Comhad Slándála Táirge CRA 2026 le ISO 27001
Glaonn monaróir gléasanna nasctha ar a CISO, Maria, chuig cruinniú tráthnóna Dé hAoine. Tá comhaontú dáileacháin Eorpach faighte ag an bhfoireann díolacháin. Tá an fhoireann dlí ag fiafraí an féidir leis an gcuideachta tacú le comhréireacht faoin Cyber Resilience Act. Deir an innealtóireacht go bhfuil forbairt shlán “clúdaithe den chuid is mó” toisc go bhfuil athbhreithniú cód, SAST agus paisteáil i bhfeidhm. Deir soláthar go bhfuil soláthraithe “faoi chomhaontú neamhnochta.” Tá spleáchais firmware ag foirne táirge in uirlis amháin, fardail APIanna néalríomhaireachta in uirlis eile, agus ticéid leochaileachta in Jira. Tá fianaise deimhniúcháin ISO/IEC 27001:2022 ag an bhfoireann comhlíonta, ach tá sí eagraithe timpeall ar an ISMS corparáideach, ní timpeall ar gach táirge a chuirtear ar mhargadh an AE.
Ansin tagann an cheist mhíchompordach: “Má iarrann údarás AE, custaiméir, comhlacht dá dtugtar fógra nó dáileoir mór an Comhad Slándála Táirge in 2026, an féidir linn é a sholáthar laistigh de sheachtain?”
I gcás go leor díoltóirí bogearraí, monaróirí gléasanna cliste agus soláthraithe seirbhísí nasctha, is é an freagra macánta ná nach féidir. Ní hé nach bhfuil rialuithe slándála acu, ach go bhfuil a bhfianaise slándála táirge scaipthe. Tá taifid forbartha sláine ag an innealtóireacht. Gintear SBOManna do gach tógáil, ach ní rialaítear iad. Tá Nochtadh Comhordaithe Leochaileachtaí ann mar leathanach gréasáin, ach ní bhíonn sé nasctha i gcónaí le triáis, ceartúcháin, comhairleoirí agus faireachán iarmhargaidh. Tá slándáil soláthraithe folaithe i gconarthaí soláthair. Baineann tuairisciú teagmhas le hoibríochtaí slándála, agus baineann doiciméadacht chomhréireachta le comhlíonadh táirge.
Athraíonn Cyber Resilience Act an AE an tsamhail oibriúcháin. Ní dea-chleachtas ná gealltanas conarthach amháin í cibearshlándáil táirge a thuilleadh. Éiríonn sí ina hoibleagáid fianaise saolré. Ní mór d’eagraíochtaí a bheith in ann a léiriú conas a leabaítear ceanglais chibearshlándála i ndearadh, forbairt, eisiúint, láimhseáil leochaileachtaí, nuashonruithe agus faireachán tar éis don táirge dul ar an margadh.
Seo an áit a mbíonn ISO/IEC 27001:2022 cumhachtach, má úsáidtear i gceart é. Ní scéim deimhniúcháin táirge é ann féin, ach is féidir lena rialuithe ISMS, riosca, sócmhainní, soláthraithe, forbartha sláine, leochaileachta agus teagmhas cnámh droma Chomhad Slándála Táirge CRA a sholáthar. Ní hé an sprioc siléar comhlíonta eile a chruthú. Is é an sprioc an ISMS atá agat cheana a thiontú ina chóras fianaise ar leibhéal táirge.
Mar a deir Zenith Blueprint: Treochlár 30 Céim don Iniúchóir de chuid Clarysec i gCéim 2, Céim 8, Ailtireacht Fianaise:
“Níor cheart fianaise a bhailiú ag deireadh timthriall iniúchta. Ba cheart í a dhearadh isteach sa rialú, a shannadh d’úinéir, a stampáil ó thaobh ama de ag an bpróiseas, agus a bheith in-athúsáidte ar fud gach oibleagáide a chuireann an cheist chéanna i dteanga dhifriúil.”
Cuireann an abairt sin croílár ullmhacht CRA in iúl. Ní hé amháin an cheist, “An bhfuil forbairt shlán againn?” Is í an cheist, “An féidir linn forbairt shlán, feasacht ar chomhpháirteanna, láimhseáil leochaileachtaí agus faireachán iarmhargaidh a chruthú don táirge seo, don leagan seo, don eisiúint seo agus don mhargadh seo?”
Is córas beo fianaise é Comhad Slándála Táirge CRA
Níor cheart caitheamh le Comhad Slándála Táirge CRA mar PDF statach a tháirgtear uair amháin roimh eisiúint agus a ndéantar dearmad air. Ba cheart gur sainchomhad struchtúrtha é a insíonn scéal slándála an táirge ón gcoincheap go deireadh na tacaíochta.
Míníonn comhad úsáideach:
- Cad é an táirge agus conas atá sé beartaithe é a úsáid.
- Cé na bogearraí, firmware, seirbhísí néalríomhaireachta agus spleáchais tríú páirtí atá ann.
- Cé na rioscaí cibearshlándála a ndearnadh measúnú orthu.
- Cé na ceanglais slándála a cuireadh i bhfeidhm.
- Conas a rinneadh forbairt shlán.
- Conas a fhaightear, a dtriáisítear, a gceartaítear agus a nochtar leochaileachtaí.
- Conas a sheachadtar nuashonruithe slána.
- Conas a rialaítear soláthraithe agus comhpháirteanna foinse oscailte.
- Conas a uaschéimnítear teagmhais agus leochaileachtaí atá á saothrú go gníomhach.
- Conas a dhéantar faireachán ar an táirge tar éis é a chur ar an margadh.
Don CISO, is dúshlán fianaise ISMS é seo. Don bhainisteoir comhlíonta táirge, is doiciméadacht theicniúil é. Don innealtóireacht, is DevSecOps agus rialachas eisiúna é. Do na feidhmeannaigh, is rochtain ar an margadh agus rialú dliteanais é.
