Unijny akt o cyberodporności: wymogi dla branży ICT

  • European Digital SME Alliance – stowarzyszenie małych i średnich przedsiębiorstw branży ICT w Europie przedstawiło wymagania, jakie będą musieli wkrótce spełnić producenci urządzeń zawierających komponent cyfrowy.
  • Standardy, które zaakceptował Parlament Europejski, dotyczą inteligentnych urządzeń (ang. smart devices) oraz niematerialnych produktów cyfrowych (oprogramowania), wbudowanych w urządzenia podłączone do Internetu.
  • Nowe przepisy mają zapewnić, że powszechnie używane produkty cyfrowe (inteligentne urządzenia i wbudowane w nich aplikacje) będą odporne na cyberzagrożenia, takie jak np. wyciek informacji.

W marcu br. Parlament Europejski zaakceptował nowe ramy prawne dotyczące cyberbezpieczeństwa – Akt dotyczący cyberodporności (ang. The Cyber Resilience Act, CRA). Choć przedsiębiorcy mają zapewniony wielomiesięczny okres przejściowy, który pomoże w dostosowaniu się do nowych przepisów, wielu producentów już teraz rozpoczyna analizę swoich procedur i sprawdza, czy stosowane praktyki pozwalają spełnić nowe standardy dotyczące urządzeń cyfrowych. CRA jest pierwszą tego typu regulacją, która w sposób szczegółowy odnosi się do kwestii zapewnienia cyberbezpieczeństwa produktów z elementami cyfrowymi, które są wprowadzane do obrotu na terenie UE. Przepisy nie będą jednak dotyczyły rozwiązań, które nie są integralną częścią gotowych urządzeń, takich jak zewnętrzne aplikacje, czy oprogramowanie typu SaaS.

Nowe obowiązki dla przedsiębiorców

Przepisy wprowadzają szereg obowiązków w zakresie zapewnienia bezpieczeństwa produktów cyfrowych, które mają spełnić dostawcy urządzeń. Nowe zasady oznaczają m.in., że domyślne ustawienia produktów cyfrowych mają zapewniać bezpieczeństwo użytkownikowi, a produkty cyfrowe dopuszczone do obrotu mają być wolne od powszechnie znanych luk bezpieczeństwa, pozwalających np. na nieuprawniony wyciek danych. Urządzenia mają być również chronione przed nieautoryzowanym dostępem oraz ograniczać zakres gromadzonych danych, tylko do tych, które są niezbędne do zamierzonego zastosowania. Obowiązkiem producentów będzie również usuwanie możliwych luk w zabezpieczeniach poprzez cykliczne dostarczanie aktualizacji, o których powiadamiani będą użytkownicy. Producenci będą także zobowiązani do rejestrowania i monitorowania zagrożeń i incydentów bezpieczeństwa w odniesieniu do oferowanych przez siebie produktów.

Korzyści dla użytkowników

W ciągu kilku ostatnich lat na całym świecie mamy do czynienia ze znacznym nasileniem cyberataków, które zagrażają nie tylko użytkownikom indywidualnym, lecz także całym przedsiębiorstwom i podmiotom sektora publicznego. Istotny jest fakt, że wejście w życie przepisów zapewni, iż poziom bezpieczeństwa produktów cyfrowych będzie musiał być monitorowany w całym cyklu życia produktów. Obowiązek informowania użytkowników odnośnie poziomu bezpieczeństwa urządzenia pozwoli ocenić ryzyko danego produktu już podczas jego zakupu. Zobowiązanie producentów do przeprowadzania regularnych testów i przeglądów bezpieczeństwa oraz obowiązek publicznego ujawniania zaistniałych podatności ułatwi z kolei wymianę informacji i pozwoli pomóc w zapewnieniu bezpieczeństwa użytkownikom, którzy nie posiadają zaawansowanej wiedzy z zakresu cyberbezpieczeństwa. Miejmy nadzieję, że nowe standardy dotyczące poziomu bezpieczeństwa ze strony dostawców urządzeń cyfrowych wyznaczą nowe i solidne bariery dla cyberprzestępców. Więcej na temat wymagań, jakie będą musieli spełnić producenci urządzeń zawierających komponent cyfrowy pod linkiem ->> link