Cyber Resilience Act (CRA) – nowe unijne regulacje w zakresie cyberbezpieczeństwa produktów cyfrowych

Artykuł zawiera treści promocyjne oraz lokowanie produktów związanych z ofertą Doradcy365.

W dobie rosnącej liczby cyberzagrożeń i powszechnej cyfryzacji, Unia Europejska wprowadza nowe regulacje mające na celu zwiększenie poziomu bezpieczeństwa produktów cyfrowych. 23 października 2024 roku Parlament Europejski i Rada UE przyjęły Rozporządzenie 2024/2847, znane jako Cyber Resilience Act (CRA).

Nowe przepisy mają na celu podniesienie poziomu bezpieczeństwa produktów cyfrowych w Unii Europejskiej poprzez wprowadzenie horyzontalnych wymagań dotyczących cyberbezpieczeństwa dla producentów i sprzedawców detalicznych, obejmując cały cykl życia produktów zawierających komponent cyfrowy. Nowe przepisy ułatwią konsumentom i przedsiębiorstwom wybór bezpiecznych rozwiązań oraz poprawią ochronę przed zagrożeniami cybernetycznymi.

Przepisy te wejdą w życie 11 grudnia 2027 r. i będą stosowane bezpośrednio w całej UE.

Dlaczego powstał Cyber Resilience Act?

Współczesne produkty cyfrowe, takie jak oprogramowanie, urządzenia IoT czy systemy operacyjne, często zawierają luki bezpieczeństwa, które mogą być wykorzystywane przez cyberprzestępców. W odpowiedzi na rosnące zagrożenia i liczne incydenty, Unia Europejska postanowiła nałożyć nowe obowiązki na producentów i dostawców, aby zapewnić wyższy poziom ochrony użytkowników i systemów IT.

Główne cele CRA obejmują:

✔ Bezpieczne projektowanie produktów cyfrowych – ograniczenie podatności już na etapie projektowania i opracowywania.

✔ Obowiązkowe wymogi cyberbezpieczeństwa – wprowadzenie jednolitych zasad bezpieczeństwa dla sprzętu i oprogramowania.

✔ Większa przejrzystość w zakresie bezpieczeństwa – umożliwienie użytkownikom łatwiejszego identyfikowania produktów spełniających wymogi.

✔ Wzmocnienie odpowiedzialności producentów – zapewnienie długoterminowego wsparcia i szybkiego reagowania na zagrożenia.

Zakres stosowania i podmioty objęte regulacją

Rozporządzenie CRA ma zastosowanie do szerokiej gamy produktów cyfrowych, w tym:

• Urządzeń IoT (Internetu Rzeczy),
• Oprogramowania (zarówno komercyjnego, jak i open-source),
• Sprzętu IT (np. routery, komputery, serwery),
• Systemów operacyjnych i aplikacji mobilnych,
• Inteligentnych urządzeń domowych (np. termostaty, zamki elektroniczne, systemy oświetleniowe),
• Przemysłowych urządzeń IoT wykorzystywanych w produkcji i logistyce.

Rozporządzenie klasyfikuje produkty na podstawie potencjalnego ryzyka cyberbezpieczeństwa:

• Produkty krytyczne (załącznik IV) – ich naruszenie może prowadzić do poważnych zagrożeń dla bezpieczeństwa. Do tej kategorii zaliczają się m.in. bramy inteligentnych liczników, urządzenia sprzętowe zabezpieczające dane czy systemy transakcji finansowych.
• Ważne produkty klasy II – mają kluczowe znaczenie dla infrastruktury IT i obejmują zapory sieciowe, systemy wykrywania zagrożeń, oprogramowanie do zarządzania dostępem i uwierzytelniania.
• Ważne produkty klasy I – ich naruszenie może mieć wpływ na funkcjonowanie systemów IT, ale nie stanowią one krytycznego ryzyka. Należą do nich m.in. przeglądarki internetowe, VPN-y, oprogramowanie antywirusowe czy systemy zarządzania tożsamością.
• Produkty standardowe – wszelkie inne produkty cyfrowe, które nie należą do kategorii krytycznych ani ważnych, ale podlegają podstawowym wymogom cyberbezpieczeństwa.

Podmioty objęte regulacją to:

• Producenci – zobowiązani do zapewnienia bezpieczeństwa swoich produktów przez cały cykl ich życia.
• Importerzy – muszą sprawdzić, czy produkty wprowadzane na rynek spełniają wymogi CRA.
• Dystrybutorzy – odpowiedzialni za udostępnianie na rynku wyłącznie certyfikowanych produktów.

