Όταν o NIS 2 θεσπίστηκε, η Ευρώπη έστειλε ένα σαφές μήνυμα: η κυβερνοασφάλεια δεν είναι πλέον «add‑on», αλλά θεμελιώδης υποχρέωση για κρίσιμες υποδομές και παρόχους ψηφιακών υπηρεσιών. Ο κανονισμός έθεσε τις βάσεις για ισχυρή εταιρική διακυβέρνηση, συστηματικό incident reporting και αυστηρά πρόστιμα. Όμως, η πραγματική «τρύπα» στο τείχος παρέμενε: τα ίδια τα προϊόντα που διατρέχουν τα δίκτυά μας— IoT συσκευές, λογισμικό, βιομηχανικοί ελεγκτές—συχνά κυκλοφορούσαν χωρίς ελάχιστα standards ασφάλειας.
Εκεί ακριβώς πατά το Cyber Resilience Act (CRA), που τέθηκε σε ισχύ τον Δεκέμβριο 2024 και οδηγεί, έως το 2027, σε μια ευρωπαϊκή αγορά όπου «ανασφαλές» σημαίνει απλώς «εκτός ραφιού».
Σε αντίθεση με το NIS 2 που εστιάζει σε διαδικασίες, το CRA στοχεύει στο DNA του προϊόντος. Για πρώτη φορά, οι κατασκευαστές υποχρεούνται να ενσωματώνουν ασφάλεια «by‑design» και να τη συντηρούν «through‑life»: τακτικά patches, γνωστοποίηση ευπαθειών εντός 24 ωρών και διαφάνεια στο Software Bill of Materials (SBOM). Ό,τι ισχύει σήμερα για τη σήμανση CE σε θέματα υγείας και ασφάλειας, επεκτείνεται πλέον και στην κυβερνοασφάλεια. Αν ένα connected παιχνίδι, ένας οικιακός θερμοστάτης ή ένα κομμάτι βιομηχανικού λογισμικού δεν πληροί τις τεχνικές προδιαγραφές, απλώς δεν θα επιτρέπεται να πωλείται εντός ΕΕ.
Η μετάβαση δεν θα είναι ανώδυνη. Για τις μικρομεσαίες επιχειρήσεις, το κόστος συμμόρφωσης ίσως φανεί δυσανάλογο. Ωστόσο, η εμπειρία του InfoCom Security 2025 για το οποίο μπορείτε να διαβάσετε αναλυτικό ρεπορτάζ σε αυτό το τεύχος ανέδειξε βέλτιστες πρακτικές: έτοιμα toolkits για SBOM, πλατφόρμες αυτόματου vulnerability management και κοινά sandboxes για δοκιμές. Η ελληνική αγορά οφείλει να κινηθεί άμεσα, αξιοποιώντας ευρωπαϊκά προγράμματα για R&D, προτού βρεθεί αντιμέτωπη με απαγορεύσεις διάθεσης προϊόντων.
Στρατηγικά, το CRA συμπληρώνει την ευρωπαϊκή ατζέντα ψηφιακής αυτονομίας. Σε συνδυασμό με το EU Cybersecurity Certification Scheme (EUCS) που ετοιμάζει ετικέτα συμμόρφωσης για cloud υπηρεσίες, η Ένωση επιδιώκει μια «ανοσία αγέλης» απέναντι στις κυβερνοαπειλές, όπου κάθε κρίκος—διαδικασία, άνθρωπος, προϊόν—είναι εξίσου θωρακισμένος. Με την εφαρμογή του CRA, η Ευρώπη μετατοπίζει το βάρος της ευθύνης από τον τελικό χρήστη στον κατασκευαστή, μετατρέποντας την ασφάλεια σε προαπαιτούμενο και όχι σε μετέπειτα αναγκαιότητα.
Ο Κανονισμός τίθεται σε εφαρμογή την 11η Δεκεμβρίου 2027. Παρά ταύτα οι υποχρεώσεις αναφοράς των κατασκευαστών τίθενται σε εφαρμογή από την 11η Σεπτεμβρίου 2026 ενώ οι προβλέψεις σχετικά με την κοινοποίηση των οργανισμών αξιολόγησης της συμμόρφωσης, εφαρμόζονται από την 11η Ιουνίου 2026.
Βλάσης Αμανατίδης
Αρχισυντάκτης ΙΤ SECURITY PRO
