Kolejne, unijne rozporządzenie w sprawie cyberbezpieczeństwa, tym razem dotyczące cyberodporności zostało przyjęte przez Parlament Europejski. Po zatwierdzeniu przez Radę UE, Polska będzie miała 2 lata na dostosowanie się do unijnych wymogów. Nie warto jednak zwlekać z tym do ostatniej chwili, gdyż przedsiębiorcom objętym przepisami dojdzie sporo nowych obowiązków i kosztów z nimi związanych
Cyber Resilience Act – rozporządzenie w sprawie cyberodporności (CRA) jest kolejną, unijną regulacją z zakresu cyberbezpieczeństwa, dotyczącą bezpieczeństwa produktów cyfrowych. Zakłada, że producenci, dystrybutorzy i importerzy powinni stosować odpowiednie normy techniczne i procedury wewnętrzne mające zapewniać cyberbezpieczeństwo tych produktów. Oprócz m.in. aktu o cyberbezpieczeństwie i dyrektywy NIS 2 ma za zadanie wzmacniać bezpieczeństwo cyfrowe Unii Europejskiej.
Podczas gdy NIS 2 obejmuje kwestie bezpieczeństwa informatycznego podmiotów w kilkunastu różnych sektorach, CRA ma zapewnić bezpieczeństwo urządzeń z elementami cyfrowymi, zwłaszcza tych podłączonych do internetu, w tym internetu rzeczy (IoT). Unijne rozporządzenie zakłada standaryzację przepisów, a co za tym idzie – paneuropejską certyfikację usług i produktów ICT, której celem jest poświadczenie, że te usługi i produkty są w pełni zgodne z warunkami wymaganych specyfikacji. W tym celu mają zostać powołane krajowe jednostki notyfikujące, które będą udzielać akredytacji podmiotom uprawnionym do wydawania tych certyfikatów.
To kolejna odpowiedź w formie regulacji UE na nasilające się cyberataki, zagrażające nie tylko użytkownikom indywidualnym, ale wręcz całym przedsiębiorstwom i podmiotom sektora publicznego, niebędącym dziś w stanie określić, które produkty są cyberbezpieczne, ani skonfigurować ich w sposób zapewniający ochronę. Szczególnie że coraz częściej do ataków dochodzi właśnie za pośrednictwem urządzeń, które nie są już wspierane lub aktualizowane, np. drukarek, a nie coraz lepiej chronionych internetowych sieci firm.
Tę sytuację ma zmienić ustanowienie wspólnych dla wszystkich państw Unii Europejskiej standardów bezpieczeństwa dla produktów i usług z komponentem cyfrowym.
– W UE mamy normy dotyczące toksyczności produktów, bezpieczeństwa żywności, zasilania elektrycznego, a dotychczas nie było kompleksowych regulacji, które określałyby wymagania, jakie powinny spełniać urządzenia z komponentami cyfrowymi, gwarantujących, że gromadzone i przesyłane przez nie dane są zabezpieczone przed wyciekiem, a także, że nie dojdzie do poważnych zakłóceń w razie, gdy ich działanie zostanie przerwane. Obecnie w Unii obowiązują jedynie pojedyncze regulacje dotyczące bezpieczeństwa informatycznego określonych grup produktów, np. rozporządzenie w sprawie wyrobów medycznych, ale przy naszej zależności od urządzeń cyfrowych jest to tylko czubek góry lodowej. Dlatego uważa się, że jesteśmy opóźnieni co najmniej o dekadę w przyjmowaniu tego rodzaju regulacji – wyjaśnia Agnieszka Wachowska, radczyni prawna, Co-Managing Partner w kancelarii Traple Konarski Podrecki i Wspólnicy, tłumacząc, że przyjęcie tego rodzaju przepisów jest bardzo istotne.
– Z drugiej strony opóźnienie ma też swoje dobre strony. Wszystkie ważniejsze regulacje z obszaru bezpieczeństwa pojawiają się niemal w jednym czasie. W październiku tego roku wchodzi NIS 2 (choć w Polsce spodziewamy się lekkiego opóźnienia implementacji dyrektywy po stronie ustawodawcy), a od stycznia 2025 r. DORA (rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego). Kolejna byłaby z pewnością dużym obciążeniem dla rynku, a tak spełnianie obowiązków w związku z wchodzeniem nowych aktów rozłoży się w czasie – zauważa dr Michał Mostowik, adwokat w zespole doradztwa regulacyjnego dla sektora finansowego i FinTech w Deloitte.
Etap wdrożenia i powołanie nowych jednostek
Rozporządzenie CRA zostało przyjęte 12 marca przez Parlament Europejski. Obecnie czeka na zatwierdzenie przez Radę UE.
– Jeśli do tego dojdzie, rozporządzenie wejdzie w życie 20 dni po publikacji, co powinno nastąpić niezwłocznie po przyjęciu. W praktyce przepisy CRA zaczną obowiązywać dopiero na przestrzeni kolejnych dwóch lat – zaznacza Michał Mostowik.
