To pytanie jest szczególne istotne, jeśli jesteś producentem lub dystrybutorem sprzętu lub oprogramowania albo planujesz nabywać takie produkty. Wkrótce gwarancje dotyczące cyberodporności staną się standardem.
Jeszcze nie opadł kurz po NIS2, eIDAS 2.0 i AI Act, a już na horyzoncie pojawia się CRA – Cyber Resilience Act – nowe rozporządzenie Unii Europejskiej. Ma sprawić, aby nasz cyfrowy świat był mniej „O nie! Zostaliśmy zhakowani”, a bardziej „Spokojnie, mamy to pod kontrolą.”
Czym jest CRA?
European Cyber Resilience Act (CRA) to rozporządzenie, które określa wymogi cyberbezpieczeństwa dla sprzętu i oprogramowania z elementami cyfrowymi wprowadzanego na rynek Unii Europejskiej. Dotyczy to produktów, które mają bezpośrednie lub pośrednie połączenie z Internetem – od prostych urządzeń IoT po zaawansowane oprogramowanie korporacyjne.
Dlaczego CRA jest potrzebne?
Zgodnie z uzasadnieniem cyfrowy sprzęt i oprogramowanie stanowią jedną z głównych dróg skutecznych cyberataków. W zintegrowanym środowisku incydent w jednym produkcie może mieć wpływ na całą organizację lub cały łańcuch dostaw, często rozprzestrzeniając się poza granice rynku wewnętrznego w ciągu kilku minut.
Pod pewnymi warunkami wszystkie produkty z elementami cyfrowymi zintegrowanymi lub podłączonymi do większego elektronicznego systemu informacyjnego mogą służyć jako wektor ataku.
Cyberbezpieczeństwo tych produktów ma szczególnie silny wymiar transgraniczny, ponieważ produkty wytwarzane w jednym kraju są często używane przez organizacje i konsumentów na całym rynku wewnętrznym.
Jako główne powody wskazano:
– Niski poziom cyberbezpieczeństwa produktów z elementami cyfrowymi, odzwierciedlony przez powszechne luki w zabezpieczeniach oraz niewystarczające i niespójne dostarczanie aktualizacji zabezpieczeń w celu ich wyeliminowania.
– Niewystarczające zrozumienie i dostęp do informacji przez użytkowników, co uniemożliwia im wybór produktów o odpowiednich właściwościach cyberbezpieczeństwa lub korzystanie z nich w bezpieczny sposób.
Przykłady produktów z elementami cyfrowymi:
– Urządzenia końcowe: m.in. laptopy, smartfony, czujniki i kamery, inteligentne roboty, inteligentne karty, inteligentne głośniki, routery, przełączniki, przemysłowe systemy sterowania.
– Oprogramowanie: firmware, systemy operacyjne, aplikacje mobilne, aplikacje desktopowe, gry wideo
– Komponenty (zarówno sprzętowe, jak i programowe): karty graficzne, biblioteki oprogramowania
Cel regulacji CRA
– Zmniejszenie luk w zabezpieczeniach produktów cyfrowych na etapie projektowania i rozwoju.
– Wymuszenie odpowiedzialności na producentach i sprzedawcach za zarządzanie ryzykiem w całym cyklu życia produktu.
– Zwiększenie zaufania konsumentów poprzez zapewnienie bezpieczniejszego środowiska cyfrowego.
Obowiązki producentów i dystrybutorów
– Dokumentacja: produkty muszą zawierać jasne i zrozumiałe instrukcje w języku zrozumiałym dla użytkownika, umożliwiające bezpieczną instalację, obsługę i użytkowanie.
– Certyfikacja produktów: Wymóg certyfikowania produktów zgodnie z przepisami CRA.
Kary za nieprzestrzeganie przepisów
CRA podchodzi do egzekwowania przepisów poważnie. Nieprzestrzeganie CRA może skutkować karami finansowymi do 15 milionów EUR lub 2,5% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa.
Kiedy CRA zacznie obowiązywać?
Przepisy wejdą w życie między kwietniem a czerwcem 2027 roku. Producenci, importerzy i dystrybutorzy będą mieli 36 miesięcy na dostosowanie się do wymogów.
Obowiązek zgłaszania incydentów wejdzie w życie wcześniej – już po 21 miesiącach, czyli w 2026 roku.
Warto już teraz przeanalizować swoich partnerów w łańcuchu dostaw i przeprowadzić audyty bezpieczeństwa.
Jakie kroki podjąć już teraz?
- Przeprowadź ocenę ryzyka związanego z bezpieczeństwem swoich produktów i zidentyfikuj istniejące luki.
- Przejrzyj swoje praktyki bezpieczeństwa i określ obszary wymagające poprawy.
- Włącz zasady „security by design” do procesu rozwoju produktów.
Skorzystaj ze wsparcia ekspertów prawnych i cyberbezpieczeństwa, aby zapewnić zgodność z CRA w swoich umowach. Potrzebujesz przygotować swoje umowy i procedury na wymogi CRA? Skontaktuj się ze mną: renata.lewicka@gsw.com.pl
Renata Warchoł-Lewicka, radca prawny, Partner w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy Adwokaci i Radcowie Prawni.