Stopniowo zaczynają wchodzić w życie przepisy Cyber Resilience Act (CRA), czyli unijnego rozporządzenia z zakresu cyberbezpieczeństwa. Celem przyjęcia CRA jest zwiększenie bezpieczeństwa produktów cyfrowych wprowadzanych do obrotu w Unii Europejskiej. Pierwsze wymogi wynikające z rozporządzenia zaczną obowiązywać w 2026 r., a pełne jego stosowanie nastąpi w 2027 r. Tak, jak w przypadku większości unijnych aktów prawnych, prawodawca przewidział okres przejściowy na dostosowanie do nowych wymogów.
CRA – czego dotyczy?
Cyber Resilience Act (CRA) to unijne rozporządzenie przyjęte w celu podniesienie poziomu cyberbezpieczeństwa produktów zawierających elementy cyfrowe (tzw. products with digital elements). Regulacja została uchwalona i weszła w życie w 2024 r., przewidując jednocześnie niemal 3 letni okres przejściowy, podczas którego stopniowo stosowane zaczną być kolejne przepisy rozporządzenia. CRA stanowić ma odpowiedź UE na rosnącą liczbę cyberataków oraz niską jakość zabezpieczeń wielu produktów dostępnych na rynku, zarówno od strony oprogramowania, jak i urządzeń infrastruktury informatycznej.
Cyberbezpieczeństwo jest w ostatnich latach przedmiotem dużego zainteresowania unijnego prawodawcy. CRA uzupełnia bowiem inne regulacje w tym obszarze, w szczególności dyrektywę NIS2 (dyrektywa została implementowana w Polsce w drodze nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa). Dyrektywa NIS2 koncentruje się na cyberbezpieczeństwie podmiotów działających w określonych sektorach gospodarki. CRA skupia się natomiast na bezpieczeństwie samych produktów wprowadzanych do obrotu. CRA jest elementem szerszego krajobrazu regulacji nowych technologii, w którym będzie współistnieć razem z np. RODO, czy AI Actem (rozporządzeniem dotyczącym sztucznej inteligencji).
Co wynika z CRA?
CRA wprowadza kompleksowy zestaw wymogów bezpieczeństwa dla produktów cyfrowych. Obejmuje cały cykl życia produktu – od fazy projektowania, przez wdrożenie, aż po utrzymanie i aktualizacje. Rozporządzeniem objęte będzie szerokie spektrum produktów, w tym oprogramowanie, urządzenia IoT, systemy operacyjne czy aplikacje. Spełnienie tych warunków będzie wymogiem uzyskania oznakowania (CE), pozwalającego na swobodny obrót produktem na rynku Unii Europejskiej.
Producenci produktów objętych regulacją, będą musieli zadbać o realizację idei security by design, tj. uwzględnienia kwestii cyberbezpieczeństwa już na etapie projektowania produktu. Będą oni również zobowiązani do identyfikacji ryzyk i podatności oraz zapewnienia aktualizacji bezpieczeństwa przez co najmniej 5 lat od wprowadzenia produktu do obrotu. CRA przewiduje także obowiązki związane z prowadzeniem dokumentacji i raportowaniem podatności. Importerzy i dystrybutorzy produktów będą odpowiedzialni za weryfikację czy wprowadzany przez nich do obrotu produkt spełnia wymogi CRA.
CRA zacznie obowiązywać stopniowo
Przepisy CRA zaczną być stosowane stopniowo. Choć rozporządzenie weszło w życie w grudniu 2024 r., większość ustanawianych przez nie wymogów zacznie obowiązywać później. Od września tego roku (2026) obowiązywać zacznie obowiązek raportowania incydentów i podatności. W grudniu przyszłego roku (2027) rozporządzenie zacznie być stosowane w całości.
CRA dotknie przede wszystkim producentów dostawców, importerów i dystrybutorów oprogramowania i sprzętu. Regulacje będą miały zatem wpływ na większość podmiotów zaangażowanych w łańcuchy dostaw w sektorze cyfrowym. Szczególną uwagę na regulacje powinny zwrócić podmioty wprowadzające określone produkty na rynek. To one bowiem są bezpośrednimi adresatami dużej części regulacji.
Spełnienie wymogów CRA będzie niezbędne, żeby produkt cyfrowy mógł być przedmiotem swobodnego obrotu na terenie UE. Ponadto rozporządzenie przewiduje kary pieniężne. Mogą one wynieść nawet 15 milionów euro lub 2,5% rocznego obrotu światowego. Są to kwoty zbliżone do tych przewidzianych przez przepisy RODO.
Źródło:
https://digital-strategy.ec.europa.eu/pl/policies/cyber-resilience-act
