Šta donose izmjene Evropske direktive o radijskoj opremi?

U digitalnom dobu, gdje sve veći broj uređaja komunicira bežično i razmjenjuje osjetljive podatke, kibernetička sigurnost više nije opcija – ona postaje neizostavan dio svakog tehnološkog proizvoda. Evropska unija prepoznala je ovu potrebu i kroz nadogradnju postojećeg zakonodavnog okvira, Direktive o radijskoj opremi (RED), uvodi obavezu integrisanja mjera cyber sigurnosti u svu radioopremu koja se stavlja na tržište

Pripremio: Nermin Kabahija; E-mail: redakcija@asadria.com

Radio Equipment Directive 2014/53/EU, skraćeno RED direktiva, pravni je okvir koji reguliše uslove pod kojima se radiooprema može plasirati na tržište Evropske unije kako bi se osigurala njena sigurnost, efikasnost i tehnička kompatibilnost. Iako je prvobitno bila fokusirana na tehničke aspekte, poput usklađenosti s radiofrekvencijskim spektrom, izmjene koje stupaju na snagu 1. augusta 2025. znatno proširuju njen domet budući da sada uključuju i kibernetičku sigurnost kao obavezni dio usklađivanja s regulatornim zahtjevima.

Trogodišnji rok istekao

Od navedenog datuma, svi proizvođači određene radioopreme morat će dokazati da njihovi proizvodi posjeduju odgovarajuću zaštitu od neovlaštenog pristupa, krađe podataka i zloupotrebe, bez obzira na to da li im je bežična komunikacija glavna funkcija. To se odnosi na širok spektar uređaja: od pametnih telefona, satova i kućanskih aparata s Wi-Fi ili Bluetooth povezivošću do industrijskih senzora i drugih povezanih sistema. RED direktiva sada podrazumijeva obaveznu procjenu rizika, implementaciju sigurnosnih mjera, ažuriranja softvera te odgovarajuću tehničku dokumentaciju. Ova promjena ima dalekosežan značaj. Ona ne samo da podiže nivo zaštite korisnika i kompanija unutar EU-a već postavlja i nove standarde koji bi mogli oblikovati praksu i izvan granica Unije. Važno je naglasiti: 1. august 2025. nije puki administrativni rok – to je ključni trenutak kada kibernetička sigurnost postaje uslov za pristup evropskom tržištu.

Izmjene RED direktive koje se odnose na cyber sigurnost – konkretno članovi 3(3)(d), (e) i (f) – formalno su usvojene 29. oktobra 2021. kroz Delegiranu uredbu (EU) 2022/30 Evropske komisije. Ova uredba propisuje dodatne sigurnosne zahtjeve za određene kategorije radioopreme, uz prijelazni period koji ističe 1. augusta 2025, čime su proizvođači dobili skoro tri godine za prilagođavanje proizvoda, dokumentacije i procesa.

Viđenje stručnjaka

Pitanje kibernetičke sigurnosti u kontekstu nove regulative Evropske unije izazvalo je značajnu pažnju među proizvođačima i regulatorima širom svijeta. Joakim Mark, stručnjak iz oblasti kibernetičke sigurnosti i menadžer Common Criteria laboratorije pri kanadskoj kompaniji Intertek, dao je na portalu www.intertek.com svoje stručno viđenje ključnih izazova i promjena koje donose nadolazeće izmjene RED direktive, koje stupaju na snagu 1. augusta 2025. godine. Mark je u analizi istakao da su nova pravila važan iskorak u oblasti sigurnosti radioopreme, ali i dodatno opterećenje za proizvođače koji će svoje proizvode morati uskladiti s tehničkim i sigurnosnim zahtjevima daleko većeg obima nego ranije.

“Usklađenost sa standardima kibernetičke sigurnosti je neupitna. RED direktiva u 2025. godini više nije samo vezana za radijske talase, ona postaje ključni dokument kibernetičke sigurnosti. Ovo predstavlja veliku obavezu za proizvođače IoT uređaja, uključujući nosive tehnologije i industrijske senzore. Međutim, mnogi i dalje potcjenjuju obim ove direktive, iako se rok opasno približava”, kaže Mark.

