Репортаж от Wedoany，В последнее время регулирование жизненного цикла подключенных устройств, программных продуктов и критически важных сетевых активов в Европе и США продолжает ужесточаться. Закон ЕС о киберустойчивости (Cyber Resilience Act, CRA) будет полностью применяться с 11 декабря 2027 года, требуя, чтобы «продукты с цифровыми элементами», размещаемые на рынке ЕС, постоянно соответствовали требованиям кибербезопасности на этапах проектирования, разработки, вывода на рынок и технического обслуживания. Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) также продвигает такие стандарты информации о жизненном цикле, как OpenEoX, для повышения прозрачности данных о прекращении производства, прекращении продаж, прекращении поддержки безопасности и окончании жизненного цикла программного и аппаратного обеспечения.

Общая направленность этих регуляторных изменений заключается в том, чтобы поместить циклы обновления программного обеспечения, сроки службы аппаратного обеспечения и ответственность за кибербезопасность в единые рамки соответствия. В прошлом для промышленного оборудования, сетевого оборудования, медицинских устройств, терминалов Интернета вещей и встроенных систем часто существовала проблема несоответствия: «аппаратное обеспечение еще работает, а программное обеспечение уже не поддерживается». Устройства продолжают работать в сети, но операционные системы, прошивки, драйверы, компоненты с открытым исходным кодом или модули удаленного управления больше не получают исправлений безопасности, что в конечном итоге превращает проблему жизненного цикла отдельного продукта в риск для цепочки поставок и критической инфраструктуры.

CRA ЕС является одним из правил, которые в настоящее время наиболее непосредственно влияют на процессы проектирования продуктов и вывода их на рынок. Официальные разъяснения ЕС показывают, что этот закон распространяется на цифровые продукты, включая аппаратное и программное обеспечение, и требует от производителей выявлять и устранять уязвимости на протяжении всего жизненного цикла продукта, предоставлять обновления безопасности и обеспечивать наличие базовых возможностей кибербезопасности при размещении продукта на рынке. CRA вступил в силу в декабре 2024 года, обязательства по отчетности об уязвимостях и серьезных инцидентах начнут применяться с 11 сентября 2026 года, а основные обязательства будут полностью применяться с 11 декабря 2027 года.

Это означает, что в будущем предприятия не смогут ограничиваться разовым тестированием безопасности перед выпуском продукта; им потребуется создать непрерывный механизм послепродажного обслуживания, выпуска исправлений, реагирования на уязвимости, ведения технической документации, составления спецификации материалов (SBOM) и планирования прекращения поддержки. Для таких продуктов, как промышленные контроллеры, интеллектуальные счетчики, коммуникационные шлюзы, маршрутизаторы, медицинское оборудование, терминалы умного дома и автомобильная электроника, необходимо заранее согласовывать версии программного обеспечения, чип-платформы, операционные системы, зависимости с открытым исходным кодом и сроки ремонтопригодности аппаратного обеспечения. Если продукт рассчитан на длительный срок службы аппаратного обеспечения, предприятие должно одновременно продумать, сможет ли поддержка обновлений безопасности программного обеспечения охватить соответствующий период.

Изменения в США в большей степени отражаются в федеральном управлении кибербезопасностью и инструментах стандартизации. В 2026 году CISA подчеркнула ценность внедрения OpenEoX — международного стандарта OASIS OPEN, целью которого является стандартизация обмена информацией о жизненном цикле в индустрии программного и аппаратного обеспечения, включая такие ключевые моменты, как прекращение продаж, прекращение поддержки и прекращение поддержки безопасности. CISA считает, что такая машиночитаемая информация о жизненном цикле может помочь организациям быстрее выявлять в сети продукты, срок поддержки которых приближается к концу или уже истек, и заблаговременно включать замену, исправление и обработку рисков в процессы управления уязвимостями.

Для производственных предприятий изменения правил в Европе и США приведут к трем видам прямых последствий. Во-первых, менеджерам по продуктам необходимо на этапе инициации проекта четко определить, соответствует ли жизненный цикл программного обеспечения жизненному циклу аппаратного обеспечения; нельзя строить долгосрочно эксплуатируемое промышленное оборудование на программных компонентах с коротким циклом. Во-вторых, командам разработки и комплаенса необходимо включить в стандартные процессы реагирование на уязвимости, выпуск исправлений, SBOM, управление компонентами с открытым исходным кодом и раскрытие информации об окончании срока службы (EOL) и окончании поддержки (EOS). В-третьих, командам продаж и послепродажного обслуживания необходимо четко разъяснять клиентам сроки обновлений безопасности, границы поддержки и планы вывода из эксплуатации, чтобы избежать длительной «работы с уязвимостями» оборудования на площадке клиента.

Влияние на промышленный и медицинский секторы может быть более заметным. Промышленное оборудование обычно имеет длительный цикл развертывания, высокую стоимость замены на месте; один контроллер, шлюз или детектор может работать более десяти лет. Медицинские устройства также связаны с регистрацией, валидацией, клиническим использованием и безопасностью данных, и не могут произвольно прекращать обновления или заменять системы. Если срок поддержки программного обеспечения короче фактического срока службы аппаратного обеспечения, предприятия столкнутся с совокупным давлением требований комплаенса, кибербезопасности и послепродажной ответственности. После 2027 года возможность «устойчивого поддержания безопасности» продукта, вероятно, станет важным предварительным условием для выхода на европейский рынок, участия в государственных закупках и обслуживания клиентов в ключевых отраслях.

Это также изменит способы взаимодействия в цепочке поставок. Производителям чипов, модулей, поставщикам операционных систем, разработчикам компонентов с открытым исходным кодом, производителям устройств и системным интеграторам потребуется более четко передавать информацию о жизненном цикле. Как только вышестоящий компонент прекращает поддержку безопасности, нижестоящему предприятию-производителю конечного оборудования необходимо оценить варианты замены, изоляции, обратного портирования исправлений или вывода продукта из эксплуатации. Машиночитаемые стандарты, такие как OpenEoX, SBOM, VEX и уведомления об уязвимостях, станут важными инструментами для включения информации о жизненном цикле в системы управления активами и рисками.

Однако регулирование в Европе и США не требует, чтобы все аппаратное и программное обеспечение имело абсолютно одинаковый срок службы. Более точное изменение заключается в следующем: предприятия должны доказать, что ответственность за кибербезопасность на протяжении жизненного цикла продукта управляема, отслеживаема и раскрываема, и что аппаратное обеспечение, все еще находящееся на рынке и работающее у клиентов, не может долгое время зависеть от неподдерживаемого программного обеспечения. Для китайских экспортеров, производителей промышленного оборудования, компаний Интернета вещей и поставщиков встроенного программного обеспечения 2027 год станет ключевым рубежом комплаенса при переходе от «поставки продукта» к «поставке поддерживаемого безопасного жизненного цикла».

В дальнейшем основное внимание будет сосредоточено на сопутствующих руководствах к CRA ЕС, списке гармонизированных стандартов, путях оценки соответствия, ходе внедрения OpenEoX федеральными агентствами США, а также на том, как транснациональные корпорации встраивают управление жизненным циклом программного и аппаратного обеспечения в системы PLM, R&D, послепродажного обслуживания и управления уязвимостями. Новые правила Европы и США, начиная с 2027 года, способствуют согласованию жизненных циклов программного и аппаратного обеспечения, что свидетельствует о переходе комплаенса цифровых продуктов от разовой сертификации к этапу полного цикла надзора, охватывающего проектирование, производство, вывод на рынок, обслуживание, вывод из эксплуатации и реагирование на уязвимости.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com