Is é an botún ná déileáil leo sin mar shruthanna oibre ar leith. Is é an tsamhail is fearr comhad fianaise ar leibhéal táirge a thógáil a mhapálann chuig rialuithe ISO/IEC 27001:2022 agus ISO/IEC 27002:2022, agus ansin an fhianaise chéanna a chrosmhapáil chuig NIS2, DORA, GDPR, NIST agus COBIT 2019 nuair is ábhartha.
Déanann Zenith Controls: An Treoir Thraschomhlíonta de chuid Clarysec cur síos air seo mar shlabhra rialú-go-fianaise-go-iniúchóir:
“Ba cheart do chomhad fianaise traschomhlíonta gach oibleagáid a mhapáil chuig an rialú oibriúcháin, an réad fianaise athfhillteach, an t-úinéir cuntasach agus lionsa an iniúchta a úsáidfear chun í a cheistiú.”
Sin é an disciplín a theastaíonn ó ullmhacht CRA. Ní fillteán amháin é an Comhad Slándála Táirge. Is é an ciseal aistriúcháin é idir innealtóireacht táirge, rialachas slándála, measúnú comhréireachta agus dearbhú custaiméirí.
Tóg cnámh droma fianaise an táirge ar dtús
Teastaíonn struchtúr comhsheasmhach ón gcomhad sula dtosaíonn foirne ag uaslódáil taifead. Gan chnámh droma shoiléir, éiríonn fianaise ina carn seatanna scáileáin, easpórtálacha agus PDFanna beartais nach féidir le hiniúchóir ar bith a leanúint.
I gceardlanna ullmhachta CRA, molann Clarysec de ghnáth an struchtúr Comhaid Slándála Táirge seo a leanas d’eagraíochtaí atá ag oibriú ISMS ISO/IEC 27001:2022 cheana féin.
| Rannán Chomhad Slándála Táirge | Príomhfhianaise | Téamaí rialaithe ISO/IEC 27001:2022 agus ISO/IEC 27002:2022 | Úinéir tipiciúil |
|---|---|---|---|
| Sainmhíniú táirge agus úsáid bheartaithe | Cur síos táirge, ailtireacht, sreafaí sonraí, samhail imlonnaithe | A.5.9 Fardal faisnéise agus sócmhainní gaolmhara eile, A.5.8 Slándáil faisnéise i mbainistíocht tionscadail, measúnú riosca | Úinéir Táirge |
| Fardal comhpháirteanna agus spleáchas | SBOM, bille ábhar firmware, léarscáil spleáchas néalríomhaireachta | A.5.9 Fardal, A.8.9 Bainistíocht cumraíochta, A.8.8 Bainistíocht leochaileachtaí teicniúla | Ceannaire innealtóireachta |
| Fianaise forbartha sláine | Samhaltú bagairtí, athbhreithnithe dearaidh shlána, taifid athbhreithnithe cód, torthaí tástála slándála | A.8.25 Saolré forbartha sláine, A.8.27 Ailtireacht chórais shlán agus prionsabail innealtóireachta, A.8.28 Códú slán, A.8.29 Tástáil slándála i bhforbairt agus glacadh | Innealtóireacht agus AppSec |
| Láimhseáil leochaileachtaí agus CVD | Beartas nochta, taifid ghlactha isteach, logaí triáise, SLAanna leigheasta, teimpléid chomhairleoirí | A.8.8 Bainistíocht leochaileachtaí teicniúla, A.5.24 Pleanáil agus ullmhú do bhainistíocht teagmhas slándála faisnéise, A.5.26 Freagairt do theagmhais slándála faisnéise | Oibríochtaí slándála |
| Fianaise soláthraithe agus foinse oscailte | Measúnuithe soláthraithe, clásail chonarthacha, athbhreithniú OSS, bunús comhpháirteanna | A.5.19 Slándáil faisnéise i gcaidrimh soláthraithe, A.5.20 Slándáil faisnéise a láimhseáil laistigh de chomhaontuithe soláthraithe, A.5.21 Slándáil faisnéise a bhainistiú sa slabhra soláthair TFC | Soláthar agus dlí |
| Fianaise nuashonraithe agus eisiúna sláine | Formheasanna eisiúna, taifid sínithe, pleananna fillte siar, nótaí paiste | A.8.32 Bainistíocht athruithe, A.8.24 Úsáid cripteagrafaíochta, A.8.9 Bainistíocht cumraíochta | Bainisteoir eisiúna |
| Faireachán iarmhargaidh | Fothaí leochaileachta, sonraí teiliméadrachta, tuairiscí custaiméirí, athbhreithnithe teagmhas, athbhreithniú riosca tréimhsiúil | A.8.15 Logáil, A.8.16 Gníomhaíochtaí faireacháin, A.5.25 Measúnú agus cinneadh maidir le himeachtaí slándála faisnéise, feabhsú leanúnach | CISO agus slándáil táirge |
| Pacáiste comhréireachta agus iniúchta | Mapáil rialuithe, formheas bainistíochta, innéacs fianaise coinnithe | Rialachas ISMS, A.5.28 Bailiú fianaise, iniúchadh inmheánach, athbhreithniú bainistíochta | Bainisteoir comhlíonta |
Ní chuireann an tábla seo oibleagáidí dlíthiúla doiciméadachta teicniúla in ionad. Tugann sé samhail oibriúcháin don ghnó chun iad a chruthú.
Sa Zenith Blueprint, díríonn Céim 1, Céim 3 ar shainmhíniú raon feidhme agus teorainneacha. Maidir le CRA, éiríonn an chéim sin táirge-shonrach. Sainigh teaghlach an táirge, leaganacha bogearraí, toimhdí imlonnaithe, róil úsáideoirí, seirbhísí nasctha, cainéil nuashonraithe agus tréimhse tacaíochta. Má tá raon feidhme an ISMS mar “SaaS corparáideach agus ardán bainistíochta gléasanna,” ní mór don chomhad CRA fós ceist níos cúinge a fhreagairt: “Cén táirge ina bhfuil eilimintí digiteacha atá á chur ar mhargadh an AE, agus cad atá san áireamh sa táirge sin?”
