Акт про кібернетичну стійкість (CRA) – це всеохоплююче регулювання ЄС, яке встановлює вимоги кібербезпеки для продуктів з цифровими елементами (апаратне та програмне забезпечення) для забезпечення їх безпеки протягом життєвого циклу та захисту споживачів від кіберризиків. Регламент запроваджує обов’язкові основні вимоги кібербезпеки для виробників, включаючи усунення вразливостей, оновлення безпеки та звітування про інциденти. Він встановлює процедури оцінки відповідності та механізми ринкового нагляду для перевірки дотримання вимог.
Ключові положення включають:
- Основні вимоги кібербезпеки до властивостей продуктів (безпека за замовчуванням, захист від несанкціонованого доступу, захист даних) та процеси усунення вразливостей
- Зобов’язання виробників оцінювати кіберризики, надавати оновлення безпеки протягом періоду підтримки не менше 5 років та звітувати про інциденти
- Класифікацію продуктів на важливі (Клас I та II) та критичні категорії з різними процедурами оцінки відповідності
- Рамки ринкового нагляду з органами, призначеними державами-членами, для моніторингу дотримання та забезпечення виконання вимог
- Штрафи за недотримання до €15 мільйонів або 2,5% глобального обороту
Регламент має на меті покращити кібербезпеку підключених продуктів на ринку ЄС шляхом встановлення горизонтальних вимог, застосовних у різних секторах. Він запроваджує нові зобов’язання для економічних операторів, враховуючи специфічні потреби малих та середніх підприємств і програмного забезпечення з відкритим кодом. Вимоги набудуть чинності з грудня 2027 року, при цьому деякі положення набудуть чинності раніше.
