Регламент (ЄС) 2024/2847 Європейського Парламенту і Ради від 23 жовтня 2024 року про горизонтальні вимоги кібербезпеки для продуктів з цифровими елементами та внесення змін до Регламентів (ЄС) № 168/2013 та (ЄС) № 2019/1020 і Директиви (ЄС) 2020/1828 (Акт про кіберстійкість) (Текст має значення для ЄЕЗ)

Акт про кіберстійкість (CRA) є всеохоплюючим регламентом ЄС, що встановлює вимоги кібербезпеки для продуктів з цифровими елементами (апаратне та програмне забезпечення) для забезпечення їх безпеки протягом життєвого циклу та захисту споживачів від кіберризиків. Регламент запроваджує обов’язкові основні вимоги кібербезпеки для виробників, включаючи усунення вразливостей, оновлення безпеки та звітування про інциденти. Він встановлює процедури оцінки відповідності та механізми ринкового нагляду для перевірки дотримання вимог.

Ключові положення включають:
• Основні вимоги кібербезпеки до властивостей продуктів (безпека за замовчуванням, захист від несанкціонованого доступу, захист даних) та процеси усунення вразливостей
• Обов’язки виробників щодо оцінки кіберризиків, надання оновлень безпеки протягом періоду підтримки не менше 5 років та звітування про інциденти
• Класифікацію продуктів на важливі (Клас I та II) та критичні категорії з різними процедурами оцінки відповідності
• Рамки ринкового нагляду з органами, призначеними державами-членами, для моніторингу дотримання та забезпечення виконання вимог
• Штрафи за недотримання до 15 мільйонів євро або 2,5% глобального обороту

Регламент спрямований на покращення кібербезпеки підключених продуктів на ринку ЄС шляхом встановлення горизонтальних вимог, застосовних у різних секторах. Він запроваджує нові зобов’язання для економічних операторів з урахуванням специфічних потреб малих та середніх підприємств і програмного забезпечення з відкритим кодом. Вимоги набудуть чинності з грудня 2027 року, при цьому деякі положення набудуть чинності раніше.

Деталі