Mapáil forbairt shlán chuig taifid ar leibhéal táirge
Is é croílár an Chomhaid Slándála Táirge fianaise ar shlándáil de réir dearaidh. Soláthraíonn ISO/IEC 27001:2022 an córas rialachais. Soláthraíonn ISO/IEC 27002:2022 treoir cur chun feidhme trí rialuithe amhail A.8.25 Saolré forbartha sláine, A.8.27 Ailtireacht chórais shlán agus prionsabail innealtóireachta, A.8.28 Códú slán agus A.8.29 Tástáil slándála i bhforbairt agus glacadh.
Is é an t-athrú tábhachtach ná bogadh ó éilimh ghinearálta maidir le forbairt shlán go taifid shonracha eisiúna. Ní leor “déanaimid athbhreithniú ar chód.” Ba cheart don chomhad a léiriú cén eisiúint a ndearnadh athbhreithniú uirthi, cé na rioscaí a cuireadh san áireamh, cé na tástálacha slándála a rith, cé na leochaileachtaí ar glacadh leo nó ar leigheasadh iad, agus cé a d’fhaomh an eisiúint.
Tá Beartas Forbartha Sláine Enterprise de chuid Clarysec deartha chun an rian fianaise sin a éileamh. I gclásal 6.1, Ceanglais Shaolré na Forbartha Sláine, deir sé:
“Ní mór do gach eisiúint táirge nó seirbhíse fianaise dhoiciméadaithe a choinneáil ar cheanglais slándála, athbhreithniú dearaidh, gníomhaíochtaí códaithe shlána, tástáil slándála, cinntí maidir le leigheas leochaileachtaí, agus formheas eisiúna roimh imscaradh táirgthe.”
Tá an clásal seo úsáideach do CRA toisc go n-athraíonn sé forbairt shlán ina patrún fianaise in-athdhéanta. Ní gá d’iniúchóir tátal a bhaint gur tharla forbairt shlán. Is féidir leo an taifead eisiúna a iniúchadh.
Maidir le teirmeastat cliste, gléas IoT leighis, braiteoir tionsclaíoch nó táirge nasctha le SaaS, ba cheart go mbeadh an fhianaise forbartha sláine seo a leanas ann:
- Ceanglais slándála táirge mapáilte chuig rioscaí aitheanta.
- Samhaltú bagairtí nó anailís ar chásanna mí-úsáide don táirge agus do sheirbhísí nasctha.
- Athbhreithniú ailtireachta, lena n-áirítear teorainneacha iontaoibhe agus comhéadain sheachtracha.
- Caighdeán códaithe shláin agus cruthúnas ar admháil nó oiliúint forbróirí.
- SAST, DAST, Software Composition Analysis, scanadh rúin agus anailís firmware nuair is infheidhme.
- Ticéid leigheasta le haghaidh fionnachtana ardriosca.
- Taifid ghlactha riosca le formheas gnó agus slándála.
- Seicliosta geata eisiúna a léiríonn gur comhlíonadh critéir slándála.
- Fianaise ar shíniú cripteagrafach agus sláine nuashonraithe.
- Toimhdí maidir le tréimhse tacaíochta agus deireadh saoil.
Cabhraíonn caighdeáin eile leis an modh a neartú. Tacaíonn ISO/IEC 27005 leis an gcur chuige riosca taobh thiar de na taifid seo. Tá ISO/IEC 27017 úsáideach nuair atá seirbhísí néalríomhaireachta mar chuid d’éiceachóras an táirge. Tacaíonn ISO/IEC 27035 le láimhseáil teagmhas. Tá ISO/IEC 29147 agus ISO/IEC 30111 thar a bheith ábhartha do nochtadh leochaileachtaí agus láimhseáil leochaileachtaí. Tacaíonn ISO/IEC 27036 le slándáil soláthraithe, rud atá tábhachtach nuair a chuimsíonn an táirge bogearraí seachfhoinsithe, modúil leabaithe, seirbhísí néalríomhaireachta bainistithe nó leabharlanna tríú páirtí.
I Zenith Controls, mapáiltear fianaise forbartha sláine CRA de ghnáth timpeall ar théamaí rialaithe ISO/IEC 27002:2022 amhail slándáil faisnéise i mbainistíocht tionscadail, saolré forbartha sláine, códú slán, tástáil slándála, bainistíocht athruithe agus bainistíocht leochaileachtaí teicniúla. Ceanglaíonn an treoir iad seo freisin le fardal sócmhainní agus rialuithe soláthraithe, toisc nach bhfuil aon phróiseas forbartha sláine iomlán mura féidir leis an eagraíocht na comhpháirteanna a sheolann sí a shainaithint.
Déileáil leis an SBOM mar fhianaise táirge rialaithe
Is minic a chaitear leis an Software Bill of Materials mar dhéantán teicniúil. Le haghaidh ullmhacht CRA, ba cheart caitheamh leis mar fhianaise táirge.
Insíonn SBOM úsáideach duit cé na comhpháirteanna atá sa táirge, cé na leaganacha a úsáidtear, cá as a tháinig siad, cé na ceadúnais a bhaineann leo, cé na leochaileachtaí a théann i bhfeidhm orthu, agus cé na heisiúintí ina bhfuil siad. Maidir le firmware agus táirgí leabaithe, d’fhéadfadh pacáistí córais oibriúcháin, luchtairí tosaithe, leabharlanna, tiománaithe, coimeádáin, modúil tríú páirtí agus spleáchais néalríomhaireachta atá riachtanach d’oibriú an táirge a bheith san áireamh.
