Spis treści
Czym jest Ustawa o Cyberodporności?
Ustawa o Cyberodporności (CRA) to unijne rozporządzenie nr 2024/2847, które wprowadza wymagania w zakresie cyberbezpieczeństwa dla produktów cyfrowych. Celem Cyber Resilience Act jest zapewnienie, że sprzęt i oprogramowanie są projektowane, opracowywane i utrzymywane z uwzględnieniem solidnych środków cyberbezpieczeństwa przez cały cykl ich życia.
Cele aktu o cyberodporności (CRA)
Głównym celem CRA jest podniesienie poziomu cyberbezpieczeństwa produktów dostępnych na rynku Unii Europejskiej, co ma przynieść korzyści zarówno konsumentom, jak i przedsiębiorstwom.
Akt o cyberodporności w skrócie:
Rozporządzenie wyznacza dwa kluczowe cele, które mają na celu zapewnienie sprawnego funkcjonowania rynku wewnętrznego:
- Ustanowienie warunków, dzięki którym sprzęt komputerowy i oprogramowanie będą wprowadzane na rynek z mniejszą podatnością na zagrożenia, przy jednoczesnym zobowiązaniu producentów do priorytetowego traktowania bezpieczeństwa przez cały cykl życia produktu.
- Zapewnienie użytkownikom możliwości uwzględnienia aspektów cyberbezpieczeństwa przy wyborze i korzystaniu z produktów cyfrowych.
Dodatkowo określono cztery szczegółowe cele:
- Zapewnienie, aby producenci poprawili bezpieczeństwo produktów z elementami cyfrowymi od etapu projektowania i rozwoju oraz przez cały cykl życia;
- Zapewnienie spójnych ram cyberbezpieczeństwa, ułatwiających przestrzeganie przepisów producentom sprzętu i oprogramowania;
- Zwiększenie przejrzystości właściwości bezpieczeństwa produktów z elementami cyfrowymi oraz
- Umożliwienie przedsiębiorstwom i konsumentom bezpiecznego korzystania z produktów z elementami cyfrowymi.
Pomożemy Ci w spełnieniu unijnych regulacji
Dzięki naszym usługom zaprojektujesz bezpieczne produkty, zwiększysz zaufanie klientów przez transparentność danych o bezpieczeństwie, a także będziesz w stanie sprawnie zarządzać zgłaszaniem incydentów. Razem z nami zbudujesz solidne fundamenty zgodności, które pozwolą Ci działać bez obaw na rynku europejskim.
Zakres zastosowania unijnej ustawy o odporności cybernetycznej
Akt o cyberodporności obejmuje szeroką gamę produktów zawierających elementy cyfrowe, które są definiowane jako: „dowolne oprogramowanie lub sprzęt oraz jego rozwiązania do zdalnego przetwarzania danych, które obejmują bezpośrednie lub pośrednie logiczne, lub fizyczne połączenie danych z urządzeniem, lub siecią”.
Przykładowe produkty objęte CRA to:
- Urządzenia elektroniczne: laptopy, smartfony, inteligentne urządzenia domowe (np. termostaty, inteligentne zamki do drzwi, inteligentne systemy oświetleniowe), smartwatche.
- Oprogramowanie: systemy operacyjne, aplikacje mobilne, firmware, gry wideo.
- Komponenty: procesory, karty graficzne, biblioteki oprogramowania.
Kluczowe wymagania ustawy o cyberodporności (CRA)
CRA nakłada szereg obowiązków na producentów, importerów i dystrybutorów produktów z elementami cyfrowymi.
Dla producentów:
- Produkty muszą być projektowane i wytwarzane zgodnie z zasadniczymi wymogami cyberbezpieczeństwa, uwzględniając wyniki oceny ryzyka na etapie planowania, projektowania, rozwoju, produkcji, dostawy i konserwacji.
- Zapewnienie bezpłatnych aktualizacji zabezpieczeń w okresie wsparcia produktu
- Sporządzenie i utrzymanie dokumentacji technicznej oraz deklaracji zgodności UE dla każdego produktu.
Dla importerów i dystrybutorów:
- Upewnienie się, że produkty spełniają wymagania CRA przed ich wprowadzeniem na rynek UE.
- Przechowywanie kopii deklaracji zgodności oraz zapewnienie, że dokumentacja techniczna jest dostępna dla organów nadzoru rynku.
Przykłady ataków na urządzenia objęte ustawą o cyberodporności
- W 2018 cyberprzestępca zhackował elektroniczną nianię podłączoną do Internetu. W podobny sposób zhakowano także kamery do monitorowania dzieci, dzięki którym cyberprzestępcy mogli zajrzeć do domu ofiary.