Najważniejsze wymagania CRA

Nowe rozporządzenie nakłada szereg obowiązków na producentów i dostawców technologii cyfrowych. Kluczowe wymagania obejmują:

1️⃣ Wbudowane cyberbezpieczeństwo (Security by Design)

Każdy produkt cyfrowy musi być projektowany z uwzględnieniem zasad cyberbezpieczeństwa już na etapie jego tworzenia. Konieczne jest ograniczenie ryzyka związanego z podatnościami systemowymi i regularne aktualizacje zabezpieczeń.

2️⃣ Wymóg długoterminowego wsparcia i aktualizacji

Producent musi zapewnić regularne aktualizacje bezpieczeństwa przez co najmniej 5 lat. Użytkownicy muszą otrzymać jasne i zrozumiałe instrukcje dotyczące aktualizacji i konfiguracji zabezpieczeń.

3️⃣ Zgłaszanie podatności i incydentów bezpieczeństwa

Producent ma obowiązek zgłaszania wykrytych luk i podatności do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w ciągu 24 godzin od ich wykrycia. Incydenty związane z bezpieczeństwem będą musiały być raportowane także użytkownikom wraz z instrukcjami postępowania.

4️⃣ Certyfikacja i ocena zgodności

Produkty muszą spełniać określone standardy bezpieczeństwa przed wprowadzeniem na rynek. W zależności od poziomu ryzyka producent będzie zobowiązany do przeprowadzenia wewnętrznych testów zgodności lub certyfikacji przez niezależne organy.

Produkty objęte regulacją muszą przejść ocenę zgodności, która obejmuje:

• certyfikację europejską dla produktów krytycznych,
• ocenę zgodności przeprowadzaną przez zewnętrznych ekspertów dla produktów klasy II,
• samodzielną weryfikację dla produktów mniej istotnych.

Produkty spełniające wymagania będą oznaczane certyfikatem CE, potwierdzającym zgodność z unijnymi regulacjami.

5️⃣ Sankcje za naruszenia przepisów

Nieprzestrzeganie regulacji może skutkować karami finansowymi do 15 mln euro lub do 2,5% rocznego globalnego obrotu firmy. W przypadku poważnych uchybień produkt może zostać wycofany z rynku.

Zapowiadane zmiany i kolejne etapy wdrożenia

Choć główne przepisy CRA wchodzą w życie w grudniu 2027 roku, Unia Europejska pracuje już nad kolejnymi usprawnieniami w zakresie cyberbezpieczeństwa. Obejmują one: ✔ Dalsze ograniczanie stosowania produktów o niskim poziomie zabezpieczeń – planowane są kolejne normy dotyczące oceny zgodności produktów cyfrowych. ✔ Nowe obowiązki dla dostawców usług cyfrowych – m.in. w zakresie ochrony infrastruktury krytycznej i wymogu stosowania zasad Zero Trust. ✔ Doprecyzowanie zasad dotyczących zgłaszania incydentów – zmiany mają na celu uproszczenie procedur i lepszą koordynację na poziomie krajowym i unijnym.

Jak CRA wpłynie na przedsiębiorstwa i konsumentów?

W odniesieniu do firm technologicznych i producentów:

✔ Większa odpowiedzialność za bezpieczeństwo produktów – producenci są zobowiązani do zapewnienia zgodności produktów z unijnymi normami cyberbezpieczeństwa na każdym etapie cyklu życia, co oznacza konieczność wdrożenia nowych procedur i standardów.

✔ Dodatkowe obowiązki związane z testowaniem i certyfikacją – producenci będą musieli przeprowadzać szczegółowe analizy bezpieczeństwa i spełniać rygorystyczne procedury certyfikacji, szczególnie w przypadku produktów krytycznych.

✔ Konieczność długoterminowego wsparcia i aktualizacji – obowiązek udostępniania poprawek i aktualizacji zabezpieczeń przez co najmniej 5 lat od wprowadzenia produktu na rynek.

✔ Obowiązek reagowania na incydenty cyberbezpieczeństwa – firmy muszą nie tylko monitorować i reagować na zagrożenia, ale także zgłaszać wszelkie wykryte podatności w zabezpieczeniach w ciągu 24 godzin do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

✔ Sankcje i kary za brak zgodności – za nieprzestrzeganie regulacji grożą wysokie kary finansowe, sięgające do 15 milionów euro lub 2,5% rocznego obrotu firmy.

✔ Zmiany w procesach produkcji i projektowania – przedsiębiorstwa będą musiały wdrożyć podejście security by design, co oznacza uwzględnienie aspektów cyberbezpieczeństwa już na etapie planowania produktu.