Is í an fhadhb ná go ngineann go leor eagraíochtaí SBOManna ach nach ndéanann siad rialú orthu. D’fhéadfadh píblíne tógála comhad SPDX nó CycloneDX a tháirgeadh, ach ní bhailíochtaíonn aon duine iomláine. D’fhéadfadh uirlisí slándála leochaileachtaí a bhratach, ach ní bhíonn na torthaí nasctha le leaganacha táirge. D’fhéadfadh soláthar soláthraí a fhormheas, ach ní dhéantar liosta comhpháirteanna an tsoláthraí sin a réiteach leis an táirge eisithe.
Tugann Beartas Bainistíochta Sócmhainní Enterprise de chuid Clarysec aghaidh ar an mbearna rialachais seo i gclásal 5.2, Fardal Sócmhainní Faisnéise agus Gaolmhara:
“Ní mór sócmhainní faisnéise agus comhpháirteanna teicneolaíochta gaolmhara a shainaithint, úinéir a shannadh dóibh, iad a aicmiú nuair is infheidhme, agus iad a choinneáil i bhfardal a thacaíonn le measúnú riosca, bainistíocht leochaileachtaí, rialú athruithe agus fianaise iniúchta.”
Maidir le CRA, éiríonn an clásal sin táirge-shonrach. Is cuid den fhardal comhpháirteanna teicneolaíochta gaolmhara é an SBOM. Teastaíonn úinéir, riail choinneála, próiseas bailíochtaithe agus nasc le bainistíocht leochaileachtaí uaidh.
Tá riail phraiticiúil fianaise SBOM simplí: ní mór fardal comhpháirteanna formheasta a bheith ag gach leagan táirge eisithe ar féidir é a mheaitseáil leis an déantán eisiúna. Mura féidir leis an eagraíocht an SBOM a cheangal leis an íomhá firmware bheacht, pacáiste feidhmchláir, díleá coimeádáin nó eisiúint SaaS, is fianaise lag é an SBOM.
| Seiceáil | Fianaise le bailiú | Critéir phasála |
|---|---|---|
| Nasc eisiúna | Aitheantas eisiúna, hais tógála, leagan firmware, díleá coimeádáin nó aitheantas pacáiste | Mapálann SBOM go soiléir chuig an déantán eisiúna |
| Iomláine comhpháirteanna | Comhad SBOM, tuarascáil scanadh spleáchas, eisceachtaí láimhe | Gabhtar spleáchais dhíreacha agus thrasitive nó tá bonn cirt le heisceachtaí |
| Stádas leochaileachta | Tuarascáil SCA, ticéid leochaileachta, glacthaí riosca | Tá leigheas nó eisceacht fhormheasta ag fionnachtana ar eol go bhfuil siad insaothraithe nó ardriosca |
| Nasc soláthraí | Dearbhuithe comhpháirte soláthraí, dearbhuithe tríú páirtí, téarmaí tacaíochta | Tá fianaise soláthraí ag comhpháirteanna criticiúla soláthraithe |
| Ceadúnas agus bunús | Scanadh ceadúnais, taifead stór foinse, foinse pacáiste formheasta | Tá bunús agus úsáid na comhpháirte doiciméadaithe |
| Coinneáil agus rochtain | Conair stór fianaise, úinéir, riail choinneála | Is féidir leis an bhfeidhm chomhlíonta an SBOM agus taifid ghaolmhara a aisghabháil laistigh den am sainithe |
Má theipeann ar níos mó ná dhá shraith, de ghnáth ní hé an uirlis SBOM an fhadhb. Is é an rialachas é. Ba cheart don Chomhad Slándála Táirge gníomh ceartaitheach a thaifeadadh san ISMS, toisc gur saincheist éifeachtachta rialaithe ISO/IEC 27001:2022 í laige fianaise CRA freisin.
Ceangail CVD le láimhseáil leochaileachtaí agus rialachas eisiúna
Tá Nochtadh Comhordaithe Leochaileachtaí ar cheann de na réimsí is infheicthe d’ullmhacht CRA toisc gur féidir le taighdeoirí seachtracha, custaiméirí agus údaráis é a thástáil go díreach. Tá sé úsáideach leathanach nochta leochaileachta nó comhad security.txt a fhoilsiú, ach níl ann sin ach an doras tosaigh. Ní mór don Chomhad Slándála Táirge a chruthú go n-oibríonn an chúloifig.
Ba cheart go mbeadh na nithe seo a leanas i dtacar fianaise CVD agus láimhseála leochaileachtaí atá inchosanta:
- Cainéal nochta poiblí agus treoracha aighneachta.
- Próiseas admhála taighdeora.
- Critéir triáise, lena n-áirítear measúnú déine agus insaothraitheachta.
- Anailís tionchair táirge.
- Úinéireacht leigheasta agus amlínte sprice.
- Teimpléid chomhairleoirí custaiméirí agus cumarsáide nuashonraithe.
- Fianaise ar fhorbairt agus tástáil paiste shlán.
- Taifid ar fhoilsiú comhordaithe nuair is infheidhme.
- Ceachtanna foghlamtha agus anailís treochta ar leochaileachtaí athfhillteacha.
Deir clásal 6.3 de Bheartas um Bainistíocht Leochaileachtaí agus Paistí Enterprise de chuid Clarysec, Glacadh Isteach, Triáis agus Leigheas Leochaileachtaí:
“Ní mór leochaileachtaí tuairiscithe a logáil, a mheasúnú i gcoinne na sócmhainní agus na dtáirgí lena mbaineann, a thosaíochtú de réir riosca agus insaothraitheachta, a shannadh d’úinéir cuntasach, agus a rianú trí leigheas, fíorú, cumarsáid agus dúnadh.”
Ceanglaíonn an clásal sin CVD le SBOM, fardal sócmhainní, ticéid innealtóireachta, bainistíocht eisiúna agus faireachán iarmhargaidh. Is é freisin an clásal a thástálfaidh iniúchóirí go nádúrtha: taispeáin an taifead glactha isteach, taispeáin na táirgí lena mbaineann, taispeáin an triáis, taispeáin an ceartúchán, taispeáin cumarsáid custaiméirí, taispeáin an dúnadh.
