Cyber Resilience Act: IT sanoatining 'sentyabr portlashi' va yangi davr talablari
2026-yil sentyabrida kuchga kiruvchi EU Cyber Resilience Act global IT bozorini qanday o'zgartiradi va loyihangizni unga qanday tayyorlash kerak.
Texnologiya olamida shunday qonunlar borki, ular qabul qilingan hududdan qat’i nazar, butun dunyo IT ekotizimini tubdan o’zgartirib yuboradi. 2018-yilda kuchga kirgan GDPR (Ma’lumotlar maxfiyligi qonuni) global internet saytlari va foydalanuvchi ma’lumotlarini yig’ish tizimini qanday o’zgartirganini eslang.
2026-yilning sentyabr oyida xuddi shunday miqyosdagi yana bir “tsunami” kutilmoqda: Yevropa Ittifoqining Cyber Resilience Act (CRA), ya’ni Kiberbardoshlilik to’g’risidagi qonuni to’liq kuchga kiradi.
Ushbu qonun shunchaki Yevropa chegaralari ichida qolib ketmaydi. Agar sizning mahsulotingiz, SaaS platformangiz, API xizmatingiz yoki apparat ta’minotingiz dunyoning qaysidir burchagida turib Yevropa bozoriga kirib borsa yoki u yerdagi mijozlar tomonidan ishlatilsa, siz ushbu qonunga bo’ysunishga majbursiz. Taxminlarga ko’ra, bu global miqyosda 600,000 dan ortiq dasturiy ta’minot va texnologiya kompaniyalariga bevosita ta’sir qiladi.
Dasturchilar tili bilan aytganda: “Mening kompyuterimda ishlayapti, demak production’ga chiqaraveramiz” degan asr rasman yakunlandi. Keling, ushbu global qonunning tub mohiyatini, texnik talablarini va unga qanday moslashish kerakligini batafsil tahlil qilamiz.
CRA o’zi nima va u nega global xarakterga ega?
Cyber Resilience Act (CRA) — bu raqamli elementlarga ega bo’lgan barcha mahsulotlar (hardware va software) uchun majburiy bo’lgan kiberxavfsizlik standartlarini belgilovchi Yevropa Ittifoqi qonunidir.
Qonunning asosiy falsafasi juda oddiy: “Security by Design and by Default” (boshidanoq va standart holatda xavfsiz loyihalash). Ya’ni, mahsulot bozorga chiqishidan oldin, uning xavfsizligi kod darajasida, arxitektura bosqichida va ta’minot zanjirida kafolatlangan bo’lishi kerak.
Ekstraterritorial ta’sir doirasi
CRA xuddi GDPR kabi ekstraterritorial kuchga ega. Bu degani:
- Kompaniyangiz AQSH, Osiyo yoki Yaqin Sharqda joylashgan bo’lsa ham;
- Loyihangiz to’liq bulutli (Cloud-native) bo’lib, serverlaringiz boshqa qit’ada joylashgan bo’lsa ham;
- Agar yakuniy xizmat yoki mahsulot Yevropa Ittifoqi (EI) fuqarolari yoki kompaniyalari tomonidan sotib olinsa yoki ishlatilsa — siz qonuniy javobgarsiz.
Mahsulotlar klassifikatsiyasi: siz qaysi toifadasiz?
CRA barcha raqamli mahsulotlarni bir xil nazorat qilmaydi. Xavf darajasiga ko’ra mahsulotlar uchta asosiy toifaga bo’linadi. Loyihangiz qaysi guruhga kirishini bilish, qancha resurs sarflashingizni aniqlashga yordam beradi.
| Toifa | Misollar | Muofiqlikni tekshirish |
|---|---|---|
| Standard (past xavfli) | Iste’molchi dasturlari, matn muharrirlari, oddiy o’yinlar va vizualizatsiya dasturlari | Kompaniyaning o’zi ichki tekshiruv (self-assessment) o’tkazadi va deklaratsiya imzolaydi. |
| Class I (o’rta xavfli) | Shaxsiy ma’lumotlarni boshqarish tizimlari, brauzerlar, parol menejerlari, antiviruslar, tarmoq interfeyslari | Mustaqil auditorlar yoki qat’iy standartlashtirilgan xalqaro kiberxavfsizlik protokollari asosida tekshiriladi. |
| Class II (yuqori xavfli) | Operatsion tizimlar, routerlar va firewall tizimlari, kriptografik chiplar, router dasturlari | Uchinchi tomon rasmiy sertifikatlashtirish organlari tomonidan majburiy auditdan o’tkaziladi. |
CRA’ning 3 ta eng qattiq talabi
Global dasturiy ta’minot arxitektorlari va DevSecOps muhandislarini hozirda eng ko’p o’ylantirayotgan narsa — bu qonunning texnik ijrosidir. CRA loyihalardan quyidagi uchta elementni qat’iy talab qiladi.
Majburiy SBOM (Software Bill of Materials)
Siz restoran taomlari menyusida uning tarkibi (tuz, shakar, allergenlar) yozilganini ko’rgansiz. SBOM — bu dasturiy ta’minotingizning xuddi shunday tarkibiy qismlar ro’yxatidir.