Treba znati da se kibernetički zahtjevi iz člana 3.3 (d)-(f) RED direktive primjenjuju na proizvode s radijskom funkcionalnošću, čak i kada radijska funkcija nije njihova osnovna namjena. U pravilu, zahtjevi obuhvataju svu radijsku opremu koja je direktno ili indirektno povezana na internet, a pod određenim okolnostima, oni se mogu odnositi i na uređaje koji nisu povezani na internet. Proizvođači pametnih termostata, kućanske elektronike, industrijskih mašina pa čak i pametnih kućanskih aparata moraju također ispoštovati zahtjeve nove regulative. “Česta je zabluda da se usklađenost s regulativom odnosi samo na uređaje koji su primarno namijenjeni komunikaciji – no čak i ugrađeni komunikacijski interfejsi poput mobilne mreže, Wi-Fi-ja ili Bluetootha mogu aktivirati primjenu kibernetičkih zahtjeva iz direktive”, napominje Mark.

U pravilu, zahtjevi obuhvataju svu radijsku opremu koja je direktno ili indirektno povezana na internet, a pod određenim okolnostima, mogu se odnositi i na uređaje koji nisu povezani na internet

Kibernetička sigurnost

RED direktiva propisuje niz mjera koje se odnose na zaštitu mreže, sigurnost podataka i prevenciju prevara. To znači da uređaji moraju spriječiti neovlašten pristup i biti otporni na smetnje i ometanja u radu. “Osim toga, podaci korisnika moraju biti šifrirani i zaštićeni od kompromitacije, dok sigurnosni protokoli trebaju biti koncipirani tako da onemoguće lažno predstavljanje identiteta, izvršavanje neovlaštenih transakcija ili manipulaciju podacima”, ističe i upozorava da nepoštivanje ovih zahtjeva ne predstavlja samo regulatorni rizik – već može dovesti i do zabrane prodaje, povlačenja proizvoda s tržišta i ozbiljnih šteta po ugled kompanije.

RED direktiva postavlja presedan za kibernetičke standarde izvan granica EU-a i baš kao što je GDPR utjecao na globalne regulative o zaštiti podataka, tako i RED pokreće globalni pomak ka strožijim standardima sigurnosti u IoT sektoru. Proizvođači koji izvoze na međunarodna tržišta trebaju očekivati slične zahtjeve i u SAD-u, Azijsko-pacifičkoj regiji i drugim dijelovima svijeta.

Preporučeni koraci

Na pitanje koje poteze proizvođači opreme trebaju povući, Mark kaže da je prvi korak priprema revizije portfolija proizvoda kako bi se identificirali svi uređaji koji sadrže radijske komponente. “Nakon ovoga, preporučuje se korištenje harmonizovanog EU standarda EN 18031 serije, koji može poslužiti kao osnova za usklađivanje. Time se izbjegavaju skupe izmjene dizajna u kasnijoj fazi. Isto tako, potrebno je pripremiti i kompletnu tehničku dokumentaciju, uključujući procjenu rizika, identifikaciju sigurnosnih sredstava, logiku odlučivanja te verifikacijsko testiranje”, kaže stručnjak kompanije Intertek. Važno je napomenuti da ovaj standard sadrži i određena ograničenja koja treba pažljivo razmotriti. Procjena kibernetičkog rizika nije formalnost, to je temelj čitavog procesa. Prema RED direktivi, proizvođači su dužni identificirati ranjivosti već u ranoj fazi dizajna kako bi spriječili ozbiljne sigurnosne probleme prije nego što nastanu.

