאַנס די לעצט וועריפיקאַציע שיכט פֿאַר געשעפט פעסטקייט.
דורך אננעמען דעם וועקסל יעצט, גרייט איר זיך נישט נאר צו פאר א רעגולאטורישן דעדליין. איר בויט א וועריפיצירטע, פארהארטעוועטע צושטעל קייט וואס באשיצט אייער אפעראציאנעלע אפטיים און פארשנעלערט אייער וואוקס אין אן אלץ מער אומשטענדלעכער דיגיטאלער וועלט.
יקספּאַנד דיין וויסן
בלאָג: צושטעל קייטן זענען קאָמפּלעקס, אומקלאָר און נישט זיכער: רעגולאַטאָרן פאָדערן בעסער
פירער: סיקיורינג די צושטעלן קייט
וועבינאַר: האר סופּפּלי קייט העסקעם: אַקטיאָנאַבלע סטעפּס צו רעדוצירן ריזיקירן און ענשור ריזיליאַנס
