Немного о зарубежной регулиторике. В разговоре с коллегами иногда можно услышать мнение о том, что им там проще работать, потому что у них нет ГОСТов или Честного знака. Спешу расстроить или обрадовать. Вот с чем столкнуться, в том числе, вендоры, которые производят оборудование для встраиваемого применения. 11 декабря 2027 года в EC вступает закон о киберустойчивости (CRA). С этой даты все производители продукции с цифровыми элементами, поставляемой в ЕС, включая программное обеспечение, устройства IoT, системы OT, медицинское оборудование, сетевое оборудование и встроенные системы, обязаны сообщать об активно используемых уязвимостях в течение 24 часов в ENISA и назначенные национальные группы реагирования на киберугрозы (CSIRT). Это относится даже к устаревшей продукции, которую вы поставляли много лет назад. Производители обязаны выявлять и документировать уязвимости и компоненты, содержащиеся в продуктах, в том числе путем составления спецификации программного обеспечения в общепринятом и машиночитаемом формате, охватывающей как минимум зависимости верхнего уровня. 🔹Раннее предупреждение в течение 24 часов 🔹Подробный отчет об уязвимостях в течение 72 часов 🔹Окончательный отчет об исправлении в течение 14 дней Соблюдение строго обязательно, иначе миллионные штрафы. Разумеется, уже предлагаются определенные решения, которые позволяют контролировать спецификации продукта и мониторить уязвимости в режиме реального времени, чтобы узнать затрагивает ли уязвимость ваше изделие. Еще есть желание поставлять продукцию в EC? #IIoT #Embedded #Market ✌️ Встраиваемые системы. Подписаться.