انتبهوا! الموعد النهائي الحقيقي لقانون المرونة السيبرانية الأوروبي لتسجيل الثغرات الأمنية يبدأ في 11 سبتمبر 2026، وهو أقرب بكثير من ديسمبر 2027. هذا يعني أن مكونات البرمجيات المنتهية الصلاحية في منتجاتك تشكل الآن مخاطرة كبيرة بالامتثال.
أيها القراء الأعزاء في وندتيك، انتبهوا: الموعد النهائي الحقيقي لقانون المرونة السيبرانية الأوروبي (CRA) أقرب بكثير مما تتخيلون! صحيح، الالتزامات الرئيسية للقانون تبدأ في 11 ديسمبر 2027، وهذا يبدو بعيداً ومريحاً. لكن في الواقع، هناك موعد نهائي آخر أقرب بكثير ومخبأ في القانون، وقد يفاجئ الكثيرين: التزامات الإبلاغ عن الثغرات الأمنية والحوادث تبدأ في 11 سبتمبر 2026. نعم، هذا ليس بعيدًا؛ إنه على بعد أسابيع فقط، وليس سنوات. يطبق هذا القانون على «المنتجات ذات العناصر الرقمية» التي تباع في السوق الأوروبي، سواء كانت برامج أو منتجات متصلة، بغض النظر عن مكان تواجد الشركة المصنعة. فما الذي تطلبه هذه اللوائح الجديدة من المصنعين؟ عليهم أولاً معرفة مكونات منتجاتهم من خلال توثيق شبيه بـ SBOM (قائمة مكونات البرمجيات). عليهم أيضًا التعامل مع الثغرات الأمنية وتوفير تحديثات أمنية طوال فترة دعم معلنة للمنتج. والأهم من ذلك، عليهم الإبلاغ عن الثغرات الأمنية المستغلة فعليًا والحوادث الخطيرة، وهذا الالتزام يبدأ اعتبارًا من 11 سبتمبر 2026. إذا لم تلتزم الشركات، فقد تواجه غرامات تصل إلى 15 مليون يورو أو 2.5% من إجمالي مبيعاتها السنوية العالمية، أيهما أعلى، في حالة الانتهاكات الخطيرة. هنا تكمن المشكلة الحقيقية: لا يمكنك توفير تحديثات أمنية لمنتج يحتوي على مكونات لم تعد تتلقى تحديثات أمنية. فكر في مكتبة برمجية انتهى عمرها الافتراضي (EOL) داخل منتج تقوم بشحنه. هذا يعني أنك تقدم وعدًا بالدعم لا يمكنك الوفاء به. قبل CRA، كان هذا مجرد دين تقني أو تحديًا. لكن بموجب CRA، أصبح فجوة واضحة في الامتثال مع غرامة باهظة ملحقة بها. هذه ليست افتراضات بعيدة؛ إنها موجودة بالفعل في عمليات فحص التبعيات الحقيقية. على سبيل المثال، صور Debian 10 الأساسية انتهى دعمها في 10 سبتمبر 2022، مما يعني أنها غير مصححة منذ حوالي 4 سنوات. AngularJS (أي إصدار) انتهى دعمها في 31 ديسمبر 2021، أي حوالي 4.5 سنوات بدون تصحيحات. OpenSSL 3.0 سينتهي دعمه في 7 سبتمبر 2026، قبل أربعة أيام فقط من الموعد النهائي للإبلاغ عن الثغرات في CRA! وحتى .NET 8 سينتهي دعمه في 10 نوفمبر 2026، خلال الربع الأول من فترة الإبلاغ عن الثغرات بموجب القانون. إذا كنت شركة تعمل في مجال البرمجيات أو المنتجات المتصلة في الاتحاد الأوروبي، فقد حان الوقت للبدء في جرد مكوناتك ومعالجة أي مكونات EOL الآن. لا تنتظر حتى 2027؛ الموعد الحقيقي للعمل أقرب بكثير.