Ba cheart do Bheartas Bainistíochta Teagmhas Slándála Faisnéise atá agat cheana a leathnú freisin chun leochaileachtaí táirge a chumhdach a éiríonn ina dteagmhais nó a éilíonn fógra seachtrach. Clúdaíonn ISO/IEC 27002:2022 A.5.24 pleanáil agus ullmhú do bhainistíocht teagmhas, clúdaíonn A.5.25 measúnú agus cinneadh maidir le himeachtaí slándála faisnéise, clúdaíonn A.5.26 freagairt do theagmhais slándála faisnéise, agus clúdaíonn A.5.27 foghlaim ó theagmhais.
I Zenith Controls, déileáiltear le bainistíocht leochaileachtaí mar rialú coisctheach agus ceartaitheach araon. Áirítear leis an taobh coisctheach fardal, forbairt shlán, faireachán soláthraithe agus cumraíocht shlán. Áirítear leis an taobh ceartaitheach brath, triáis, paisteáil, cumarsáid agus uaschéimniú teagmhais. Tá an t-idirdhealú seo tábhachtach toisc gur cuid d’oibleagáid saolré an táirge í láimhseáil leochaileachtaí iarmhargaidh, ní iar-smaoineamh.
Is í fianaise soláthraithe an laige fholaithe
Is minic a bheidh an dúshlán is géire don Chomhad Slándála Táirge sna háiteanna a mbraitheann an monaróir ar dhaoine eile. Áirítear leis seo modúil leabaithe, forbairt firmware sheachfhoinsithe, comhpháirteanna white-label, óstáil néalríomhaireachta, SDKanna soghluaiste, seirbhísí íocaíochta, leabharlanna cripteagrafacha agus Soláthraithe Seirbhísí Bainistithe tacaíochta.
Is é an patrún teipe coitianta ná teibíocht chonarthach. Deir an monaróir, “Tá ár soláthraí freagrach as sin.” Faoi scrúdú slándála táirge, ní leor é sin. Ní mór don eagraíocht a léiriú go bhfuil riosca soláthraithe sainaitheanta, go gcuirtear ceanglais slándála in iúl, go mbailítear fianaise, go gcomhordaítear leochaileachtaí agus go rialaítear athruithe.
Deir clásal 7.1 de Bheartas Slándála Tríú Páirtí agus Soláthraithe Enterprise de chuid Clarysec, Ceanglais Slándála Soláthraithe:
“Ní mór soláthraithe a fhorbraíonn, a oibríonn, a phróiseálann, a thacaíonn le, nó a imríonn tionchar ábhartha ar chórais faisnéise, táirgí nó seirbhísí a mheasúnú de réir riosca agus a chur faoi réir ceanglas slándála a chumhdaíonn rochtain, bainistíocht leochaileachtaí, fógra teagmhais, fochonraitheoireacht, leanúnachas agus soláthar fianaise.”
Maidir le CRA, tá an frása “a imríonn tionchar ábhartha ar tháirgí” ríthábhachtach. Má fhéadann comhpháirt soláthraí leochaileacht a thabhairt isteach, cur isteach ar nuashonruithe, sonraí custaiméirí a nochtadh nó sláine gléis a chomhréiteach, baineann sí leis an gComhad Slándála Táirge.
Is féidir leis an mbeartas céanna tacú le conarthú SBOM freisin. Deir clásal 7.3:
“Maidir le gach comhpháirt bogearraí tríú páirtí, leabharlann nó córas oibriúcháin atá le comhtháthú i ‘Táirgí le hEilimintí Digiteacha’ na cuideachta, ní mór don soláthraí, ar iarratas, Software Bill of Materials (SBOM) atá inléite ag meaisín a sholáthar i bhformáid chaighdeánach amhail SPDX nó CycloneDX. Ní mór an ceanglas seo a leabú i ngach conradh soláthair agus soláthraithe.”
Ba cheart go mbeadh aicmiú soláthraithe de réir tionchar táirge, ceanglais slándála i gconarthaí, fianaise forbartha sláine soláthraithe do chomhpháirteanna criticiúla, gealltanais nochta leochaileachtaí soláthraithe, SBOM nó dearbhuithe comhpháirte nuair is indéanta, tacaíocht paiste agus amlínte deireadh saoil, taifid athbhreithnithe thréimhsiúil agus conairí uaschéimnithe do leochaileachtaí de bhunadh soláthraí i bpacáiste láidir fianaise soláthraithe.
Soláthraíonn ISO/IEC 27002:2022 A.5.19, A.5.20 agus A.5.21 na príomhthéamaí rialaithe soláthraithe. Cuireann ISO/IEC 27036 doimhneacht le slándáil caidrimh soláthraithe. I dtéarmaí traschomhlíonta, cuireann NIS2 béim ar shlabhra soláthair agus láimhseáil leochaileachtaí. Cuireann DORA béim ar riosca tríú páirtí TFC d’eintitis airgeadais. Éiríonn GDPR ábhartha nuair a phróiseálann an táirge nó a sheirbhísí néalríomhaireachta sonraí pearsanta. Frámaíonn COBIT 2019 rialachas soláthraithe mar shaincheist rialachais fiontair teicneolaíochta, ní mar shaincheist oibríochtaí slándála amháin.
Athraíonn faireachán iarmhargaidh fianaise ina hoibríochtaí
Smaoiníonn na heagraíochtaí slándála táirge is aibí thar an eisiúint. Fiafraíonn siad, “Conas a bheidh a fhios againn go bhfuil an táirge seo éirithe rioscúil tar éis dó a bheith sa réimse?”
Ba cheart d’fhaireachán iarmhargaidh comharthaí a ghabháil ó fhothaí leochaileachta, faisnéis saothraithe, tacaíocht custaiméirí, sonraí teiliméadrachta, bug bounty nó tuairiscí taighdeoirí, fógraí soláthraithe, logaí néalríomhaireachta, taifid teagmhas agus sonraí feidhmíochta sa réimse. Ba cheart go n-áireofaí ann freisin athbhreithniú tréimhsiúil ar riosca táirge nuair a athraíonn coinníollacha bagartha.
