V tomto článku vám bližšie priblížime nové nariadenie o horizontálnych požiadavkách na produkty s digitálnym prvkom (CRA – z angl. Cyber Resilience Act). Návrh zavádza spoločné pravidlá kybernetickej bezpečnosti pre výrobcov a vývojárov produktov s digitálnymi prvkami pokrývajúce hardvér aj softvér.
Ciele novej právnej úpravy CRA
Návrh novej právnej úpravy predstavuje prvý celoeurópsky právny rámec svojho druhu v danej oblasti. Jeho cieľom je:
- zaviesť hraničné kritériá pre vývoj bezpečných produktov s digitálnym prvkom uvádzaných na vnútorný trh EÚ,
- zaviesť Zodpovednosť výrobcu za kybernetickú bezpečnosť produktu počas životného cyklu výrobku,
- umožniť užívateľom týchto produktov zohľadniť informácie o kybernetickej bezpečnosti pri ich nákupe a používaní.
Ako dosiahnuť vyššiu kybernetickú bezpečnosť produktu
Návrh CRA zakotvuje, že produkt s digitálnym prvkom môže byť uvedený na trh len za predpokladu splnenia základných požiadaviek kybernetickej bezpečnosti. Kybernetická bezpečnosť produktu bude povinne zohľadňovaná pri plánovaní, navrhovaní, v rámci jednotlivých fáz vývoja, výroby, dodávky ale aj údržby produktu ako takého. Výrobca bude musieť aktívne oznámiť zraniteľnosti a incidenty, ktoré sa pri produkte vyskytnú ako aj dokumentovať všetky riziká spojené s kybernetickou bezpečnosťou produktu.
Výrobca bude povinný prejsť procesom vlastnej „certifikácie“ alebo „certifikácie“ prostredníctvom tretej osoby, v závislosti od typu výrobku. V závislosti od výsledku potom bude oprávnený používať označenie CE pre deklarovanie zhody výrobku so štandardami schválenými pre EU.
Vo vzťahu k informáciám poskytovaných konečným užívateľom týchto produktov CRA požaduje od výrobcov transparentné a zrozumiteľné informácie o životnosti produktov a poskytovanej bezpečnostnej podpore, ako aj o povinnostiach k tomu poskytovať aktualizácie zabezpečenia a podporu na primeranú dobu (minimálne na 5 rokov).
Obsiahlosťou právnej úpravy tak v návrhu možno vidieť unifikačný prostriedok harmonizácie právneho rámca EÚ v danej oblasti. Návrh je v súlade s doposiaľ odsúhlaseným znením návrhu NIS 2. Spoločne tak nie len subjekty spadajúce pod rámec úpravy NIS 2, ale aj výrobky využívané či už priamo nimi alebo konečnými spotrebiteľmi prispejú k zvýšeniu úrovne kybernetickej bezpečnosti EÚ.
Časová os návrhu CRA
Po odsúhlasení návrhu v Európskom parlamente budú mať subjekty trhu digitálnych výrobkov dva roky na prispôsobenie sa požiadavkám návrhu, pričom po roku budú povinní reportovať aktívne zneužitie zraniteľnosti a incidenty.
Vyrábate či vyvíjate produkt s digitálnymi prvkami? Nechajte si poradiť od našich advokátov!
Email: miriama.podskubova@accace.com
Telefón: +421 232 553 000
Likvidácia spoločnosti | Registrované sídlo firmy | Zabezpečenie zmien v obchodných spoločnostiach | Založenie a registrácia spoločnosti | Ochrana osobných údajov (GDPR) | Právo duševného vlastníctva | Obchodné právo | Outsourcing správy a vymáhania pohľadávok pre firmy | Pracovnoprávne poradenstvo | Právne due diligence | Právne poradenstvo v oblasti nehnuteľností | Právne služby pri konkurze a reštrukturalizácií | Súdne spory | Trestné a rodinné právo | Správne a daňové právo
