Regulacja ma wzmocnić poziom cyberbezpieczeństwa poprzez wprowadzenie zharmonizowanych przepisów, m.in. w zakresie wymogów nakładanych na wprowadzane na rynek wspólny produkty.
Cyberbezpieczeństwo
Podejmowanie działań w zakresie cyberbezpieczeństwa jest w ostatnim czasie szczególnie istotne ze względu na tempo rozwoju technologii, wraz z którym na rynek wprowadzane jest wiele nowych produktów, do których zaliczyć można m.in. nowe oprogramowanie. Warto wskazać, że szacowany globalny roczny koszt cyberprzestępczości szacuje się na 5,5 bln EUR.
Aktualnie obserwuje się znaczne zwiększenie liczby cyberataków, na które narażeni są nie tylko konsumenci, lecz także całe przedsiębiorstwa (grupy kapitałowe) oraz podmioty publiczne. Problem wynika z niezapewnienia odpowiedniego poziomu bezpieczeństwa ze strony dostawców jak również braku odpowiedniego zrozumienia i zastosowania procedury bezpieczeństwa przez użytkowników.
Nowe obowiązki dla przedsiębiorców
Zgodnie z Cyber Resilience Act, producenci produktów z elementami cyfrowymi, objętych jego zastosowaniem (w tym producenci oprogramowania) zobowiązani będą do regularnego udostępniania konsumentom aktualizacji zabezpieczeń dotyczących zakupionych przez nich produktów.
Nowe obowiązki mają dotyczyć nie tylko momentu wprowadzania produktu z elementami cyfrowymi na rynek, lecz całego cyklu jego życia, tak, aby poziom bezpieczeństwa produktu był stały, a konsument miał wiedzę o jego zakresie oraz możliwość korzystania z produktu w sposób bezpieczny przez wiele lat.
Spełnienie nowych norm ma być potwierdzone specjalnym certyfikatem CE mającym ułatwić obrót na rynku wewnętrznym. Oznaczenie ma znajdować się w widocznym miejscu produktu.
Na producentów nałożone zostaną również obowiązki w zakresie zgłaszania cyberincydentów. Zgłoszenia do Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) będzie trzeba dokonać w ciągu 24 godzin od momentu uzyskania informacji o aktywnie wykorzystywanej podatności produktu, czy też incydencie mającym wpływ na jego bezpieczeństwo.
Kary
Rozporządzenie przewiduje kary pieniężne w wysokości:
- do 15 000 000 EUR lub do 2,5 % całkowitego rocznego światowego obrotu przedsiębiorstwa - w przypadku niezgodności z zasadniczymi wymogami cyberbezpieczeństwa bądź obowiązkami producentów wynikającymi z rozporządzenia;
- do 10 000 000 EUR lub do 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa - w przypadku niezgodności z wszelkimi innymi obowiązkami wskazanymi w rozporządzeniu;
- do 5 000 000 EUR lub do 1 % całkowitego rocznego światowego obrotu przedsiębiorstwa - w przypadku przekazywania jednostkom notyfikowanym i organom nadzoru rynku nieprawidłowych informacji w odpowiedzi na ich wnioski.
Szczegółowa regulacja w zakresie kar nakładanych w przypadku naruszenia rozporządzenia pozostawiona została zasadniczo państwom członkowskim. Na wysokość kary wpływ mają m.in. takie elementy jak: specyfika, waga i czas trwania naruszenia, jego konsekwencje czy też wielkość samego podmiotu gospodarczego i jego pozycja rynkowa.
Aktualne strategie UE
Rozporządzenie w sprawie cyberodporności jest elementem realizacji unijnej strategii cyberbezpieczeństwa z 2020 roku. Stanowi także działanie spójne z innymi politykami takimi jak projektowana Dyrektywa NIS2 ( w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii).
Przewiduje się, że regulacja wejdzie w życie w najbliższych miesiącach; na dostosowanie przepisów do nowych wymagań przedsiębiorcy mają mieć 36 miesięcy.