- W 2021 roku hakerzy uzyskali dostęp do ponad 150 000 kamer monitoringu firmy Verkada, używając danych logowania administratora znalezionych w internecie. Atak objął kamery w fabrykach, szpitalach, szkołach i więzieniach.
W miarę jak liczba podłączonych urządzeń rośnie, rośnie też ryzyko ich wykorzystania przez cyberprzestępców. Regulacje takie jak Cyber Resilience Act są niezbędne, aby zwiększyć odporność produktów, chronić dane użytkowników i organizacji.
Kary za nieprzestrzeganie Ustawy o cyberodporności (CRA)
Rozporządzenie przewiduje kary pieniężne w wysokości:
- do 15 000 000 EUR lub do 2,5% całkowitego rocznego światowego obrotu przedsiębiorstwa – w przypadku niezgodności z zasadniczymi wymogami cyberbezpieczeństwa;
- do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa – w przypadku niezgodności z wszelkimi innymi obowiązkami wskazanymi w rozporządzeniu;
- do 5 000 000 EUR lub do 1% całkowitego rocznego światowego obrotu przedsiębiorstwa – w przypadku przekazywania organom nadzoru rynku nieprawidłowych informacji w odpowiedzi na ich wnioski.
Ustawa o cyberodporności - harmonogram
15 września 2022 r. Komisja przedstawiła projekt aktu o cyberodporności jako uzupełnienie dotychczasowych unijnych ram cyberbezpieczeństwa: dyrektywy NIS2 oraz unijnego aktu w sprawie cyberbezpieczeństwa.
10 października 2024 roku Rada UE formalnie przyjęła rozporządzenie, finalizując proces legislacyjny.
Akt został opublikowany w Dzienniku Urzędowym Unii Europejskiej 20 listopada 2024 roku jako Rozporządzenie (UE) 2024/2847. Wszedł w życie 12 dni po publikacji, czyli 2 grudnia 2024 roku.
Przepisy aktu będą obowiązywać po upływie 24 miesięcy od wejścia w życie. W tym czasie producenci i inne podmioty muszą dostosować się do nowych wymogów.
Obowiązek zgłaszania wykrytych podatności i incydentów zacznie obowiązywać wcześniej, bo już po 12 miesiącach od wejścia w życie aktu, czyli od 2 grudnia 2025 roku.
Najczęściej zadawanie pytania dotyczące ustawy o cyberodporności
Jakie są wymagania dla producentów w zakresie zgłaszania podatności?
Producenci są zobowiązani do monitorowania i identyfikowania podatności w swoich produktach oraz zgłaszania wykrytych luk w zabezpieczeniach do odpowiednich organów w ciągu 24 godzin od ich wykrycia.
Jakie firmy muszą przestrzegać przepisów ustawy o cyberodporności?
Rozporządzenie dotyczy producentów, importerów i dystrybutorów urządzeń cyfrowych oraz oprogramowania wprowadzanych na rynek UE. Dotyczy to zarówno firm unijnych, jak i podmiotów spoza UE, które chcą sprzedawać swoje produkty na rynku unijnym.
Czym różnią się produkty klasy I od produktów klasy II?
Produkty klasy I to urządzenia o niższym ryzyku, takie jak standardowe urządzenia konsumenckie, które muszą spełniać podstawowe wymagania. Produkty klasy II charakteryzują się wyższym poziomem ryzyka i wymagają bardziej zaawansowanych zabezpieczeń oraz regularnych audytów bezpieczeństwa.
Czy małe firmy również muszą przestrzegać tych przepisów?
Tak, wszystkie podmioty wprowadzające na rynek produkty cyfrowe, niezależnie od wielkości, muszą spełniać wymogi Cyber Resilience Act.
Czy ustawa o cyberodporności dotyczy tylko nowych produktów?
Rozporządzenie dotyczy zarówno nowych produktów, jak i tych, które są już dostępne na rynku, jeśli ich cykl życia obejmuje konieczność aktualizacji bezpieczeństwa.
Dlaczego wprowadzono ustawę o cyberodporności?
Cyber Resilience Act powstał w odpowiedzi na rosnącą liczbę cyberataków oraz coraz większe uzależnienie od produktów cyfrowych. Jego celem jest wzmocnienie ochrony użytkowników i stworzenie jednolitych ram prawnych dla cyberbezpieczeństwa w całej Unii Europejskiej.
Zaufaj wieloletniemu doświadczeniu
Tagi: ustawa o cyberodporności, CRA, cyber resilience act, ustawa o cyberbezpieczeństwie, akt o cyberodporności