Deir clásal 5.4 de Bheartas Logála agus Faireacháin Enterprise de chuid Clarysec, Faireachán agus Athbhreithniú Slándála:
“Ní mór imeachtaí atá ábhartha don tslándáil a bhailiú, a athbhreithniú, a uaschéimniú agus a choinneáil ar bhealach a thacaíonn le brath tráthúil, imscrúdú, freagairt do theagmhais, tuairisciú comhlíonta agus feabhsú leanúnach.”
Maidir le táirgí nasctha, ní mór é seo a léirmhíniú go cúramach. Ní mór d’fhaireachán príobháideachas, íoslaghdú sonraí agus srianta dlíthiúla a urramú, go háirithe nuair a chuimsíonn sonraí teiliméadrachta sonraí pearsanta nó sonraí oibríochtúla custaiméirí. Tá mapáil GDPR tábhachtach. Ba cheart d’fhoirne slándála táirge oibriú le foirne príobháideachais chun a shainiú cén teiliméadracht atá riachtanach don tslándáil, conas a íoslaghdaítear í, cá fhad a choinnítear í agus conas a chuirtear custaiméirí ar an eolas.
Ba cheart go mbeadh plean faireacháin slándála táirge, foinsí faisnéise leochaileachta, bealaí glactha isteach do thuairiscí custaiméirí, bealaí fógra soláthraithe, raon athbhreithnithe teiliméadrachta nó logaí, miontuairiscí athbhreithnithe riosca táirge thréimhsiúil, rianú glacadh paiste, anailís treochta teagmhas agus ionchuir athbhreithnithe bainistíochta san fhianaise faireacháin iarmhargaidh.
Sa Zenith Blueprint, díríonn Céim 5, Céim 30 ar fheabhsú leanúnach agus ullmhacht faireachais. Maidir le CRA, seo an áit a n-éiríonn an Comhad Slándála Táirge ina chomhad beo. Ba cheart do gach eisiúint táirge, leochaileacht, athrú soláthraí agus comhartha ón réimse an taifead fianaise a nuashonrú.
Comhad fianaise amháin, go leor ceisteanna comhlíonta
Laghdaíonn Comhad Slándála Táirge CRA dea-dheartha dúbláil toisc go bhfreagraíonn an fhianaise chéanna ceisteanna comhlíonta éagsúla. Athraíonn an teanga, ach is minic a bhíonn réaltacht an rialaithe cosúil.
| Réad fianaise | Ábharthacht CRA | Téama ISO/IEC 27001:2022 agus ISO/IEC 27002:2022 | Ábharthacht NIS2, DORA, GDPR, NIST agus COBIT 2019 |
|---|---|---|---|
| Measúnú riosca táirge | Léiríonn sé gur cuireadh rioscaí slándála san áireamh le linn dearadh táirge agus saolré | Measúnú riosca, A.5.8 Slándáil faisnéise i mbainistíocht tionscadail, A.8.25 Saolré forbartha sláine | Bainistíocht riosca NIS2, bainistíocht riosca TFC DORA, NIST Govern agus Identify, rialachas riosca COBIT |
| SBOM agus fardal comhpháirteanna | Léiríonn sé eolas ar chomhpháirteanna bogearraí agus nochtadh leochaileachta | A.5.9 Fardal, A.8.9 Bainistíocht cumraíochta, A.8.8 Bainistíocht leochaileachtaí teicniúla | Slabhra soláthair NIS2, feasacht sócmhainní TFC DORA, Bainistíocht Sócmhainní NIST, sócmhainní bainistithe COBIT |
| Taifid forbartha sláine | Léiríonn sé gur tógadh slándáil isteach sa dearadh agus san eisiúint | A.8.25 Saolré forbartha sláine, A.8.27 Ailtireacht shlán, A.8.28 Códú slán, A.8.29 Tástáil slándála | NIST Protect, rialachas tógála agus athruithe COBIT, slándáil de réir dearaidh GDPR nuair atá sonraí pearsanta i gceist |
| CVD agus ticéid leochaileachta | Léiríonn sé an cumas leochaileachtaí a fháil, a mheasúnú, a leigheas agus a chur in iúl | A.8.8 Bainistíocht leochaileachtaí teicniúla, A.5.24 Pleanáil teagmhas, A.5.26 Freagairt do theagmhais | Láimhseáil leochaileachtaí NIS2, próisis teagmhais agus leochaileachta DORA, NIST Respond |
| Fianaise soláthraithe | Léiríonn sé go bhfuil spleáchais táirge faoi rialachas | A.5.19 Caidrimh soláthraithe, A.5.20 Comhaontuithe soláthraithe, A.5.21 Slabhra soláthair TFC | Slándáil slabhra soláthair NIS2, riosca tríú páirtí TFC DORA, rialachas díoltóirí COBIT |
| Faireachán iarmhargaidh | Léiríonn sé faireachas leanúnach slándála táirge | A.8.15 Logáil, A.8.16 Gníomhaíochtaí faireacháin, A.5.25 Measúnú imeachtaí, feabhsú leanúnach | Brath teagmhais NIS2, faireachán DORA, NIST Detect, tacaíocht do bhrath sáraithe GDPR |
| Taifid tuairiscithe teagmhas | Léiríonn sé ullmhacht uaschéimnithe agus fógra | A.5.24 Pleanáil teagmhas, A.5.25 Measúnú imeachtaí, A.5.26 Freagairt do theagmhais, A.5.27 Foghlaim ó theagmhais | Tuairisciú NIS2 agus DORA, measúnú sáraithe GDPR, NIST Respond agus Recover |
Tá Zenith Controls deartha don athúsáid seo. Mapálann sé téamaí rialaithe ISO/IEC 27002:2022 chuig tréithe amhail cuspóir rialaithe coisctheach, braiteach agus ceartaitheach, coincheapa cibearshlándála, cumais oibríochtúla agus airíonna slándála. Maidir le CRA, cuidíonn sé seo le CISO a mhíniú cén fáth a dtacaíonn réad fianaise amháin, amhail athbhreithniú slándála eisiúna, le forbairt shlán, cóireáil riosca, rialú athruithe, bainistíocht leochaileachtaí agus ullmhacht iniúchta.
