Ruszyły konsultacje dotyczące Cyber Resilience Act

Rozpoczęły się publiczne konsultacje projektu rozporządzenia Cyber Resilience Act  mającego na celu ustanowienie wspólnych standardów cyberbezpieczeństwa dla urządzeń podłączonych do sieci. Uwagi do projektu można zgłaszać do dnia 17 października 2022 r.

Celem regulacji jest ustanowienie standardów w zakresie zasad cyberbezpieczeństwa urządzeń łączących się z internetem. Priorytety regulacji mają zostać osiągnięte m.in. poprzez wyeliminowanie luk w zabezpieczeniach produktów cyfrowych i usług pomocniczych oraz lepsze informowanie użytkowników o dobrych praktykach w celu zwiększenia ich bezpieczeństwa. Rozporządzenie wprowadzi wymogi dla producentów oprogramowania i sprzętu, w szczególności:

  • zapewnienie, że przez przewidywany okres użytkowania produktu lub przez pięć lat po wprowadzeniu na rynek - podatności na zagrożenia będą skutecznie usuwane;
  • powiadamianie Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o zidentyfikowanych lukach w  produkcie lub usłudze w ciągu 24 godzin;
  • uwzględnienie przez producentów sprzętów elektronicznych zasad cyberbezpieczeństwa już na etapie projektowania swoich towarów i usług.

CRA  jest uzupełnieniem Dyrektywy Parlamentu Europejskiego i Rady (UE) z  lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS2). Podczas gdy NIS2 obejmuje kwestie bezpieczeństwa krytycznych łańcuchów dostaw, rozporządzenie CRA stanowi uzupełnienie kwestii bezpieczeństwa urządzeń podłączonych do internetu (zwłaszcza IoT). Jest to bardzo istotne z punktu widzenia użytkowników, którzy korzystają powszechnie z tych urządzeń.

Po przyjęciu rozporządzenia producenci państwa członkowskie będą miały dwa lata na dostosowanie się do nowych wymogów. Obowiązek zgłaszania podatności i incydentów będzie obowiązywał już po 12 miesiącach od wejścia w życie.