16
maj
Legal Alert KPMG: Unijny akt dotyczący cyberodporności
W grudniu 2024 wszedł w życie unijny akt w sprawie cyberodporności – Cyber Resilience Act (CRA), który jest pierwszym aktem prawnym regulującym problematykę cyberbezpieczeństwa w odniesieniu do produktów zawierających elementy cyfrowe.
Kontekst zmian
Rosnąca liczba produktów cyfrowych, takich jak urządzenia Internetu Rzeczy (IoT), aplikacje mobilne, oprogramowanie, a także bardziej zaawansowane systemy przemysłowe, niesie za sobą nie tylko korzyści, ale i nowe wyzwania. Obecnie cyberprzestępczość jest jednym z najszybciej rosnących zagrożeń dla bezpieczeństwa. Ataki ransomware czy wycieki danych mogą mieć katastrofalne skutki dla firm, a także zagrażać użytkownikom. Unia Europejska, dążąc do wzmocnienia ochrony swojego rynku cyfrowego, zdecydowała się na uchwalenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828.
CRA to nowe rozporządzenie, które ma na celu poprawę cyberbezpieczeństwa produktów i usług cyfrowych dostępnych na rynku unijnym. Rozporządzenie stanowi część strategii UE, której celem jest wzmocnienie odporności na cyberzagrożenia oraz zapewnienie większej ochrony danych w obliczu rosnącej liczby ataków i luk w systemach cyfrowych. CRA stanowi kontynuację działań unijnych mających na celu wzmocnienie cyberbezpieczeństwa poprzez uzupełnienie przepisów wprowadzonych Dyrektywą NIS 2.
Zakres zmian
Rozporządzenie stosuje się do produktów z elementami cyfrowymi, będącymi oprogramowaniem lub sprzętem komputerowym oraz powiązanymi z nimi rozwiązaniami w zakresie zdalnego przetwarzania danych. Do tej kategorii zaliczymy np. smartfony, laptopy czy inteligentne telewizory, a także sprzęty stosowane w przemyśle (np. roboty).
Producenci, którzy wprowadzają na rynek produkt z elementami cyfrowymi, mają obowiązek zapewnić, że będą one zaprojektowane i wyprodukowane zgodnie z wymaganiami określonymi w CRA. Oznacza to, że producenci są zobowiązani do wdrożenia funkcji cyberbezpieczeństwa już na etapie opracowywania swoich produktów. Produkty z elementem cyfrowym będą musiały podlegać także regularnym aktualizacjom. Szczegółowe wymagania zostały określone w załącznikach do Rozporządzenia – opisane tam standardy odnoszą się np. cech, które muszą posiadać produkty czy do sposobu informowania użytkowników.
W celu potwierdzenia spełnienia wymogów producenci muszą przeprowadzić i odpowiednio udokumentować ocenę ryzyka cyberzagrożeń, którą następnie należy dołączyć do dokumentacji technicznej produktu. Ponadto producenci zostali zobowiązani do posiadania stosownych polityk i procedur w celu przetwarzania i eliminowania potencjalnych podatności produktu z elementami cyfrowymi. Procedury oceny zgodności mogą opierać się na jednej z wybranych metod opisanych w CRA.
CRA przewiduje także obowiązki w odniesieniu do importerów, którzy również powinni gwarantować, że produkt wprowadzany do obiegu spełnia wymagania dot. cyberbezpieczeństwa. Importer będzie zobowiązany do weryfikacji czy producent wywiązał się ze swoich obowiązków (w szczególności czy sporządzona została odpowiednia dokumentacja techniczna). Tożsame obowiązki spoczywają na dystrybutorze.
Produkty z elementem cyfrowym będą musiały posiadać deklarację zgodności UE, która potwierdza, że spełnione zostały zasadnicze wymagania w zakresie cyberbezpieczeństwa. Na produkcie należy umieścić ponadto oznakowanie CE.
Ponadto producenci będą musieli wprowadzić procedury reagowania na incydenty cyberbezpieczeństwa, w tym obowiązek informowania o wszelkich istotnych zagrożeniach oraz sposobach ich eliminacji. Działania te mają pomóc w szybkim usuwaniu luk w produktach cyfrowych, zanim zostaną one wykorzystane przez cyberprzestępców.
Sankcje
Przedsiębiorstwa, które nie dostosują się do wymogów wynikających z CRA narażają się na ryzyko sankcji. W przypadku producentów, za naruszenie obowiązków wskazanych w CRA grozi kara pieniężna do 15 000 000 EUR lub w przypadku przedsiębiorstwa – do 2,5 % jego łącznego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa. W przypadku naruszenia obowiązków importerów lub dystrybutorów kara może sięgać kwoty 10 000 000 EUR lub 2 % łącznego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego (w zależności od tego, która z tych kwot jest wyższa). Za przekazanie organom nadzoru informacji nieprawidłowych, niekompletnych lub wprowadzających w błąd grozi kara do 5 000 000 EUR lub do 1 % rocznego światowego obrotu z roku poprzedzającego. Rozporządzenie przewiduje także możliwość nakazania wycofania z rynku, który nie jest zgodny z nowymi wymogami. Poza karami administracyjnymi przedsiębiorcy muszą liczyć się także z ryzykiem powództw za naruszenia zbiorowych interesów konsumentów.
Wejście w życie
CRA wszedł w życie 10 grudnia 2024 r. Na pełne dostosowanie się do nowych przepisów przedsiębiorcy będą mieli czas do 2027 r., w którym przewidziano rozpoczęcie zastosowania głównych obowiązków wynikających z CRA.
Podsumowanie
CRA wprowadza nowe rygorystyczne wymagania dla producentów, importerów i dystrybutorów produktów cyfrowych, które będą miały wpływ zarówno na samych przedsiębiorców, jak i konsumentów. Firmy działające na rynku cyfrowym powinny już teraz rozpocząć przygotowania do spełnienia nowych wymogów, aby uniknąć kar i zagwarantować odpowiednie bezpieczeństwo swoich produktów.
Źródło: KPMG (KPMG Sp. z o.o.)
Najnowsze wpisy