Акт про кібернетичну стійкість (CRA) – це всеохоплююче регулювання ЄС, яке встановлює вимоги кібербезпеки для продуктів з цифровими елементами (апаратне та програмне забезпечення) для забезпечення їхньої безпеки протягом життєвого циклу та захисту споживачів від кіберризиків. Регулювання запроваджує обов’язкові основні вимоги кібербезпеки для виробників, включаючи усунення вразливостей, оновлення безпеки та звітування про інциденти. Воно встановлює процедури оцінки відповідності та механізми ринкового нагляду для перевірки дотримання вимог.
Ключові положення включають:
- Обов’язкові вимоги безпеки для цифрових продуктів перед виведенням на ринок
- Зобов’язання виробників щодо усунення вразливостей та надання оновлень безпеки протягом визначеного періоду підтримки (мінімум 5 років)
- Вимоги до звітування про серйозні інциденти та активно використовувані вразливості
- Класифікація продуктів за різними категоріями ризику (звичайний, важливий Клас I/II, критичний) з відповідними процедурами оцінки відповідності
- Рамка ринкового нагляду та санкції за недотримання вимог
Регулювання має на меті покращити кібербезпеку цифрових продуктів на ринку ЄС шляхом встановлення чітких вимог до виробників, забезпечуючи при цьому прозорість для користувачів щодо властивостей безпеки та оновлень. Воно запроваджує всебічну структуру, що охоплює весь життєвий цикл цифрових продуктів від проектування до закінчення підтримки.
