A kibertámadásokkal szembeni rezilienciáról szóló uniós jogszabály

A bébimonitoroktól az intelligens órákig, a digitális komponenst tartalmazó termékek és szoftverek mindenütt jelen vannak mindennapi életünkben. Sok felhasználó számára kevésbé nyilvánvaló a biztonsági kockázat, amelyet az ilyen termékek és szoftverek jelenthetnek. 

A kiberreziliencia-törvény (CRA) célja, hogy megvédje a digitális komponenssel rendelkező termékeket vagy szoftvereket vásárló vagy használó fogyasztókat és vállalkozásokat. A törvény azt látná, hogy a nem megfelelő biztonsági elemek a múltban válnak az ilyen termékek gyártóira és kiskereskedőire vonatkozó kötelező kiberbiztonsági követelmények bevezetésével, és ez a védelem a termék teljes életciklusára kiterjed.

A rendelet által kezelt probléma kettős.

Az első a sok termékben rejlő nem megfelelő kiberbiztonsági szint, vagy az ilyen termékek és szoftverek nem megfelelő biztonsági frissítései.

A második az, hogy a fogyasztók és a vállalkozások jelenleg képtelenek meghatározni, hogy mely termékek kiberbiztonsági szempontból biztonságosak, vagy olyan módon hozzák létre őket, amely biztosítja kiberbiztonságuk védelmét.

A kiberrezilienciáról szóló törvény garantálja a következőket:

• harmonizált szabályok a digitális komponenst tartalmazó termékek vagy szoftverek forgalomba hozatalakor;
• az ilyen termékek tervezését, tervezését, fejlesztését és karbantartását szabályozó kiberbiztonsági követelmények kerete, az értéklánc minden szakaszában teljesítendő kötelezettségekkel;
• az ilyen termékek teljes életciklusára vonatkozó gondoskodási kötelezettség biztosítására vonatkozó kötelezettség.

A rendelet hatálybalépésekor az internethez csatlakoztatott szoftvereken és termékeken CE-jelölést kell feltüntetni, amely jelzi, hogy megfelelnek az új szabványoknak. Annak előírása, hogy a gyártók és a kiskereskedők prioritásként kezeljék a kiberbiztonságot, az ügyfelek és a vállalkozások számára lehetővé válna, hogy tájékozottabb döntéseket hozzanak, bízva a CE-jelöléssel ellátott termékek kiberbiztonsági hitelesítő adataiban.

A rendeletet a 2020. évi uniós kiberbiztonsági stratégiában jelentették be, és kiegészíti az e területre vonatkozó egyéb jogszabályokat, különösen a NIS2 keretrendszert.

Ez a rendelet minden olyan termékre vonatkozik, amely közvetlenül vagy közvetve kapcsolódik egy másik eszközhöz vagy hálózathoz, kivéve az olyan meghatározott kivételeket, mint a nyílt forráskódú szoftverek vagy szolgáltatások, amelyek már a meglévő szabályok hatálya alá tartoznak, ami az orvostechnikai eszközökre, a légi közlekedésre és a személygépkocsikra vonatkozik.

A rendelet várhatóan 2024 elején lép hatályba. A gyártóknak a hatálybalépésük után 36 hónappal kell alkalmazniuk a szabályokat. A Bizottság ezt követően rendszeresen felülvizsgálja a törvényt, és jelentést tesz annak működéséről.