CRA: Rada i Parlament osiągają porozumienie polityczne


 

Po wielomiesięcznych negocjacjach Parlament Europejski i Rada osiągnęły wczoraj wieczorem porozumienie polityczne w sprawie Aktu o cyberodporności.

 

Dzisiejsze porozumienie jest kamieniem milowym w kierunku bezpiecznego jednolitego rynku cyfrowego w Europie. Urządzenia podłączone do Internetu wymagają podstawowego poziomu cyberbezpieczeństwa, gdy są sprzedawane w UE, zapewniając firmom i konsumentom odpowiednią ochronę przed cyberzagrożeniami. To jest dokładnie to, co ustawa o cyberodporności osiągnie po wejściu w życie

– José Luis Escrivá, hiszpański minister ds. transformacji cyfrowej.

 

CRA w pigułce

CRA jest pionierskim na skalę światową aktem prawnym w dziedzinie cyberodporności. Wprowadza kompleksowy zestaw obowiązkowych wymogów dla wszystkich dostawców oprogramowania i sprzętu, które mają na celu poprawę poziomu cyberbezpieczeństwa produktów cyfrowych na rynku UE.

Producenci i operatorzy technologiczni będą zobowiązani do przestrzegania środków cyberbezpieczeństwa przez cały cykl życia swoich produktów, od fazy projektowania po wprowadzenie na rynek. Wymogi w zakresie cyberbezpieczeństwa będą zależeć od poziomu ryzyka związanego z produktem. Ponadto przepisy wzywają producentów do zwiększenia przejrzystości i odpowiedzialności w zakresie cyberbezpieczeństwa ich produktów.

Po wdrożeniu CRA sprzęt i oprogramowanie będą musiały posiadać oznakowanie CE, aby mogły być wprowadzane do obrotu na rynku UE, które zostanie przyznane dopiero po zatwierdzeniu zgodności z rozporządzeniem.

 

Porozumienie polityczne jest wynikiem wielomiesięcznych negocjacji

Porozumienie, z zadowoleniem przyjęte przez Komisję, nastąpiło po miesiącach dyskusji, ponieważ Parlament i Rada nie osiągnęły porozumienia w pierwszym czytaniu wniosku Komisji. Uzgodniony tekst utrzymuje główne kierunki pierwszego czytania, w szczególności dotyczące:

  • Odpowiedzialności za przestrzeganie przepisów spoczywającej na producentach.
  • Procesów eliminowania luk w zabezpieczeniach przez producentów w celu zapewnienia cyberbezpieczeństwa produktów cyfrowych, wraz z obowiązkami nałożonymi na operatorów gospodarczych.
  • Działań mających na celu zwiększenie przejrzystości w zakresie bezpieczeństwa sprzętu i oprogramowania.
  • Ustanowienia ram nadzoru rynku w celu egzekwowania przepisów.

 

Współprawodawcy nie osiągnęli wtedy konsensusu w sprawie kilku aspektów propozycji Komisji. W nowym porozumieniu zaproponowano pewne modyfikacje konkretnych sekcji wniosku Komisji, dotyczące przede wszystkim:

  • Zakresu przepisów z prostszą metodologią klasyfikacji produktów cyfrowych.
  • Ogólnego wydłużenia oczekiwanego okresu użytkowania produktu do 5 lat, z wyjątkiem produktów zaprojektowanych do użytkowania przez krótszy okres.
  • Zwiększonej roli unijnej agencji ds. cyberbezpieczeństwa (ENISA).
  • Wydłużenia okresu adaptacyjnego dla producentów do trzech lat od momentu wejścia w życie przepisów.
  • Środków wsparcia dla małych i mikroprzedsiębiorstw, takich jak wsparcie dla procedur testowania i oceny zgodności.

 

Kolejne kroki

Po osiągnięciu wstępnego porozumienia, zostanie ono teraz formalnie zatwierdzone przez Parlament Europejski i Radę. Następnie tekst zostanie przedłożony przedstawicielom państw członkowskich UE do zatwierdzenia.

 

 

*The image is credited with „© Raimond Spekking / CC BY-SA 4.0 (via Wikimedia Commons)”