“Za proizvođače koji se odluče na samodeklaraciju, korištenje standarda EN 18031 serije je obavezno. Proces počinje identifikacijom sigurnosnih sredstava, što podrazumijeva mapiranje svih hardverskih i softverskih komponenti te tokova podataka unutar proizvoda, uz jasno razumijevanje šta tačno treba zaštititi. Slijedi modeliranje prijetnji, pri čemu se preporučuje korištenje metodologije STRIDE za analizu mogućih vektora napada, uključujući neovlašteni pristup uređaju (spoofing), fizičku ili digitalnu manipulaciju (tampering), izostanak traga audita kod transakcija (repudiation), curenje ili neovlašteni pristup podacima (information disclosure), zasićivanje uređaja saobraćajem (DoS) te neovlašteno stjecanje višeg nivoa pristupa (elevation of privilege)”, objašnjava Mark. Nakon toga slijedi izrada liste rizika i njihovo rangiranje prema vjerovatnoći nastanka i potencijalnom utjecaju.

Mogući scenarij iz prakse

Jedan proizvođač pametnih brava je tokom testiranja otkrio da nešifrirana Bluetooth komunikacija omogućava hakerima da zaobiđu mehanizam autentifikacije. Da je ova ranjivost otkrivena ranije, kompanija bi mogla izbjeći gubitke od nekoliko stotina hiljada eura kroz skupe opozive proizvoda i zaštitila bi svoj brend od štete po vlastitu reputaciju. Za kvalitetnu metodologiju procjene rizika preporučuje se standard ETSI TR 103935. Osim toga, redovno testiranje otpornosti na napade (penetration testing) pomaže u ranom otkrivanju ranjivosti, dok platforme kao što su MITRE ATT&CK omogućavaju praćenje najnovijih obrazaca napada i prijetnji.

Važnost standarda EN 18031

Standard EN 18031 nije samo još jedan tehnički dokument budući da i on predstavlja promjenu paradigme u načinu na koji se proizvodi razvijaju. Umjesto da se sigurnost tretira kao dodatak na kraju procesa, proizvođači sada moraju integrisati kibernetičku sigurnost u svaku fazu životnog ciklusa proizvoda, počevši od prvobitne ideje pa sve do povlačenja proizvoda s tržišta. “Jedan od osnovnih principa standarda EN 18031 je zaštita mreže”, napominje Mark i dodaje: ”Uređaji moraju biti projektovani tako da budu otporni na napade koji bi mogli ugroziti njihovu funkcionalnost. To podrazumijeva uvođenje sigurnosnih mjera kao što su šifrirani komunikacijski kanali i sistemi za detekciju anomalija, koji omogućavaju identifikaciju i neutralizaciju prijetnji prije nego što dovedu do incidenta.”

Drugi ključni stub jeste privatnost po defaultu jer korisnički podaci moraju biti zaštićeni od samog trenutka kada se uređaj aktivira. To uključuje obaveznu enkripciju podataka, stroge kontrole pristupa i mehanizme za jasno izražavanje pristanka korisnika, čime se eliminiše oslanjanje na fabričke postavke koje hakeri lako mogu iskoristiti.

“Uređaji koji obrađuju osjetljive finansijske transakcije moraju implementirati mehanizme za prevenciju prevara, među kojima je višefaktorska autentifikacija (MFA) neizostavna. Ovo je posebno važno u sektorima kao što su pametna plaćanja, gdje čak i manji sigurnosni propust može izazvati ozbiljne finansijske gubitke i regulatorne sankcije”, kaže Mark i ističe da sigurnost tokom čitavog životnog ciklusa uređaja predstavlja ključnu komponentu, zbog čega EN 18031 insistira na dugoročnoj podršci, uključujući redovno objavljivanje sigurnosnih zakrpa, ažuriranja firmvera i kontinuirano praćenje ranjivosti.

