CRA: Rada i Parlament osiągają porozumienie polityczne

Po wielomiesięcznych negocjacjach Parlament Europejski i Rada osiągnęły wczoraj wieczorem porozumienie polityczne w sprawie Aktu o cyberodporności.

Dzisiejsze porozumienie jest kamieniem milowym w kierunku bezpiecznego jednolitego rynku cyfrowego w Europie. Urządzenia podłączone do Internetu wymagają podstawowego poziomu cyberbezpieczeństwa, gdy są sprzedawane w UE, zapewniając firmom i konsumentom odpowiednią ochronę przed cyberzagrożeniami. To jest dokładnie to, co ustawa o cyberodporności osiągnie po wejściu w życie

– José Luis Escrivá, hiszpański minister ds. transformacji cyfrowej

CRA w pigułce

CRA jest pionierskim na skalę światową aktem prawnym w dziedzinie cyberodporności. Wprowadza kompleksowy zestaw obowiązkowych wymagań dla wszystkich dostawców systemu i sprzętu, które mają na celu poprawę poziomu cyberbezpieczeństwa produktów cyfrowych na rynku UE.

Producenci i operatorzy technologiczni będą zobowiązani do przestrzegania środków cyberbezpieczeństwa przez cały cykl życia swoich produktów, od fazy projektowania po wprowadzenie na rynek. Wymogi w zakresie cyberbezpieczeństwa będą zależeć od poziomu ryzyka związanego z produktem. Ponadto przepisy wzywają producentów do zwiększenia przejrzystości i odpowiedzialności w zakresie cyberbezpieczeństwa ich produktów.

Po wdrożeniu CRA sprzęt i oprogramowanie będą musiały posiadać oznakowanie CE, aby mogły być wprowadzane do obrotu na rynku UE, które zostanie przyznane dopiero po zatwierdzeniu zgodności z rozporządzeniem.

Porozumienie polityczne jest wynikiem wielomiesięcznych negocjacji

Porozumienie, z zadowoleniem przyjęte przez Komisję, nastąpiło po miesiącach dyskusji, ponieważ Parlament i Rada nie osiągnęły porozumienia w pierwszym czytaniu wniosku Komisji. Uzgodniony tekst utrzymuje główne kierunki pierwszego czytania, w szczególności dotyczące:

• Odpowiedzialności za przestrzeganie przepisów spoczywającej na producentach.
• Procesów eliminowania luk w zabezpieczeniach przez producentów w celu zapewnienia cyberbezpieczeństwa produktów cyfrowych, wraz z obowiązkami nałożonymi na operatorów gospodarczych.
• Działań mających na celu zwiększenie przejrzystości w zakresie bezpieczeństwa sprzętu i oprogramowania.
• Ustanowienia ram nadzoru rynku w celu egzekwowania przepisów.

Współprawodawcy nie osiągnęli wtedy konsensusu w sprawie kilku aspektów propozycji Komisji. W nowym porozumieniu zaproponowano pewne modyfikacje konkretnych sekcji wniosku Komisji, dotyczące przede wszystkim:

• Zakresu przepisów z prostszą metodologią klasyfikacji produktów cyfrowych.
• Ogólnego wydłużenia oczekiwanego okresu użytkowania produktu do 5 lat, z wyjątkiem produktów zaprojektowanych do użytkowania przez krótszy okres.
• Zwiększonej roli unijnej agencji ds. cyberbezpieczeństwa (ENISA).
• Wydłużenia okresu adaptacyjnego dla producentów do trzech lat od momentu wejścia w życie przepisów.
• Środków wsparcia dla małych i mikroprzedsiębiorstw, takich jak wsparcie dla procedur testowania i oceny zgodności.

Kolejne kroki

Po osiągnięciu wstępnego porozumienia, zostanie ono teraz formalnie zatwierdzone przez Parlament Europejski i Radę. Następnie tekst zostanie przedłożony przedstawicielom państw członkowskich UE do zatwierdzenia.

*The image is credited with „© Raimond Spekking / CC BY-SA 4.0 (via Wikimedia Commons)”