Dasturingiz qaysi open-source kutubxonalardan foydalanadi? Qaysi NPM, NuGet yoki Pip paketlariga bog’langan? SBOM ushbu ma’lumotlarni avtomatik tarzda JSON yoki XML formatida taqdim etishi va har bir yangilanishda (deploy) yangilanib turishi shart.
Vulnerability Management (zaifliklarni doimiy monitoring qilish)
Mahsulotingizni yaratib, bozorga chiqarib, uning ustidan unutilish davri tugadi. CRA talabiga ko’ra, mahsulotning butun hayotiy sikli davomida (kamida 5 yil yoki mahsulotning xizmat muddati davomida) topilgan har qanday kiber-zaifliklar (CVE) muntazam ravishda kuzatilishi va yopilishi shart.
24 soatlik insidentlar haqida xabar berish
Agar tizimingizda jiddiy kiberhujum yoki xavfsizlik teshigi aniqlansa, sizda uni yashirish yoki “ichkarida sekingina tuzatib qo’yish” imkoniyati bo’lmaydi. Kompaniya 24 soat ichida Yevropa Ittifoqining ENISA (Kiberxavfsizlik agentligi) organiga va o’z mijozlariga rasmiy ogohlantirish yuborishi shart.
Moliyaviy jazo choralari. Agarda ushbu talablar bajarilmasa, jarimalar miqdori sizni hayratda qoldirishi aniq: €15 milliongacha yoki kompaniyaning global yillik aylanmasining 2.5 foizi (qaysi biri yuqori bo’lsa). Bundan tashqari, EI bozorida mahsulotingizni sotish butunlay taqiqlanishi mumkin.
Open-Source inqirozi va yechimi
CRA loyihasining dastlabki variantlari e’lon qilinganda, butun dunyo open-source hamjamiyati (Linux Foundation, Apache, Python Software Foundation) xavotirga tushgan edi. Chunki bepul taqdim etiladigan kodlar uchun ishlab chiquvchilarga millionlab yevro jarima solish xavfi bor edi.
Yakuniy tahrirda bu masalaga aniqlik kiritildi:
- Tijoriy bo’lmagan open-source. Agar siz shunchaki GitHub’da bepul loyiha yuritsangiz va undan moddiy manfaat ko’rmasangiz, sizga jarima solinmaydi.
- Tijoriy integratsiya. Agar biron bir kompaniya sizning bepul kodingizni olib, o’zining pullik SaaS mahsulotiga qo’shsa, barcha qonuniy javobgarlik o’sha mahsulotni sotayotgan kompaniya zimmasiga o’tadi.
Shu sababli, endilikda global kompaniyalar uchinchi tomon kutubxonalarini tanlashda juda injiq va ehtiyotkor bo’lishmoqda.
Amaliy qo’llanma: CI/CD konveyerini CRA’ga qanday moslashtirish kerak?
Xavotirga tushish va kod yozishni to’xtatish kerak emas. Yechim — kiberxavfsizlikni avtomatlashtirish, ya’ni DevSecOps madaniyatini joriy etishdir. Hozirda dunyo bo’ylab yetakchi muhandislar o’zlarining CI/CD pipeline’lariga quyidagi o’zgarishlarni kiritishmoqda:
[Kod yozish] → [SAST skan] → [SCA / SBOM] → [DAST skan] → [CRA-compliant deploy]1-qadam: SBOM yaratishni avtomatlashtiring
Har bir qurilish (build) jarayonida kod tarkibini avtomatik chiqarish uchun CycloneDX yoki SPDX plugin’larini o’rnating. Ular sizga avtomatik tarzda standartlashtirilgan xavfsizlik hujjatini tayyorlab beradi.
2-qadam: SCA (Software Composition Analysis) vositalarini qo’shing
Kodingiz ichidagi eskirgan va xavfli paketlarni avtomatik tutish kerak. CI/CD zanjiringizga Snyk, Trivy yoki OWASP Dependency-Check skanerlarini integratsiya qiling. Agar loyihaga qo’shilgan yangi kutubxonada xavfli zaiflik bo’lsa, tizim build’ni avtomatik ravishda to’xtatadi.
3-qadam: Statik va dinamik kod tahlili (SAST/DAST)
SonarQube, GitHub Advanced Security yoki Veracode kabi vositalar yordamida dasturchi yozgan kod liniyalarini real vaqtda skaner qiling. SQL-injection, ochiq yozilgan parollar (hardcoded secrets) yoki noto’g’ri sozlangan shifrlash usullari production bosqichiga o’tmasligi kerak.
Xulosa: CRA — to’siq emas, yangi sifat standarti
Yevropaning Cyber Resilience Act qonuni dastlab murakkab va byurokratik yuk bo’lib ko’rinishi mumkin. Ammo global IT bozorida g’oliblar har doim yangi qoidalarga birinchilardan bo’lib moslashganlar bo’ladi.
Agar sizning jamoangiz bugundan boshlab o’z mahsulotlarida kiberxavfsizlik avtomatizatsiyasini yo’lga qo’ysa, 2026-yilning sentyabr oyida raqobatchilaringiz xavotir ichida qonun hujjatlarini o’rganayotgan paytda, siz allaqachon xalqaro bozorda ishonchli va “CRA-ready” statusiga ega bo’lgan brend sifatida yetakchilikni qo’lga kiritasiz.
Xavfsizlikni keyinga qoldirmang — uni hoziroq kodingizning ajralmas qismiga aylantiring.