Ullmhaigh do lionsaí iniúchóra éagsúla
D’fhéadfadh iniúchóir ISO, foireann iniúchta inmheánaigh, foireann dearbhaithe custaiméirí, athbhreithneoir comhréireachta táirge, rialálaí, measúnóir bunaithe ar NIST nó iniúchóir COBIT oilte ag ISACA dúshlán a thabhairt do Chomhad Slándála Táirge CRA. Cuirfidh gach duine ceisteanna comhchosúla trí lionsa éagsúil.
| Lionsa iniúchóra | Cad a iarrfaidh siad | Fianaise láidir |
|---|---|---|
| Iniúchóir ISO/IEC 27001:2022 | An bhfuil slándáil táirge rialaithe laistigh den ISMS, den phróiseas riosca, den tsamhail inniúlachta, de na rialuithe oibríochtúla agus den timthriall feabhsaithe leanúnaigh? | Raon feidhme ISMS, measúnú riosca, Ráiteas Infheidhmeachta, taifid forbartha sláine, fionnachtana iniúchta inmheánaigh, athbhreithniú bainistíochta |
| Peirspictíocht deimhniúcháin ISO/IEC 27006-1:2024 | An bhfuil an fhianaise iniúchta iontaofa, sampláilte go cuí agus nasctha leis an gcóras bainistíochta deimhnithe? | Innéacs fianaise, loighic samplála, agallaimh úinéirí, taifid choinnithe, rianú gníomhartha ceartaitheacha |
| Measúnóir dírithe ar NIST | An féidir leat rialachas, sainaithint sócmhainní, bearta cosanta, brath, freagairt agus téarnamh a léiriú do shaolré an táirge? | Clár rioscaí táirge, SBOM, plean faireacháin, sreabhadh oibre leochaileachta, playbooks teagmhais |
| Iniúchóir COBIT 2019 nó ISACA | An bhfuil cuspóirí slándála táirge faoi rialachas, tomhaiste, faoi úinéireacht agus ailínithe le riosca fiontair agus seachadadh luacha? | RACI, méadrachtaí, formheasanna beartais, rialachas soláthraithe, tuairisciú bainistíochta, glacadh riosca |
| Athbhreithneoir comhréireachta táirge | An léiríonn an comhad teicniúil ceanglais chibearshlándála, rialuithe dearaidh, láimhseáil leochaileachtaí agus faireachán iarmhargaidh don táirge? | Innéacs Chomhad Slándála Táirge, ailtireacht, SBOM, fianaise tástála, taifid CVD, fianaise nuashonraithe |
| Measúnóir slándála custaiméara | An féidir leat a chruthú go bhforbraítear agus go dtacaítear leis an táirge go slán le linn a shaolré? | Achoimre SDLC shlán, achoimre tástála treáite, próiseas nochta leochaileachta, beartas tacaíochta paiste, dearbhú soláthraithe |
Nochtfar an pointe lag céanna ar bhealaí éagsúla. Má ghintear SBOManna ach mura gcoinnítear iad, feiceann an t-iniúchóir ISO saincheist rialaithe taifead agus rialaithe oibriúcháin. Feiceann measúnóir NIST laige i mbainistíocht sócmhainní agus leochaileachtaí. Feiceann iniúchóir COBIT rialachas lag ar shócmhainní faisnéise. Feiceann an t-athbhreithneoir táirge doiciméadacht theicniúil neamhleor.
Treochlár 30 céim, oiriúnaithe d’ullmhacht CRA
Cuireann an Zenith Blueprint cosc ar fhoirne comhlíonta léim díreach isteach i mbailiú doiciméad. Maidir le CRA, éiríonn an treochlár 30 céim ina chlár fianaise slándála táirge.
Tosaíonn Céim 1 le mapáil oibleagáidí agus raon feidhme. Sainaithin cé na táirgí, leaganacha, comhpháirteanna, seirbhísí néalríomhaireachta agus próisis tacaíochta atá laistigh den raon feidhme. Deimhnigh úsáid bheartaithe, catagóirí úsáideoirí, margaí agus tréimhse tacaíochta slándála.
Tógann Céim 2 an ailtireacht fianaise. Sainigh innéacs Chomhad Slándála Táirge, úinéirí fianaise, ceanglais choinneála, struchtúr stórtha agus sreafaí oibre formheasa. Ailínigh le córais innealtóireachta seachas uaslódálacha láimhe a bhrú.
Cuireann Céim 3 rialuithe oibríochtúla i bhfeidhm. Ní mór d’fhorbairt shlán, giniúint SBOM, láimhseáil leochaileachtaí, fianaise soláthraithe, geataí eisiúna, nuashonruithe slána agus uaschéimniú teagmhais oibriú mar phróisis fhíora.
Tástálann Céim 4 ullmhacht iniúchta. Roghnaigh eisiúint táirge agus déan iniúchadh samplach. An féidir leis an bhfoireann an SBOM a aisghabháil? An féidir leo tástáil slándála a chruthú? An féidir leo a thaispeáint conas a triáisíodh leochaileacht? An féidir leo fianaise soláthraithe a nascadh le comhpháirteanna táirge?
