Evropska unija v svojem uradnem listu objavila Akt o kibernetski odpornosti

21. 11. 2024

• Urad Vlade Republike Slovenije za informacijsko varnost

20. novembra 2024 je Evropska unija (EU) v uradnem listu EU objavila Akt o kibernetski odpornosti (angleško Cyber Resilience Act - CRA; dalje uredba), ki vzpostavlja minimalne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi. Uredba določa zahteve za proizvajalce programske in strojne opreme ter spodbuja zaupanje v izdelke z digitalnimi elementi.

Namen Uredbe je zmanjšati regulativno breme proizvajalcev. Zagotavlja ustrezno delovanje odprtega in konkurenčnega enotnega notranjega trga izdelkov z digitalnimi elementi. Pri izvajanju uredbe bodo sodelovali različni deležniki, ki bodo opravljali naloge nadzora trga, izvajali priglasitvene postopke organov za ugotavljanje skladnosti in izvajali tehnično-operativne in poročevalske naloge.

Uredba zasleduje dva osnovna cilja

1. Ustvariti pogoje za razvoj varnih izdelkov z digitalnimi elementi z zagotavljanjem, da se na trg dajejo izdelki strojne in programske opreme z manj ranljivostmi in da proizvajalci v celotnem življenjskem ciklu izdelka resno obravnavajo vprašanje varnosti ter
2. da se ustvari pogoje, ki uporabnikom omogočajo upoštevanje kibernetske varnosti pri izbiri in uporabi izdelkov z digitalnimi elementi.

Vpliv Uredbe na potrošnika

Potrošniki bodo varnejši, saj bodo vsi izdelki z digitalnimi elementi izpolnjevali minimalne standarde glede kibernetske varnosti. Poleg tega se bodo lahko potrošniki odločali o izdelkih tudi na podlagi njihovih kibernetsko-varnostnih lastnosti. S tem se bo zmanjšala ranljivost potrošnikov za različne kibernetske vdore in napade, zaščita osebnih podatkov posameznikov ter družbe pa se bo izdatno povečala.

Posledice Uredbe za podjetja

Subjekti uredbe so proizvajalci izdelkov z digitalnimi elementi, pooblaščeni predstavniki in distributerji ter skrbniki odprtokodne programske opreme. Proizvajalci bodo morali preverjati skladnost svojih izdelkov glede kibernetske varnosti s postopki, odvisnimi od pomembnosti izdelka. Izdelki bodo razdeljeni v tri kategorije: osnovni, pomembni in kritični izdelki. Oceno skladnosti izdelkov v kategorijah pomembni in kritični bodo morale opravljati tretje osebe. Proizvajalci bodo lahko namestili na izdelek oznako CE in ga ponudili na trgu, le po izvedbi predpisanih postopkov v procesu oblikovanja izdelka in pripravi dokumentacije o zagotavljanju skladnosti. Proizvajalci bodo prav tako zavezani k poročanju o ranljivostih izdelka in zagotavljanju reševanja ranljivosti za predpisano obdobje.

Pričetek veljave uredbe

Uredba bo začela veljati 20. dan od objave v uradnem listu Evropske unije, to bo 10. decembra 2024. Začne se uporabljati 36 mesecev od začetka veljavnosti, medtem ko obveznosti za poročanje proizvajalcev začnejo veljati 21 mesecev od objave. Trenutno potekajo dejavnosti glede vzpostavitve postopkov priglasitve organov za nadzor skladnosti, ki bodo pripravljeni v 18 mesecih po objavi uredbe.

V prihodnjih mesecih bo Urad vlade Republike Slovenije za informacijsko varnost (URSIV) izvedel javna posvetovanja in izobraževanja, ki bodo odprta za vse deležnike, ki jih uredba zavezuje. S proaktivnim pristopom sodelovanja z gospodarstvom želimo zagotoviti učinkovito izvajanje uredbe, ki bo izdatno dvignila kibernetsko varnost celotne družbe.

Nekaj pogostih vprašanj in odgovorov lahko najdete tudi na spletni strani Evropske komisije.