EU: Akt o kibernetski odpornosti
V Uradnem listu EU je bil objavljen Akt o kibernetski odpornosti, ki vzpostavlja minimalne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi. Uredba določa zahteve za proizvajalce programske in strojne opreme ter spodbuja zaupanje v izdelke z digitalnimi elementi.
Akt je bil objavljen 20.11.2024
Akt o kibernetski odpornosti (Cyber Resilience Act - CRA) je namenjen zaščiti potrošnikov in podjetij, ki kupujejo ali uporabljajo izdelke ali programsko opremo z digitalnimi funkcionalnostmi. Cilj Akta je, da bi neustrezne varnostne funkcije postale stvar preteklosti z uvedbo obveznih zahtev kibernetske varnosti za proizvajalce in prodajalce takšnih izdelkov, pri čemer bi obveznost zaščite veljala za celoten življenjski cikel izdelka.
Akt se ukvarja z dvema vidikoma problematike; prvi je neustrezna raven kibernetske varnosti, ki je del številnih izdelkov, ali neustrezne varnostne posodobitve takih izdelkov in programske opreme. Prav tako pa potrošniki in podjetja v trenutnem okolju ne morejo določiti, kateri izdelki so kibernetsko varni, ali jih nastaviti na način, ki bi zagotavljal kibernetsko varnost.
Akt o kibernetski odpornosti bo zagotovil:
usklajena pravila pri trženju izdelkov ali programske opreme, ki se povezujejo v internet;
okvir zahtev glede kibernetske varnosti, ki ureja načrtovanje, oblikovanje, razvoj in vzdrževanje takih izdelkov, z obveznostmi, ki jih je treba izpolnjevati v vseh fazah razvoja;
obveznost zagotavljanja dolžnosti skrbnega ravnanja skozi celoten življenjski cikel takih izdelkov.
Ko bo akt začel veljati, bodo programska oprema in izdelki, povezani z internetom, nosili oznako CE, ki označuje njihovo skladnost z novimi standardi. Tako bodo posamezniki in podjetja lahko sprejeli bolj informirane odločitve pri nakupu naprav, saj bo zagotavljanje kibernetske varnosti jasno razvidno ob nakupu izdelka. Akt je del strategije EU za kibernetsko varnost 2020 in dopolnjuje drugo zakonodajo na tem področju, zlasti okvir NIS2. V nasprotju z NIS 2 in Aktom o podatkih CRA ne vsebuje izjem glede na velikost podjetja ali finančna merila, kar pomeni, da velja za proizvajalce, distributerje in uvoznike, vključno z malimi in srednimi podjetji ter start-up podjetji. Ta širok obseg zagotavlja celovito pokritost celotnega trga.
Veljal bo za vse izdelke, ki so neposredno ali posredno povezani z drugo napravo ali omrežjem, razen za določene izjeme, kot je odprtokodna programska oprema ali storitve, ki so že zajete v obstoječih pravilih, kar velja za medicinske pripomočke, letalstvo in avtomobile.
Akt o kibernetski odpornosti je bil v Uradnem listu EU objavljen 20. 11. 2024 in bo začel veljati 20. dan od objave v uradnem listu Evropske unije, to bo 10. decembra 2024. Začne se uporabljati 36 mesecev od začetka veljavnosti, medtem ko obveznosti za poročanje proizvajalcev začnejo veljati 21 mesecev od objave.
Trenutno potekajo dejavnosti glede vzpostavitve postopkov priglasitve organov za nadzor skladnosti, ki bodo pripravljeni v 18 mesecih po objavi uredbe. V prihodnjih mesecih bo Urad vlade Republike Slovenije za informacijsko varnost (URSIV) izvedel javna posvetovanja in izobraževanja, ki bodo odprta za vse deležnike, ki jih uredba zavezuje. S proaktivnim pristopom sodelovanja z gospodarstvom želimo zagotoviti učinkovito izvajanje uredbe, ki bo izdatno dvignila kibernetsko varnost celotne družbe.
Nekaj pogostih vprašanj in odgovorov lahko najdete tudi na spletni strani Evropske komisije
Vsebina akta je dostopna tukaj
Vir: Evropska komisija
Naslovna slika: Shutterstock