Leabaíonn Céim 5 faireachas agus feabhsú. Coinníonn faireachán iarmhargaidh, anailís treochta leochaileachtaí, athbhreithnithe soláthraithe agus ionchuir athbhreithnithe bainistíochta an comhad cothrom le dáta.
| Sprint ullmhachta CRA ceithre seachtaine | Aschur |
|---|---|
| Roghnaigh táirge suaitheanta AE amháin | Tá raon feidhme táirge, leaganacha, seirbhísí agus tréimhse tacaíochta sainithe |
| Cruthaigh innéacs Chomhad Slándála Táirge | Tá rannáin fianaise, úinéirí agus rialacha coinneála doiciméadaithe |
| Mapáil rialuithe ISO/IEC 27001:2022 chuig rannáin an chomhaid | Tá mapáil rialú-go-fianaise ar fáil don iniúchadh |
| Ceangail eisiúint amháin le déanaí mar shampla fianaise | Tá taifid forbartha sláine, tástála agus formheasa eisiúna nasctha |
| Gin nó bailíochtaigh an SBOM | Tá fardal comhpháirteanna ceangailte leis an déantán eisiúna |
| Rianaigh leochaileacht amháin ó bhrath go dúnadh | Déantar fianaise CVD, triáise, leigheasta, cumarsáide agus dúnta a thástáil |
| Rianaigh comhpháirt soláthraí amháin chuig conradh agus fianaise slándála | Tá fianaise slándála soláthraithe ceangailte leis an táirge |
| Athbhreithnigh comharthaí faireacháin iarmhargaidh don ráithe dheireanach | Tá faisnéis ón réimse agus athbhreithniú riosca doiciméadaithe |
| Taifead bearnaí mar ghníomhartha ceartaitheacha ISMS | Éiríonn laigí CRA ina bhfeabhsuithe rialaithe bainistithe |
| Tuairiscigh stádas ullmhachta don bhainistíocht | Faigheann feidhmeannaigh aibíocht fianaise, ní gníomhaíocht rialaithe doiléir |
Nochtann an sprint seo an fhírinne go tapa de ghnáth. Is annamh a theipeann ar eagraíochtaí toisc nach bhfuil aon rialuithe acu. Teipeann orthu toisc nach bhfuil na rialuithe ceangailte ar leibhéal táirge.
Bearnaí coitianta ullmhachta CRA roimh 2026
Ar fud díoltóirí bogearraí, monaróirí gléasanna agus soláthraithe seirbhísí nasctha, tá bearnaí athfhillteacha comhsheasmhach.
Ar dtús, tá raon feidhme an ISMS róchorparáideach. Clúdaíonn sé an eagraíocht, ach níl dóthain sonraí ann faoi shaolré an táirge. Is é an ceartúchán ná hiarscríbhinní ar leibhéal táirge agus comhaid fianaise a chruthú.
Ar an dara dul síos, tá SBOManna ann ach níl muinín iontu. Gineann uirlisí iad ach ní dhéantar iad a athbhreithniú, a fhormheas, a choinneáil ná a nascadh le cinntí leochaileachta. Is é an ceartúchán ná rialachas SBOM, ní táirgeadh SBOM amháin.
Ar an tríú dul síos, tá CVD os comhair an phobail ach níl sé aibí ó thaobh oibríochtaí de. Tagann tuairiscí isteach, ach tá critéir triáise, spriocanna freagartha, formheasanna comhairleoirí agus fianaise dúnta neamhchomhsheasmhach. Is é an ceartúchán ná CVD a chomhtháthú le bainistíocht leochaileachtaí, bainistíocht teagmhas agus bainistíocht athruithe.
Ar an gceathrú dul síos, tá fianaise soláthraithe ró-éadomhain. Tá soláthraithe criticiúla formheasta ó thaobh tráchtála de ach ní dhéantar measúnú orthu maidir le tionchar slándála táirge. Is é an ceartúchán ná soláthraithe a aicmiú de réir riosca táirge agus fianaise éigeantach a éileamh do chomhpháirteanna criticiúla.
Ar an gcúigiú dul síos, tá faireachán iarmhargaidh imoibríoch. Freagraíonn foirne do leochaileachtaí práinneacha ach ní reáchtálann siad athbhreithnithe tréimhsiúla riosca táirge. Is é an ceartúchán ná athbhreithniú slándála iarmhargaidh sceidealta atá ceangailte le tuairisciú bainistíochta.
Ar an séú dul síos, tá fianaise iniúchta ró-láimhe. Leanann foirne comhlíonta seatanna scáileáin. Is é an ceartúchán ná fianaise de réir dearaidh, ag úsáid córais innealtóireachta, sreafaí oibre ticéadaithe agus stórtha mar fhoinsí údarásacha.
Tóg an comhad fianaise sula dtógann an spriocdháta é duit
Tugann Cyber Resilience Act luach saothair d’eagraíochtaí atá in ann slándáil táirge a chruthú mar dhisciplín oibriúcháin. Cruthaíonn sé riosca d’eagraíochtaí a dhéileálann le fianaise mar chleachtadh comhlíonta ag an nóiméad deireanach.
Tosaigh le táirge amháin. Tóg Comhad Slándála Táirge amháin. Mapáil é chuig ISO/IEC 27001:2022 agus ISO/IEC 27002:2022. Ceangail fianaise forbartha sláine, SBOM, taifid CVD, dearbhú soláthraithe agus faireachán iarmhargaidh. Reáchtáil insamhaladh iniúchta sula ndéanann duine seachtrach é duit.
Is féidir le Clarysec cabhrú leat an turas sin a luathú leis an Zenith Blueprint, Zenith Controls, Beartas Forbartha Sláine Enterprise, Beartas um Bainistíocht Leochaileachtaí agus Paistí, Beartas Bainistíochta Sócmhainní, Beartas Slándála Tríú Páirtí agus Soláthraithe, Beartas Logála agus Faireacháin, agus Beartas Bainistíochta Teagmhas Slándála Faisnéise.
Ní hé an cheist CRA 2026 is tábhachtaí agat, “An bhfuil rialuithe slándála againn?”
Is í, “An féidir linn slándáil táirge a chruthú, eisiúint ar eisiúint, comhpháirt ar chomhpháirt, leochaileacht ar leochaileacht, tar éis don táirge a bheith sa mhargadh cheana féin?”
Tóg an comhad fianaise anois, ceangail é le do ISMS, agus déan gach eisiúint táirge amach anseo réidh don iniúchadh de réir dearaidh.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
