От регулирования к реальности: автоматизация соблюдения требований CRA для продуктов по умолчанию...

Описание: Европейский закон о киберустойчивости (CRA) призван коренным образом изменить рынок программного обеспечения, вводя обязательные требования кибербезопасности для продуктов с цифровыми элементами. Для европейских МСП выполнение этих обязательств является критически важной задачей. Это особенно актуально для категории «стандартных» продуктов, которая, по оценкам Европейской комиссии, занимает примерно 90% рынка.

В этой презентации мы рассмотрим разрыв между нормативными требованиями и инструментами с открытым исходным кодом. Опираясь на опыт проекта OCCTET, финансируемого ЕС, рабочей группы Eclipse Open Regulatory Compliance Working Group (ORCWG) и активных усилий по стандартизации, эта сессия описывает практический путь к соблюдению требований.

Доклад разделен на две отдельные части:

Путь к соблюдению требований: Мы рассмотрим обязательства для МСП до и после выхода на рынок. Мы сосредоточимся на категории «продуктов по умолчанию» — где производители могут проводить самооценку — и опишем конкретные шаги, необходимые для достижения соответствия требованиям, начиная с обязательной для CRA «оценки рисков кибербезопасности», которая позволяет определить объем мероприятий по обеспечению безопасности.

Инструментальное решение: Мы продемонстрируем, как OSS Review Toolkit (ORT) — проект Linux Foundation — и размещенный на Eclipse сервер ORT-Server могут поддерживать эти обязательства. Мы рассмотрим, как ORT-Server поддерживает идентификацию программных активов, контроль управления и приоритизацию работы. ORT обрабатывает анализ программных компонентов (SCA), от сканирования и хранения исходного кода до анализа уязвимостей, оценки правил, генерации SBOM и документирования аудиторского следа. Мы отметим оставшиеся пробелы между инструментами и требованиями регулирования.

Участники получат четкое понимание того, где автоматизация может решить проблемы CRA, и какие ручные процессы по-прежнему необходимы для обеспечения киберустойчивости.

___

Эта запись была сделана во время конференции Code & Compliance - FOSDEM Edition, состоявшейся 29 января 2026 года в Брюсселе.

Для получения дополнительной информации о Рабочей группе по открытому соблюдению нормативных требований (ORC) и подробностей о предстоящих мероприятиях посетите сайт orcwg.org