Hatályba lépett a kiberrezilienciáról szóló rendelet
2024. december 10-én hatályba lépett az Európai Parlament és a Tanács (EU) 2024/2847 rendelete a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet).
A Cyber Resilience Act (CRA) szigorítja a digitális elemet tartalmazó termékek kiberbiztonsági szabványait, előírva a gyártók és a kiskereskedők számára, hogy termékeik teljes életciklusa során biztosítsák a kiberbiztonságot. A babamonitoroktól az okosórákig a digitális komponenst tartalmazó termékek és szoftverek mindenütt jelen vannak mindennapi életünkben. Sok felhasználó számára kevésbé nyilvánvaló, hogy az ilyen termékek és szoftverek milyen biztonsági kockázatot jelenthetnek. A CRA célja, hogy megvédje a digitális komponensű szoftver- vagy hardvertermékeket vásárló fogyasztókat és vállalkozásokat. A CRA a számos termékben található kiberbiztonság nem megfelelő szintjével, valamint a termékek és szoftverek időben történő biztonsági frissítésének hiányával foglalkozik. Emellett foglalkozik azokkal a kihívásokkal is, amelyekkel a fogyasztók és a vállalkozások jelenleg szembesülnek, amikor megpróbálják meghatározni, hogy mely termékek biztonságosak, és amikor megpróbálják azokat biztonságosan használni. Az új követelmények megkönnyítik a kiberbiztonság figyelembevételét a digitális elemeket tartalmazó termékek kiválasztásakor és használatakor. Egyszerűbb lesz azonosítani a megfelelő kiberbiztonsági jellemzőkkel rendelkező hardver- és szoftvertermékeket.
A CRA kötelező kiberbiztonsági követelményeket vezet be a gyártók és kiskereskedők számára, amelyek az ilyen termékek tervezését, kialakítását, fejlesztését és karbantartását szabályozzák. Ezeket a kötelezettségeket az értéklánc minden szakaszában teljesíteni kell. A kiberbiztonság szempontjából különösen fontos bizonyos kritikus termékeknek az uniós piacon történő értékesítésük előtt egy engedélyezett harmadik fél által végzett értékelésen is át kell esniük. A rendelet minden olyan termékre vonatkozik, amely közvetlenül vagy közvetve egy másik eszközhöz vagy hálózathoz kapcsolódik, kivéve a meghatározott kivételeket, például bizonyos nyílt forráskódú szoftvereket vagy szolgáltatási termékeket, amelyekre már létező szabályok vonatkoznak, ami az orvostechnikai eszközökre, a légi közlekedésre és az autókra vonatkozik. A termékeken a CE-jelölés jelzi majd, hogy megfelelnek a CRA követelményeinek. Az új szabályok a felelősséget a gyártókra hárítják, akiknek biztosítaniuk kell, hogy a digitális elemeket tartalmazó termékeik megfeleljenek az uniós piac kiberbiztonsági előírásainak. Ez lehetővé teszi a vásárlók számára, hogy megalapozottabb döntéseket hozzanak, és megbízzanak a CE-jelöléssel ellátott termékek kiberbiztonságában.
