Cyber Resilience Act (Akt o cyberodporności), czyli rozporządzenie (UE) 2024/2847, to inicjatywa Unii Europejskiej wprowadzająca jednolite wymogi w zakresie cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Obejmuje on zarówno urządzenia fizyczne, jak i oprogramowanie, a także usługi związane z ich funkcjonowaniem. Celem aktu jest podniesienie poziomu bezpieczeństwa na każdym etapie cyklu życia produktu – od etapu projektowania, przez proces produkcji, aż po utrzymanie i aktualizacje.
Zakres podmiotowy i terytorialny
Rozporządzenie obejmuje producentów, importerów i dystrybutorów produktów cyfrowych wprowadzanych na rynek Unii Europejskiej. Oznacza to, że nowe przepisy dotyczą nie tylko podmiotów działających w państwach członkowskich, lecz także firmy spoza UE, jeśli oferują swoje produkty w Europie. Dodatkowe obowiązki przewidziano również dla podmiotów rozwijających oprogramowanie typu open-source, zwłaszcza gdy ich działalność ma charakter komercyjny.
Terminy wejścia w życie i okresy przejściowe
Rozporządzenie obowiązuje od 10 grudnia 2024 roku, jednak zasadnicza część wymogów wynikających z CRA zacznie być stosowana dopiero od 11 grudnia 2027 roku, po trzyletnim okresie przejściowym. Niektóre obowiązki wejdą w życie wcześniej – przykładem tego są regulacje zgłaszania podatności, które będą obowiązywać już od września 2026 roku.
Wyzwania dla przedsiębiorstw
Wdrożenie aktu o cyberodporności będzie wiązało się ze znacznymi nakładami organizacyjnymi i finansowymi. Wiele przedsiębiorstw, zwłaszcza małych i średnich, można napotkać trudności w dokumentowaniu cyklu życia produktu, systematycznym monitorowaniu podatności oraz szybkim wdrażaniu ewentualnych poprawek. Producenci zwracają również uwagę na ryzyko nadmiernego obciążenia mniejszych projektów, które nie dysponują rozbudowanym zapleczem organizacyjnym.
Sankcje za naruszenie przepisów
Naruszenie wymogów Cyber Resilience Act może skutkować nałożeniem na podmioty objęte jego przepisami wysokich kar administracyjnych. Rozporządzenie przewiduje sankcje finansowe sięgające do 15 milionów euro lub 2,5% całkowitego rocznego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Szczegółowe mechanizmy egzekucyjne będą określane i wdrażane przez właściwe organy nadzoru w poszczególnych państwach członkowskich UE.
Korzyści wynikające z nowych regulacji
Wprowadzenie Aktu o cyberodporności przynosi szereg pozytywnych efektów. Ujednolicenie wymogów dotyczących cyberbezpieczeństwa na poziomie UE ułatwi przedsiębiorstwom działalność na rynku, eliminując rozbieżności w przepisach krajowych. Użytkownicy końcowi zyskają większą pewność co do poziomu bezpieczeństwa produktów cyfrowych, co wzmocni zaufanie do nowoczesnych technologii. Ponadto regulacje promują rozwiązania „secure by design”, zachęcając producentów do projektowania bezpiecznych systemów od podstaw oraz zapewniania długoterminowego wsparcia aktualizacyjnego.
Podsumowanie
Cyber Resilience Act wprowadza przełomowe regulacje w zakresie cyberbezpieczeństwa w UE, ustawiając jednolite wymogi, przewidując dotkliwe sankcje finansowe za ich nieprzestrzeganie oraz precyzując jasny podział odpowiedzialności w łańcuchu dostaw. Dla przedsiębiorców oznacza to konieczność dostosowania procesów wewnętrznych, ale także stwarza szansę na budowanie przewagi konkurencyjnej poprzez oferowanie produktów spełniających najwyższe standardy bezpieczeństwa cyfrowego.