Umjesto da se sigurnost tretira kao dodatak na kraju procesa, proizvođači sada moraju integrisati cyber sigurnost u svaku fazu životnog ciklusa proizvoda, počevši od prvobitne ideje pa sve do povlačenja proizvoda s tržišta

Tehnička dokumentacija kao temelj

Tehnička dokumentacija nije samo administrativni zahtjev. Ona je, također, osnovni dokaz o usklađenosti proizvoda sa zahtjevima zaštite od kibernetičkih napada. U okviru RED direktive, proizvođači su sada obavezni dostaviti sveobuhvatnu dokumentaciju kojom potvrđuju da su njihovi uređaji razvijeni u skladu sa sigurnosnim standardima, i to prije objave Izjave o usklađenosti i prije postavljanja CE oznake. Bez te dokumentacije, proces samodeklaracije ili certifikacije od ovlaštenog tijela može biti odgođen sedmicama, pa čak i mjesecima, uz moguće kazne ili zabranu prodaje.

“Regulatorna tijela traže jasan dokaz da je proizvod projektovan, testiran i održavan u skladu sa zahtjevima RED direktive za kibernetičku sigurnost. Dokumentacija služi kao pravna zaštita, jer pruža transparentnost i mogućnost praćenja svake faze razvoja. Ukoliko se sigurnosni incident dogodi nakon stavljanja proizvoda na tržište, uredno vođena dokumentacija može dokazati da je proizvođač postupio s dužnom pažnjom i tako izbjeći odgovornost”, pojašnjava Mark. Prema njegovim riječima, mnogi proizvođači tretiraju dokumentaciju kao nešto što dolazi na kraju procesa, a to dovodi do nedostatka izvještaja o testiranju, nepotpunih procjena rizika i izostanka mehanizama za ažuriranje zastarjelih uređaja – što može znatno usporiti ili onemogućiti odobrenje za usklađenost.

Šta bi dokumentacija trebala sadržavati

Kompletna tehnička dokumentacija mora obuhvatiti detaljne izvještaje o procjeni rizika, u kojima su jasno navedene identificirane ranjivosti i mjere za njihovo ublažavanje. “Također, trebala bi sadržavati sažetke testiranja koji dokazuju da su provedeni odgovarajući sigurnosni testovi i procjene usklađenosti sa važećim standardima. Neophodne su i formalne izjave o usklađenosti, koje potvrđuju pridržavanje EN 18031 standarda i svih drugih relevantnih normi, a za samodeklaraciju, primjena EN 18031-serije je obavezna”, kaže on. Kako bi se proces dokumentacije pojednostavio i smanjili rizici neusklađenosti, preporučuje se uvođenje sistema za praćenje usklađenosti sa regulatornim zahtjevima, kojim se osigurava da su svi dokumenti ažurirani. Čak i uz snažnu strategiju, mogu se pojaviti rupe. Bilo da su rezultat promjenjivih prijetnji, previđenih ranjivosti ili pogrešnog tumačenja standarda, proizvođači moraju biti spremni da proaktivno prepoznaju i otklone slabosti u svojim sistemima sigurnosti.

Održavanje usklađenosti nakon lansiranja proizvoda

Proces usklađenosti s regulativom ne završava onog trenutka kada proizvod dospije na tržište. “Stvarnost je takva da se cyber prijetnje neprestano razvijaju, a s njima i regulatorni zahtjevi. Proizvođači moraju imati strategiju kojom će osigurati da njihovi proizvodi ostanu usklađeni s regulativama i sigurni i nakon lansiranja. U protivnom, rizikuju pojavu ozbiljnih ranjivosti, pravne posljedice i gubitak povjerenja korisnika”, kaže Mark najavljujući da će ovakav pristup uskoro postati zakonski obavezan kroz novu uredbu Evropske unije poznatu kao Akt o kibernetičkoj otpornosti (Cyber Resilience Act). Prema njoj, proizvođači su obavezni kontinuirano pratiti sigurnosne prijetnje, otklanjati ranjivosti i osigurati da njihovi proizvodi ostanu sigurni tokom čitavog životnog ciklusa. “Primjera radi, proizvođač IoT uređaja koji je 2024. lansirao pametni kućni hub u skladu s RED standardima može se, već do augusta 2025, suočiti s novom Bluetooth ranjivošću koju su otkrili istraživači kibernetičke sigurnosti, a koja omogućava neovlašteni pristup”, napominje Mark. Ukoliko kompanija nema strukturiran proces za nadogradnju i ako ne može dovoljno brzo prilagoditi postojeći proizvod, rizikuje povlačenje certifikata za nove serije tog modela, kao i negativne reakcije tržišta.

