Pierwszy tego typu akt prawny w UE
Ustawa o odporności cybernetycznej (CRA) to pierwszy w Unii Europejskiej akt prawny, który wprowadza obowiązkowe wymogi dotyczące cyberbezpieczeństwa dla produktów zawierających elementy cyfrowe. Nowe przepisy zwiększają odpowiedzialność producentów za bezpieczeństwo zarówno sprzętu, jak i oprogramowania.
Ustawa nakłada na producentów obowiązek dostarczania aktualizacji oprogramowania, które eliminują luki w zabezpieczeniach, oraz zapewniania konsumentom wsparcia w zakresie bezpieczeństwa. Dzięki zwiększeniu przejrzystości w obszarze cyberzagrożeń i bezpieczeństwa produktów konsumenci zyskają możliwość podejmowania bardziej świadomych decyzji przy zakupie produktów na rynku unijnym.
Produkty zgodne z wymaganiami rozporządzenia będą oznaczane symbolem CE. Główne obowiązki wprowadzone przez CRA zaczną obowiązywać od 11 grudnia 2027 r. — Jesteśmy zobowiązani do uczynienia Europy bezpiecznym miejscem do działania dla naszych obywateli i przedsiębiorstw. To nowe rozporządzenie jest ważnym krokiem naprzód w zapewnieniu, że produkty cyfrowe w UE nie będą stwarzać cyberzagrożeń dla konsumentów w UE – powiedział Henna Virkkunen, wiceprzewodnicząca wykonawcza Komisji Europejskiej.
Czym jest CRA?
Cyber Resilience Act (CRA) ma na celu ochronę konsumentów i firm korzystających z oprogramowania lub sprzętu zawierającego elementy cyfrowe. Ustawa odpowiada na problem niskiego poziomu cyberbezpieczeństwa w wielu produktach oraz na brak regularnych aktualizacji zabezpieczeń. Rozwiązuje także trudności, z którymi borykają się użytkownicy przy ocenie, które produkty są bezpieczne oraz jak je właściwie skonfigurować. Nowe regulacje mają ułatwić uwzględnianie kwestii cyberbezpieczeństwa podczas wyboru i użytkowania produktów cyfrowych. Dzięki nim łatwiej będzie rozpoznać sprzęt i oprogramowanie spełniające wymagania w tym zakresie.
CRA wprowadza obowiązkowe wymogi dotyczące cyberbezpieczeństwa, obejmujące projektowanie, rozwój, konserwację oraz zarządzanie produktami na każdym etapie ich cyklu życia. Producenci będą zobowiązani do zapewnienia wsparcia przez cały okres użytkowania ich produktów. Dodatkowo, niektóre kluczowe produkty o szczególnym znaczeniu dla cyberbezpieczeństwa będą musiały zostać ocenione przez uprawnione instytucje przed wprowadzeniem na rynek unijny.
Rozporządzenie dotyczy wszystkich produktów, które bezpośrednio lub pośrednio łączą się z innymi urządzeniami lub sieciami, z wyłączeniem określonych kategorii, takich jak niektóre produkty oprogramowania lub usługi open source już regulowane w ramach istniejących przepisów – na przykład w obszarze wyrobów medycznych, lotnictwa czy motoryzacji. Produkty zgodne z CRA będą oznaczone znakiem CE, co będzie świadczyło o spełnieniu wymogów cyberbezpieczeństwa. Nowe przepisy nakładają większą odpowiedzialność na producentów, zobowiązując ich do zapewnienia, że ich produkty spełniają wymagania rynku UE, co pozwoli konsumentom dokonywać bardziej świadomych wyborów opartych na zaufaniu do oznakowania CE.
Cyber Resilience Act stanowi uzupełnienie ram cyberbezpieczeństwa NIS2, które zaczęły obowiązywać w ubiegłym roku. Jest to element szerszego zestawu działań, które Unia Europejska wprowadza, aby zwiększyć poziom bezpieczeństwa w coraz bardziej cyfrowej i zintegrowanej Europie.