✔ Wzrost kosztów operacyjnych – początkowo dla wielu firm nowe wymogi mogą oznaczać konieczność dostosowania procesów i zwiększenie wydatków na cyberbezpieczeństwo, testowanie produktów oraz zatrudnienie ekspertów ds. bezpieczeństwa IT.

W odniesieniu do importerów i dystrybutorów:

✔ Odpowiedzialność za wprowadzane produkty – importerzy i dystrybutorzy będą zobowiązani do sprawdzenia, czy produkty spełniają wymogi CRA i posiadają certyfikację CE.

✔ Konsekwencje prawne za sprzedaż niezgodnych produktów – firmy, które wprowadzą na rynek produkty niespełniające wymogów, mogą zostać pociągnięte do odpowiedzialności i zobowiązane do ich wycofania.

✔ Wzrost kosztów związanych z weryfikacją zgodności – dystrybutorzy będą musieli zainwestować w procedury audytu i oceny produktów przed ich sprzedażą na rynku UE.

W odniesieniu do użytkowników i konsumentów:

✔ Większe bezpieczeństwo urządzeń i oprogramowania – dzięki obowiązkowym zabezpieczeniom i regularnym aktualizacjom zmniejszy się ryzyko cyberataków, oszustw i kradzieży danych.

✔ Lepsza ochrona prywatności i danych osobowych – CRA wprowadza obowiązek stosowania środków ochrony informacji, co oznacza mniejsze prawdopodobieństwo wycieku wrażliwych danych użytkowników.

✔ Większa przejrzystość produktów – konsumenci będą mogli łatwiej identyfikować urządzenia i oprogramowanie spełniające standardy bezpieczeństwa dzięki oznakowaniu CE.

✔ Lepsze wsparcie techniczne i dłuższe wsparcie dla produktów – producenci będą zobowiązani do udostępniania aktualizacji bezpieczeństwa przez co najmniej 5 lat, co wydłuży cykl życia urządzeń i zwiększy ich stabilność.

✔ Możliwość świadomego wyboru bezpiecznych rozwiązań – użytkownicy uzyskają dostęp do jasnych informacji na temat poziomu bezpieczeństwa produktów, co pozwoli im na lepsze decyzje zakupowe.

Termin wdrożenia i znaczenie dla strategii UE

Akt w sprawie cyberodporności wszedł w życie 10 grudnia 2024 r., natomiast obowiązki wynikające z niego zaczną obowiązywać od 11 grudnia 2027 r.

Działania te są częścią szerszej strategii UE w zakresie cyberbezpieczeństwa oraz unii bezpieczeństwa, przyjętej w 2020 roku. Nowe przepisy uzupełniają inne inicjatywy, w tym dyrektywę NIS 2, mającą na celu zwiększenie odporności sieci i systemów informatycznych w całej Unii.

Grupa ekspertów ds. cyberodporności

Aby ułatwić wdrażanie nowych przepisów, powołano grupę ekspertów ds. cyberodporności. Będzie ona wspierać Komisję Europejską w zakresie interpretacji i implementacji aktu, a także doradzać w kwestiach technicznych i legislacyjnych.

Podsumowanie

Cyber Resilience Act (CRA) to jeden z najważniejszych aktów prawnych UE w zakresie cyberbezpieczeństwa. Wprowadza on nowe, rygorystyczne standardy dla produktów cyfrowych, nakładając na producentów obowiązki związane z zapewnieniem ich bezpieczeństwa.

Nowe regulacje dotyczące cyberbezpieczeństwa to istotny krok w kierunku zwiększenia ochrony użytkowników oraz podniesienia standardów w branży technologicznej. Wprowadzenie obowiązkowych wymogów cyberbezpieczeństwa na etapie projektowania i eksploatacji produktów cyfrowych pozwoli na skuteczniejsze przeciwdziałanie zagrożeniom, a oznakowanie CE ułatwi konsumentom podejmowanie świadomych decyzji zakupowych. Akt w sprawie cyberodporności stanowi kolejny krok w budowaniu bardziej bezpiecznego ekosystemu cyfrowego w Unii Europejskiej.

Czy Twoja firma jest gotowa na CRA?

Jeśli Twoja firma działa w branży IT, IoT lub zajmuje się dystrybucją produktów cyfrowych, warto już teraz rozpocząć przygotowania do wdrożenia nowych wymogów. Skontaktuj się z naszym zespołem ekspertów w zakresie cyberbezpieczeństwa i uzyskaj wsparcie w dostosowaniu się do nowych regulacji!

📩 Masz pytania? Skontaktuj się z nami!

Skorzystaj z naszej pomocy już dziś i uzyskaj wsparcie.

Masz więcej pytań? Zapraszamy do kontaktu