CRA, mimo że nie jest bezpośrednio stosowanym rozporządzeniem, wymaga oddzielnej ustawy krajowej, w której zostaną wskazane m.in. podmioty odpowiedzialne, procedury krajowe i kary za niespełnienie obowiązków wynikających z ustawy. W ciągu 18 miesięcy od wejścia w życie rozporządzenia państwa członkowskie muszą powołać właściwe organy notyfikujące, których zadaniem będzie opracowywanie i wyznaczanie standardów dla jednostek oceniających zgodność (certyfikującym) oraz sprawowanie nad nimi nadzoru, co będzie się wiązało z dodatkowymi kosztami.
– CRA przewiduje, że organem notyfikującym może być krajowa jednostka akredytująca powołana na podstawie odrębnych przepisów, w Polsce rolę tę odgrywa Polskie Centrum Akredytacji. Oznaczałoby to, że PCA wydawałoby akredytacje innym podmiotom do oceny zgodności produktów z przepisami – wyjaśnia Agnieszka Wachowska i dodaje, że akredytowane jednostki oceniające zgodność mają być odpowiedzialne za wydawanie certyfikatów wprowadzanym na rynek produktom, ocenianych jako ważne lub krytyczne z punktu widzenia cyberbezpieczeństwa.
Rozporządzenie określa, o jakie produkty chodzi. Są to m.in. przeglądarki, managery haseł, rozwiązania służące do zarządzania bezpieczeństwem, ale też urządzenia typu wearables (noszone blisko ciała), smart home czy router.
– Państwa członkowskie będą musiały wyznaczyć jeszcze organ nadzoru rynku – jego zadaniem ma być kontrolowanie, czy przepisy w zakresie bezpieczeństwa są przestrzegane. Nie wiadomo, czy Polska powoła zupełnie nowy organ, czy wyznaczy któryś z istniejących. Organ nadzoru rynku będzie miał prawo nakładać kary w razie uchybień. Te natomiast zostały przewidziane do wysokości 5 mln euro lub 1 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa za przekazanie organom nieprawidłowych informacji do nawet górnej wysokości 15 mln euro lub 2,5 proc. obrotu za niespełnienie podstawowych wymogów cyberbezpieczeństwa produktu – tłumaczy Agnieszka Wachowska.
Po 21 miesiącach od wejścia w życie rozporządzenia zaczną obowiązywać przepisy określające obowiązki producentów w zakresie raportowania aktywnie wykorzystywanej podatności w produkcie, a w całości nowy akt ma zacząć obowiązywać po 36 miesiącach.
Normy dla przedsiębiorców
Nowe obowiązki mają dotyczyć wszystkich w łańcuchu dostaw, czyli nie tylko producentów, lecz także dystrybutorów i importerów. Chodzi o to, by wyeliminować ryzyko luki regulacyjnej, do której mogłoby dojść w sytuacji, gdy producent wprowadzanego na rynek produktu jest spoza UE. W tej sytuacji to importer będzie zobowiązany, aby potwierdzić, iż oferowany przez niego produkt spełnia nowe wymogi ustalone przez CRA.
Przede wszystkim przedsiębiorcy muszą zagwarantować, że domyślne ustawienia produktów cyfrowych zapewnią bezpieczeństwo użytkownikowi.
– Wyciek danych to tylko jedno z wielu zagrożeń wynikających z użytkowania urządzeń z komponentem cyfrowym. Weźmy np. lodówkę, która jest podłączona do sieci. Jeśli zostanie wyłączona, może spowodować zalanie mieszkania. A przy innych sprzętach konsekwencje naruszeń bezpieczeństwa mogą być znacznie poważniejsze. Zatem choć mowa o świecie wirtualnym, to skutki mogą być odczuwane w świecie fizycznym – zauważa Michał Mostowik.
Poza tym urządzenia i usługi cyfrowe dopuszczone do obrotu mają być wolne od powszechnie znanych luk bezpieczeństwa, pozwalających np. na nieuprawniony wyciek danych czy przerwanie ich działania. Mają być też zabezpieczone przed nieautoryzowanym dostępem oraz ograniczać zakres gromadzonych danych, tylko do niezbędnych.
Są jeszcze inne obowiązki, jakie nakłada CRA na przedsiębiorców.
– Będą musieli zmienić model produkcji, tak by o bezpieczeństwo zadbać już na etapie produkowania. A to oznacza obowiązki dokumentowania każdego etapu wytwarzania produktu – zauważa Agnieszka Wachowska i dodaje, że przedsiębiorcy będą również musieli wdrożyć system zarządzania i dokumentowania luk w bezpieczeństwie oraz informowania o zagrożeniach z nimi związanych. Będą zobowiązani do monitorowania i rejestrowania zagrożeń i incydentów bezpieczeństwa w odniesieniu do swoich produktów. Ich obowiązkiem będzie również usuwanie możliwych luk w zabezpieczeniach przez regularne udostępnianie użytkownikom aktualizacji oprogramowania zainstalowanego w urządzeniach.
