Legea UE privind reziliența cibernetică

De la baby-monitor la smartwatch-uri, produse și software care conțin o componentă digitală sunt omniprezente în viața noastră de zi cu zi. Mai puțin evident pentru mulți utilizatori este riscul de securitate pe care astfel de produse și software-ul îl pot prezenta. 

Legea privind reziliențacibernetică (CRA) urmărește să protejeze consumatorii și întreprinderile care cumpără sau utilizează produse sau software cu o componentă digitală. Legea ar considera că elementele de securitate inadecvate devin de domeniul trecutului odată cu introducerea unor cerințe obligatorii de securitate cibernetică pentru producătorii și comercianții cu amănuntul de astfel de produse, această protecție extinzându-se pe tot parcursul ciclului de viață al produsului.

Problema abordată de regulament este dublă.

În primul rând, nivelul inadecvat de securitate cibernetică inerent multor produse sau actualizările de securitate inadecvate ale unor astfel de produse și software.

În al doilea rând, este incapacitatea consumatorilor și a întreprinderilor de a determina în prezent care produse sunt sigure din punct de vedere cibernetic sau de a le crea într-un mod care să le asigure securitatea cibernetică.

Legea privind reziliența cibernetică va garanta:

• norme armonizate atunci când introduc pe piață produse sau programe informatice cu o componentă digitală;
• un cadru de cerințe de securitate cibernetică care reglementează planificarea, proiectarea, dezvoltarea și întreținerea unor astfel de produse, cu obligații care trebuie îndeplinite în fiecare etapă a lanțului valoric;
• obligația de a asigura obligația de diligență pentru întregul ciclu de viață al acestor produse.

La intrarea în vigoare a regulamentului, software-ul și produsele conectate la internet vor purta marcajul CE pentru a indica faptul că respectă noile standarde. Cerința ca producătorii și comercianții cu amănuntul să acorde prioritate securității cibernetice, clienții și întreprinderile ar fi împuterniciți să facă alegeri mai bine informate, având încredere în acreditările de securitate cibernetică ale produselor cu marcaj CE.

Regulamentul a fost anunțat în Strategia de securitate cibernetică a UE pentru 2020 și completează alte acte legislative în acest domeniu, în special cadrul NIS2.

Acesta se va aplica tuturor produselor conectate direct sau indirect la un alt dispozitiv sau rețea, cu excepția excluderilor specificate, cum ar fi software-ul sau serviciile cu sursă deschisă care sunt deja reglementate de normele existente, ceea ce este cazul dispozitivelor medicale, aviației și autoturismelor.

Se preconizează că regulamentul va intra în vigoare la începutul anului 2024. Producătorii vor trebui să aplice normele la 36 de luni de la intrarea lor în vigoare. Comisia va revizui apoi periodic actul și va raporta cu privire la funcționarea sa.