V tomto článku vám bližšie priblížime nové nariadenie o horizontálnych požiadavkách na produkty s digitálnym prvkom (CRA – z angl. Cyber Resilience Act). Návrh zavádza spoločné pravidlá kybernetickej bezpečnosti pre výrobcov a vývojárov produktov s digitálnymi prvkami pokrývajúce hardvér aj softvér.

Ciele novej právnej úpravy CRA

Návrh novej právnej úpravy predstavuje prvý celoeurópsky právny rámec svojho druhu v danej oblasti. Jeho cieľom je:

• zaviesť hraničné kritériá pre vývoj bezpečných produktov s digitálnym prvkom uvádzaných na vnútorný trh EÚ,
• zaviesť Zodpovednosť výrobcu za kybernetickú bezpečnosť produktu počas životného cyklu výrobku,
• umožniť užívateľom týchto produktov zohľadniť informácie o kybernetickej bezpečnosti pri ich nákupe a používaní.

Ako dosiahnuť vyššiu kybernetickú bezpečnosť produktu

Návrh CRA zakotvuje, že produkt s digitálnym prvkom môže byť uvedený na trh len za predpokladu splnenia základných požiadaviek kybernetickej bezpečnosti. Kybernetická bezpečnosť produktu bude povinne zohľadňovaná pri plánovaní, navrhovaní, v rámci jednotlivých fáz vývoja, výroby, dodávky ale aj údržby produktu ako takého. Výrobca bude musieť aktívne oznámiť zraniteľnosti a incidenty, ktoré sa pri produkte vyskytnú ako aj dokumentovať všetky riziká spojené s kybernetickou bezpečnosťou produktu.

Výrobca bude povinný prejsť procesom vlastnej „certifikácie“ alebo „certifikácie“ prostredníctvom tretej osoby, v závislosti od typu výrobku. V závislosti od výsledku potom bude oprávnený používať označenie CE pre deklarovanie zhody výrobku so štandardami schválenými pre EU.

Vo vzťahu k informáciám poskytovaných konečným užívateľom týchto produktov CRA požaduje od výrobcov transparentné a zrozumiteľné informácie o životnosti produktov a poskytovanej bezpečnostnej podpore, ako aj o povinnostiach k tomu poskytovať aktualizácie zabezpečenia a podporu na primeranú dobu (minimálne na 5 rokov).

Obsiahlosťou právnej úpravy tak v návrhu možno vidieť unifikačný prostriedok harmonizácie právneho rámca EÚ v danej oblasti. Návrh je v súlade s doposiaľ odsúhlaseným znením návrhu NIS 2. Spoločne tak nie len subjekty spadajúce pod rámec úpravy NIS 2, ale aj výrobky využívané či už priamo nimi alebo konečnými spotrebiteľmi prispejú k zvýšeniu úrovne kybernetickej bezpečnosti EÚ.

Časová os návrhu CRA

Po odsúhlasení návrhu v Európskom parlamente budú mať subjekty trhu digitálnych výrobkov dva roky na prispôsobenie sa požiadavkám návrhu, pričom po roku budú povinní reportovať aktívne zneužitie zraniteľnosti a incidenty.

Vyrábate či vyvíjate produkt s digitálnymi prvkami? Nechajte si poradiť od našich advokátov!