– Ewentualne podatności na zagrożenia powinny być skutecznie usuwane przez okres przewidywanego użytkowania produktu lub przez pięć lat od wprowadzenia go na rynek – informuje Agnieszka Wachowska.
Poza tym przedsiębiorcy będą musieli zgłaszać do odpowiedniego CSIRT (zespół reagowania na incydenty bezpieczeństwa komputerowego) oraz Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) cyberincydenty – raportowanie będzie się odbywało poprzez pojedynczy punkt kontaktowy. Wczesne ostrzeżenie będzie trzeba zgłosić nie później niż w ciągu 24 godzin od momentu uzyskania informacji o aktywnie wykorzystywanej podatności produktu czy też incydencie mającym wpływ na jego bezpieczeństwo, przy czym będzie trzeba uzupełniać relewantne informacje na kolejnych etapach raportowania.
Obowiązek informowania użytkowników odnośnie do poziomu bezpieczeństwa urządzenia ma pozwolić konsumentom ocenić ryzyko danego produktu już podczas jego zakupu.
– Wśród nowych obowiązków jest też ten związany z gromadzeniem i aktualizacją informacji związanej z produkcją produktu i jego części składowych. Przedsiębiorcy będą musieli przechowywać dane na ten temat przez 10 lat – podkreśla Agnieszka Wachowska.
Ekspertka dodaje, że w 2024 r. ENISA opublikowała raport dotyczący norm cyberbezpieczeństwa, jakim powinny odpowiadać urządzenia i usługi, które zmapowała z wymaganiami stawianymi przez CRA. Stanowi to podpowiedź dla producentów, ile pracy przed nimi w związku z wejściem w życie rozporządzenia.
– Z raportu wynika, że co do zasady producenci, którzy mieli wdrożone aktualne międzynarodowe normy bezpieczeństwa na etapie produkcji, będą w dużej mierze zgodni z CRA. Dokument wskazuje jednak w sposób kompleksowy, co mogą zrobić dodatkowo, by zwiększyć bezpieczeństwo swoich produktów – tłumaczy Agnieszka Wachowska.
Choć rozporządzenie nie weszło w życie, zdaniem ekspertów ze zmianami nie warto zwlekać do ostatniej chwili. Szczególnie że w UE są już wydawane przewodniki na temat tego, jak do zgodności z CRA podejść i wdrożyć nowe normy w zakresie bezpieczeństwa.
– Producenci mogą na nich bazować, planując działania, a dystrybutorzy i importerzy odpytywać ich, czy wskazane w rozporządzeniu obowiązki już spełniają. Jest to więc moment na analizę luk, czyli sprawdzenie, czego nam jeszcze brakuje w toku produkcji – zauważa Agnieszka Wachowska.
Nowe obowiązki dla przedsiębiorców
Producenci oprogramowania i sprzętu będą musieli:
– uwzględnić zasady cyberbezpieczeństwa już na etapie projektowania swoich produktów,
– pozyskiwać deklaracje zgodności (w tym oznakowanie CE) lub certyfikaty w ramach europejskiego programu certyfikacji cyberbezpieczeństwa w celu zapewnienia, że produkty są zgodne z zasadniczymi wymaganiami cyberbezpieczeństwa,
– zapewnić, że przez przewidywany okres użytkowania produktu lub przez pięć lat po wprowadzeniu na rynek podatności na zagrożenia będą skutecznie usuwane, a aktualizacje dostępne dla użytkowników.
– powiadamiać właściwego CSIRT oraz ENISA o aktywnie wykorzystanych podatnościach w produkcie w ciągu 24 godzin.
Kary pieniężne i sankcje
Regulacje CRA:
– w przypadku przekazywania jednostkom notyfikowanym i organom nadzoru rynku nieprawidłowych informacji w odpowiedzi na ich wnioski przedsiębiorcy grozi kara do 5 mln euro lub do 1 proc. rocznego światowego obrotu firmy,
– w przypadku niezgodności z wszelkimi innymi obowiązkami wskazanymi w rozporządzeniu w grę wchodzi kara do 10 mln euro lub do 2 proc. rocznego światowego obrotu przedsiębiorstwa,
– w przypadku niezgodności z zasadniczymi wymogami cyberbezpieczeństwa bądź obowiązkami producentów wynikającymi z rozporządzenia kara wyniesie do 15 mln euro lub do 2,5 proc. rocznego światowego obrotu firmy,
– jeżeli w trakcie tej oceny organ nadzoru rynku stwierdzi, że produkt z elementami cyfrowymi nie jest zgodny z wymogami określonymi w rozporządzeniu, niezwłocznie zobowiązuje właściwy podmiot gospodarczy do podjęcia wszelkich odpowiednich działań naprawczych w celu zapewnienia zgodności produktu z elementami cyfrowymi z tymi wymogami, wycofania go z obrotu lub odzyskania go w wyznaczonym przez organ rozsądnym terminie, stosownym do charakteru ryzyka.
Materiał z serwisu partnerskiego Cyfrowa Gospodarka