“Posljednjih nekoliko sedmica pred početak primjene RED direktive mogu odlučiti o uspješnom lansiranju proizvoda ili, pak, zaustaviti prodaju već postojećih uređaja koji se i dalje plasiraju na tržište EU”, zaključuje Mark.

Kibernetička sigurnost nije jednokratna obaveza, već stalna odgovornost. Samo proaktivan pristup nakon plasiranja proizvoda može osigurati dugoročnu sigurnost, očuvanje reputacije i potpunu usklađenost s regulativama.

Završno odbrojavanje je počelo

Dakle, uskoro počinje zvanična primjena RED regulative (Radio Equipment Directive), a to znači da proizvođači ulaze u ključnu fazu svojih priprema. Ovaj period je presudan. Sada je trenutak da se zatvore sve otvorene stavke, kompletira dokumentacija i riješe svi preostali sigurnosni izazovi. I najmanji propust, poput nedostajućeg dokumenta ili neuspjelog sigurnosnog testa, može dovesti do ozbiljnih kašnjenja i dodatnih troškova.

U ovoj završnoj fazi, od posebne je važnosti provjeriti da su sva testiranja i certifikacije dovršene, posebno kada je riječ o funkcionalnoj sigurnosti uređaja. Ako vaš proizvod još nije testirala nezavisna laboratorija, krajnje je vrijeme da angažujete stručnjake, poput IoT sigurnosnih laboratorija ili sličnih ovlaštenih tijela kako biste osigurali nepristrasnu provjeru usklađenosti.

Zapamtite da tehnička dokumentacija mora biti potpuna i spremna za dostavljanje najkasnije do 1. augusta ove godine, bilo da se odlučite za samoprocjenu ili idete putem certifikacije ovlaštenog regulatornog tijela. Uobičajeni razlozi za odbijanje certifikata uključuju nedostatak izvještaja nezavisnih laboratorija ili izjave o usklađenosti koje nisu propisno potpisane. Stoga je važno pažljivo provjeriti da svi potpisi, dozvole i odobrenja budu uključeni i validni.

Važno je imati na umu da se odgovornost za usklađenost ne završava samim dobijanjem certifikata. Ključan je i korak edukacije. Osoblje zaduženo za korisničku podršku mora biti obučeno kako bi znalo objasniti korisnicima način ažuriranja sigurnosnih funkcija i korištenja opcija zaštite. Samo tako krajnji korisnici mogu ispravno primijeniti preporučene sigurnosne mjere.

Proizvođači, oprez

Mnogi proizvođači u ovom trenutku prave kritične greške. Često se dešava da procjene rizika ostanu nepotpune, jer se zanemare ranjivosti u lancu nabavke. Također, rezultati testiranja koji su stariji od šest mjeseci mogu postati nevažeći u očima regulatornih tijela, pa se preporučuje njihovo ažuriranje. Osim toga, manjak koordinacije unutar tima, posebno između inžinjera, menadžera proizvoda i stručnjaka za usklađenost s regulativama, može dovesti do toga da određeni zahtjevi ostanu neispunjeni. Zbog toga bi svi uključeni trebali održati završni sastanak i zajednički provjeriti da je sve pripremljeno kako bi se izbjegla iznenađenja u posljednjem trenutku.

Na kraju, valja istaći da ovi posljednji dani mogu odlučiti sudbinu ne samo novog proizvoda na tržištu već i dalju prodaju postojećih uređaja koji se još proizvode i plasiraju unutar Evropske unije. Dobro organizovan i sveobuhvatan pregled usklađenosti u završnoj fazi može značiti razliku između uspješnog ulaska na tržište i ozbiljnih poslovnih posljedica.