Unia Europejska zaostrza przepisy dotyczące cyberbezpieczeństwa produktów sprzedawanych w UE

Propozycja rozporządzenia w sprawie odporności cybernetycznej, przedstawiona przez Komisję Europejską we wrześniu 2022 r., powoli posuwa się naprzód. Negocjatorzy z Parlamentu i Rady właśnie osiągnęli nieformalne porozumienie w sprawie rozporządzenia. Wzmacnia ono przepisy dotyczące cyberbezpieczeństwa, aby zapewnić większe bezpieczeństwo produktów sprzedawanych w UE.

Ustawa o cyberodporności nabiera kształtów. Zapowiedziane we wrześniu 2022 r. przez Komisję Europejską proponowane rozporządzenie mające na celu wzmocnienie bezpieczeństwa sprzętu i oprogramowania sprzedawanego w Unii Europejskiej przeszło kolejny kamień milowy. "Komisja z zadowoleniem przyjmuje porozumienie polityczne osiągnięte wczoraj wieczorem między Parlamentem Europejskim a Radą w sprawie ustawy o cyberodporności", - powiedziała 1 grudnia brukselska władza wykonawcza. Tekst ustawy ma być odpowiedzią na kontekst cyberzagrożeń, które wywierają coraz większą presję na dostawców, a także rosnące wymagania dotyczące środków podejmowanych w celu zapewnienia bezpieczeństwa produktów sprzedawanych w UE przez cały cykl ich życia, od opracowania do sprzedaży. Zgodnie z dokumentem, oprogramowanie i sprzęt IT będą oznaczane znakiem CE, aby wskazać, że spełniają wymagania rozporządzenia, a zatem mogą być sprzedawane w Europie.

"Rozporządzenie wprowadza również prawny obowiązek dla producentów, aby zapewnić konsumentom terminowe aktualizacje zabezpieczeń przez kilka lat po zakupie", - powiedziała Komisja. Okres ten powinien być zgodny z przeznaczeniem produktów". Dzięki tym środkom kolejne ramy regulacyjne umożliwią użytkownikom dokonywanie bardziej świadomych i bezpieczniejszych wyborów, ponieważ producenci będą musieli stać się bardziej przejrzyści i odpowiedzialni, jeśli chodzi o bezpieczeństwo swoich produktów". W przeciwieństwie do dyrektywy NIS2, która ma szerszy zakres i jest skierowana do dostawców usług w chmurze, a także podmiotów świadczących opiekę zdrowotną, ustawa o cyberodporności ma zastosowanie do wszystkich lub części produktów cyfrowych sprzedawanych na jednolitym rynku europejskim.

Praktyczne wdrożenie od 2027 r.

Osiągnięte porozumienie podlega teraz formalnemu zatwierdzeniu przez Parlament Europejski i Radę, które spodziewane jest w 2024 roku. Po przyjęciu, ustawa o cyberodporności wejdzie w życie 20 dnia po jej opublikowaniu w Dzienniku Urzędowym. Po jej wejściu w życie producenci, importerzy i dystrybutorzy sprzętu i oprogramowania będą mieli trzy lata na dostosowanie się do wymogów ustawy o cyberodporności. Termin zgłaszania incydentów i luk w zabezpieczeniach upłynie jednak nieco wcześniej, a mianowicie w ciągu 21 miesięcy od wejścia w życie ustawy.

Ogólnie rzecz biorąc, ustawa o cyberodporności jest pozytywnym krokiem w kierunku cyberbezpieczeństwa w Europie. Pomoże chronić użytkowników przed cyberzagrożeniami i poprawi bezpieczeństwo produktów cyfrowych sprzedawanych w UE.