Akt o odporności cybernetycznej (CRA): Rada przyjmuje nowe przepisy o wymogach bezpieczeństwa produktów cyfrowych
W dniu 10 października 2024 Rada UE przyjęła nowy akt prawny o wymogach cyberbezpieczeństwa dla produktów z elementami cyfrowymi, tak by produkty, takie jak kamery dozoru wizyjnego podłączone do sieci, lodówki, telewizory i zabawki były bezpieczne przed wprowadzeniem do obrotu (CRA – Cyber Resilance Act – Akt o cyberodporności).
Nowe rozporządzenie ma na celu wypełnienie luk, wyjaśnienie powiązań i uspójnienie istniejących ram prawnych w zakresie cyberbezpieczeństwa, zapewniając bezpieczeństwo produktów z komponentami cyfrowymi, np. produktów Internetu Rzeczy (Internet of Things– IoT), w całym łańcuchu dostaw i w całym cyklu życia.
Kluczowe elementy nowego rozporządzenia
Nowe przepisy wprowadzają ogólnounijne wymogi w zakresie cyberbezpieczeństwa w zakresie projektowania, opracowywania, produkcji i udostępniania na rynku sprzętu i oprogramowania, aby uniknąć nakładania się wymogów wynikających z różnych aktów prawnych w państwach członkowskich UE. Na przykład oprogramowanie i urządzenia będą opatrzone znakiem CE, aby wskazać, że są zgodne z wymaganiami rozporządzenia. Litery “CE” pojawiają się na wielu produktach będących przedmiotem handlu na rozszerzonym jednolitym rynku w Europejskim Obszarze Gospodarczym (EOG). Oznacza to, że produkty sprzedawane na terenie EOG zostały ocenione pod kątem spełniania wysokich wymagań w zakresie bezpieczeństwa, zdrowia i ochrony środowiska.
Rozporządzenie będzie miało zastosowanie do wszystkich produktów, które są podłączone bezpośrednio lub pośrednio do innego urządzenia lub do sieci. Istnieją pewne wyjątki dla produktów, w odniesieniu do których wymogi w zakresie cyberbezpieczeństwa są już określone w obowiązujących przepisach UE, na przykład wyrobów medycznych, produktów lotniczych i samochodów.
Wreszcie, nowe prawo umożliwi konsumentom uwzględnianie cyberbezpieczeństwa przy wyborze i użytkowaniu produktów zawierających elementy cyfrowe, co ułatwi im identyfikację sprzętu i oprogramowania z odpowiednimi funkcjami cyberbezpieczeństwa.
Następne kroki
Po przyjęciu akt ustawodawczy zostanie podpisany przez przewodniczących Rady i Parlamentu Europejskiego, a w najbliższych tygodniach opublikowany w Dzienniku Urzędowym UE. Nowe rozporządzenie wejdzie w życie dwadzieścia dni po tej publikacji i będzie obowiązywać po 36 miesiącach od jego wejścia w życie, przy czym niektóre przepisy będą miały zastosowanie na wcześniejszym etapie.
O akcie CRA
Akt o cyberodporności – CRA , zapowiedziany po raz pierwszy przez przewodniczącą Komisji Ursulę von der Leyen w orędziu o stanie Unii we wrześniu 2021 r., został wymieniony w konkluzjach Rady z 23 maja 2022 r. w sprawie rozwoju cyberpostawy Unii Europejskiej, w których wezwano Komisję do przedłożenia wniosku do końca 2022 r.
15 września 2022 r. Komisja przedłożyła wniosek dotyczący aktu w sprawie cyberodporności, który uzupełni istniejące unijne ramy bezpieczeństwa cybernetycznego: dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji), dyrektywę w sprawie środków na rzecz wysokiego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2) oraz unijny akt o cyberbezpieczeństwie. W wyniku negocjacji międzyinstytucjonalnych (“rozmów trójstronnych”) 30 listopada 2023 r. współprawodawcy osiągnęli wstępne porozumienie.
JTG
