Konsultacje publiczne Cyber Resilience Act
06.10.2022
Rozpoczęły się publiczne konsultacje projektu rozporządzenia Cyber Resilience Act - mającego na celu ustanowienie wspólnych standardów cyberbezpieczeństwa dla urządzeń podłączonych do sieci.
Zapraszamy do konsultacji
Publiczne konsultacje projektu rozporządzenia Cyber Resilience Act (CRA)[i] rozpoczęły się 3 października. Uwagi do tego projektu można zgłaszać do dnia 17 października 2022 r.
Link do angielskiej wersji językowej projektu rozporządzenia: EUR-Lex - 52022PC0454 - EN - EUR-Lex (europa.eu).
[i] Proposal for a Regulation of The European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020
Cel rozporządzenia i jego znaczenie dla cyberbezpieczeństwa
Celem regulacji jest ustanowienie standardów w zakresie zasad cyberbezpieczeństwa urządzeń łączących się z internetem. Priorytety regulacji mają zostać osiągnięte m.in. poprzez wyeliminowanie luk w zabezpieczeniach produktów cyfrowych i usług pomocniczych oraz lepsze informowanie użytkowników o dobrych praktykach w celu zwiększenia ich bezpieczeństwa. Rozporządzenie wprowadzi wymogi dla producentów oprogramowania i sprzętu, w szczególności:
- zapewnienie, że przez przewidywany okres użytkowania produktu lub przez pięć lat po wprowadzeniu na rynek - podatności na zagrożenia będą skutecznie usuwane;
- powiadamianie Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o zidentyfikowanych lukach w produkcie lub usłudze w ciągu 24 godzin;
- uwzględnienie przez producentów sprzętów elektronicznych zasad cyberbezpieczeństwa już na etapie projektowania swoich towarów i usług.
CRA jest uzupełnieniem Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS2). Podczas gdy NIS2 obejmuje kwestie bezpieczeństwa krytycznych łańcuchów dostaw, rozporządzenie CRA stanowi uzupełnienie kwestii bezpieczeństwa urządzeń podłączonych do internetu (zwłaszcza IoT). Jest to bardzo istotne z punktu widzenia użytkowników, którzy korzystają powszechnie z tych urządzeń.
Kolejne kroki i konsultacje
Po przyjęciu rozporządzenia producenci państwa członkowskie będą miały dwa lata na dostosowanie się do nowych wymogów. Obowiązek zgłaszania podatności i incydentów będzie obowiązywał już po 12 miesiącach od wejścia w życie.
Zachęcamy do aktywnego opiniowania proponowanych przez Komisję Europejską rozwiązań. Na Państwa uwagi czekamy do 17 października 2022 r. pod wskazanymi adresami: Marcin.Domagala@mc.gov.pl; Magdalena.Zaniewicz@mc.gov.pl.