Usuglašen Akt o kiberotpornosti EU – uvode se nove obveze za proizvođače hardvera i softvera

Europski parlament i Vijeće dogovorili su končani tekst Akta o kiberotpornosti, predloženoga prije više od godine dana, koji će unaprijediti otpornost svog dostupnog hardvera i softvera na kibernetičke napade

Sandro Vrbanus subota, 2. prosinca 2023. u 10:57

Ovoga tjedna Europski parlament i Vijeće su postigli politički dogovor o novoj regulativi za tehnološki sektor Europske unije, Aktu o kiberotpornosti. Europski Akt o kiberotpornosti predložila je još u rujnu prošle godine Europska komisija kao prvi zakonodavni akt te vrste u svijetu.

Njime se uvode obvezni kibersigurnosni zahtjevi za sav hardver i softver dostupan na tržištu, od dječjih monitora, pametnih satova i računalnih igara do firewallova i routera, čime će se unaprijediti kibernetička sigurnost digitalnih proizvoda u korist potrošača i poduzeća na cijelom području EU.  Na proizvode s različitim razinama rizika primjenjivat će se različiti sigurnosni zahtjevi, a manje od 10% proizvoda podlijegat će procjeni treće strane.

Obveza sigurnosnih ažuriranja

Ovaj je Akt bitan dio borbe protiv sve većih prijetnji kibernetičkih kriminalaca i ostalih zlonamjernih aktera. Zbog te nove uredbe svi proizvodi na tržištu EU morat će biti kibernetički sigurni. Dakle, jednom kad Akt o kiberotpornosti stupi na snagu, proizvođači hardvera i softvera morat će sigurnosne mjere primjenjivati tijekom cijelog životnog vijeka proizvoda, od projektiranja i razvoja, pa i nakon stavljanja proizvoda na tržište. Softverski i hardverski proizvodi nosit će oznaku CE kao dokaz usklađenosti sa zahtjevima Uredbe, zahvaljujući kojoj se smiju prodavati u EU.

Aktom se za proizvođače uvodi zakonska obveza da korisnicima na nekoliko godina na raspolaganje stavljaju pravovremena sigurnosna ažuriranja, a to razdoblje mora odražavati očekivano razdoblje u kojem će se proizvod koristiti. Nove će mjere korisnicima omogućiti da utemeljeno i sigurnije odlučuju o kupnji, jer će proizvođači morati biti transparentniji i bit će odgovorni za sigurnost svojih proizvoda. U praksi će Akt biti dopuna postojećim propisima, a osobito okviru NIS2, koji s primjenom započinje sljedeće godine.

Sljedeći koraci

Postignuti dogovor još moraju službeno odobriti Europski parlament i Vijeće. Nakon toga, Akt o kiberotpornosti stupit će na snagu dvadesetog dana od dana objave u Službenom listu EU.

Nakon stupanja na snagu, proizvođači, uvoznici i distributeri hardverskih i softverskih proizvoda imat će 36 mjeseci za prilagodbu novim zahtjevima, uz iznimku ograničenog 21-mjesečnog razdoblja odgode u vezi s obvezom proizvođača da izvješćuju o incidentima i ranjivostima. Cijeli prihvaćeni tekst Akta dostupan je na ovom mjestu.