Komisja Europejska przedstawiła projekt kolejnego ważnego aktu w obszarze cyfrowym – Rozporządzenia o odporności cyfrowej (Cyber Resilience Act – CRA)[1]. Zapowiada on zmiany istotne dla producentów oraz sprzedawców sprzętu zawierającego element cyfrowy (np. smartwatchy) i ma zwiększyć cyberbezpieczeństwo konsumentów i przedsiębiorców korzystających z tego typu rozwiązań.
Jakie są przyczyny zmian?
Nowe przepisy dotyczą przede wszystkim dwóch aspektów produktów z elementem cyfrowym – ich bezpieczeństwa oraz informowania o systemach zabezpieczeń. Produkty „smart”, w tym smartwatche czy produkty inteligentnego domu, nie zapewniają obecnie odpowiedniego (wysokiego) poziomu cyberbezpieczeństwa. Co więcej, użytkownicy takich produktów – przedsiębiorcy oraz konsumenci – nie mają narzędzi pozwalających określić, które produkty są bezpieczne. Problemem jest też brak konfiguracji i aktualizacji oprogramowania w celu usunięcia luk w zabezpieczeniach.
Co zmieni Rozporządzenie o odporności cyfrowej?
Projektowane regulacje mają zapewnić, że towary wprowadzane na rynek będą spełniały zasadnicze wymagania w zakresie cyberbezpieczeństwa. Produkty „smart” mają być objęte ochroną w ciągu całego cyklu swojego życia. Wykazanie zgodności z nowymi wymogami będzie możliwe za pośrednictwem oznakowania CE znajdującego się na towarach. Będzie ono wskazywać na zgodność z Rozporządzeniem CRA, co umożliwi swobodne przemieszczanie takich towarów w ramach rynku wewnętrznego.
Co istotne, projekt nie obejmuje oprogramowania dostarczanego jako usługa. Nie oznacza to jednak, że – przykładowo – chmurowe rozwiązania mogą nie być bezpieczne – regulacje obejmujące dostawców usług w chmurze wynikają przede wszystkim z dyrektywy NIS2.[2]
Niezbędne kroki
Nowe obowiązki dotkną w zasadzie wszystkie podmioty gospodarcze obecne w łańcuchu dostaw produktów z elementami cyfrowymi. Regulacje wpłyną przede wszystkim na działalność producentów, dystrybutorów oraz importerów.
Motywacją dla zachowania zgodności sprzętu z wymogami będą dodatkowe uprawnienia dla organu nadzoru, który będzie mógł nałożyć karę pieniężną w przypadku niezgodności produktów z wymogami.
Do implementacji Rozporządzenia, a tym samym wejścia w życie nowych przepisów, pozostało dużo czasu, co pozwala przedsiębiorcom z odpowiednim wyprzedzeniem zmapować procesy zachodzące w organizacjach w odniesieniu do cyberbezpieczeństwa „smart” produktów.
Rozporządzenie o odporności cyfrowej to nie jedyny akt prawny, który wprowadzi nowe obowiązki dla przedsiębiorców działających w obszarze digital. Nowy akt jest elementem rewolucji prawnej, na którą w tym obszarze składają się także Dyrektywa cyfrowa, Akt o usługach cyfrowych oraz Rozporządzenie DORA. Przedsiębiorcy powinni podejść wieloaspektowo do nowych przepisów.
Mariusz Machowski
Senior Associate | Radca prawny | OW Legal
mariusz.machowski@olesinski.com
[1] https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
[2] Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylająca dyrektywę (UE) 2016/1148
