Ce este Regulamentul privind Reziliența Cibernetică ( CRA ) ?

Pe 10 octombrie 2024, Uniunea Europeană (UE) a adoptat o nouă lege centrată pe securitatea cibernetică, numită Regulamentul privind Reziliența Cibernetică (CRA). Această reglementare introduce cerințe stricte de securitate cibernetică pentru produsele cu elemente digitale, asigurând că dispozitivele precum electrocasnicele inteligente, sistemele industriale și alte produse conectate la Internet sunt sigure înainte de a ajunge la consumatori. Prin abordarea provocărilor actuale de securitate cibernetică de pe piața UE, CRA își propune să creeze un mediu de reglementare coerent, consolidând securitatea produselor hardware și software pe piața internă.

Ce este Regulamentul privind Reziliența Cibernetică ?

Regulamentul privind Reziliența Cibernetică (CRA) este o lege aplicabilă în toată UE, care stabilește standarde de securitate cibernetică pentru produsele cu componente digitale, precum laptopuri, smartphone-uri, dispozitive pentru casă inteligentă și sisteme industriale. Aceste produse, care pot fi conectate direct sau indirect la rețele sau alte dispozitive, trebuie acum să îndeplinească cerințe uniforme de securitate cibernetică înainte de a fi plasate pe piață. Reglementarea acoperă atât produsele hardware, cât și software, inclusiv dispozitivele utilizatorilor finali, bibliotecile software și componentele infrastructurilor critice.

Înainte de CRA, legile privind securitatea cibernetică în UE erau fragmentate, ceea ce a dus la incertitudine juridică pentru producători și consumatori. Diferite reglementări se aplicau în diverse state membre, creând dificultăți pentru companii în a se asigura că produsele lor respectă toate cerințele necesare de securitate. CRA elimină aceste incoerențe prin oferirea unui cadru unificat pentru siguranța și securitatea cibernetică a produselor, în beneficiul atât al afacerilor, cât și al consumatorilor.

Citește și : Fii Un Exemplu – Managementul industrial al carbonului

Elemente Cheie ale CRA

Regulamentul privind Reziliența Cibernetică introduce mai multe dispoziții esențiale pentru îmbunătățirea securității produselor digitale pe piața UE. Printre acestea se numără:

  1. Cerințe armonizate de securitate cibernetică

CRA stabilește cerințe uniforme de securitate cibernetică pentru proiectarea, dezvoltarea și producția produselor digitale. Aceste cerințe urmăresc să asigure că securitatea cibernetică este luată în considerare pe tot parcursul ciclului de viață al unui produs, de la proiectare inițială până la suportul post-vânzare. Producătorii trebuie să se asigure că produsele lor sunt sigure prin proiect și să furnizeze actualizări regulate de securitate pentru a aborda vulnerabilitățile care pot apărea după lansarea unui produs.

  1. Marcajul CE pentru conformitatea cu securitatea cibernetică

Produsele acoperite de CRA trebuie să poarte marcajul CE, care semnifică faptul că acestea respectă standardele UE de siguranță, sănătate și protecție a mediului. Marcajul CE este deja utilizat pentru diverse produse vândute în Spațiul Economic European (SEE), iar CRA extinde acum această obligație la conformitatea cu securitatea cibernetică. Prin afișarea marcajului CE, producătorii demonstrează că produsele lor îndeplinesc cerințele de securitate cibernetică prevăzute în CRA.

  1. Domeniul de aplicare

CRA se aplică tuturor produselor care sunt conectate la o rețea sau la un alt dispozitiv, fie direct, fie indirect. Cu toate acestea, unele categorii de produse sunt excluse, deoarece sunt deja supuse unor reglementări specifice privind securitatea cibernetică. Acestea includ dispozitivele medicale, produsele aeronautice și autovehiculele, care sunt reglementate de propria legislație sectorială specifică a UE.

  1. Împuternicirea consumatorilor

Unul dintre obiectivele majore ale Actului este să îmbunătățească transparența și să le ofere consumatorilor posibilitatea de a lua decizii informate în ceea ce privește caracteristicile de securitate cibernetică ale produselor pe care le achiziționează. Odată cu introducerea unor standarde uniforme de securitate cibernetică, consumatorii vor avea acces la informații mai clare despre caracteristicile de securitate ale unui produs, ajutându-i să aleagă hardware și software care să răspundă nevoilor și așteptărilor lor de securitate.

  1. Considerații transfrontaliere

Într-o lume conectată, un incident de securitate cibernetică într-un produs se poate răspândi rapid peste granițe. CRA recunoaște această provocare și încearcă să abordeze dimensiunea transfrontalieră a riscurilor de securitate cibernetică. Produsele fabricate într-o țară pot fi utilizate pe întregul teritoriu al pieței interne, făcând esențială coerența standardelor de securitate cibernetică în toate statele membre.

Citește și : InfoCons partener în cadrul acțiunilor dedicate Zilei Armatei Române

Abordarea Provocărilor de Securitate Cibernetică

Regulamentul privind Reziliența Cibernetică abordează două probleme majore pe piața digitală:

  1. Nivel scăzut de securitate cibernetică în produsele digitale

Multe produse digitale sunt vulnerabile la atacuri cibernetice din cauza măsurilor insuficiente de securitate. Aceste vulnerabilități pot rezulta dintr-un design necorespunzător, lipsa actualizărilor regulate sau neglijarea securității pe parcursul ciclului de viață al produsului. CRA își propune să reducă aceste riscuri impunând cerințe stricte de securitate cibernetică, asigurându-se că produsele sunt proiectate și dezvoltate având în vedere securitatea încă de la început.

Actul abordează, de asemenea, problema actualizărilor de securitate inconsistente și infrecvente. Producătorii vor fi obligați să furnizeze actualizări regulate pentru a remedia vulnerabilitățile de securitate, reducând astfel probabilitatea ca atacatorii cibernetici să exploateze software sau hardware învechit.

  1. Lipsa de conștientizare a consumatorilor

Consumatorii adesea nu au suficiente informații pentru a evalua caracteristicile de securitate cibernetică ale produselor digitale. Aceasta le face dificilă alegerea produselor care oferă protecție adecvată împotriva amenințărilor cibernetice. CRA îmbunătățește conștientizarea consumatorilor prin obligarea producătorilor să ofere informații clare despre caracteristicile de securitate cibernetică ale unui produs. Această transparență le permite consumatorilor să ia decizii informate și să utilizeze produsele într-un mod mai sigur.

Exemple de Produse cu Elemente Digitale

CRA acoperă o gamă largă de produse digitale care sunt fie integrate într-un sistem electronic mai mare, fie conectate la acestea. Aceste produse pot servi ca puncte de acces pentru atacuri cibernetice dacă nu sunt suficient securizate. Iată câteva exemple de astfel de produse:

Dispozitive finale:

  • Laptopuri și smartphone-uri
  • Dispozitive inteligente pentru casă (de ex., camere, frigidere)
  • Roboți inteligenți și contoare inteligente
  • Routere și sisteme de control industrial
  • Difuzoare inteligente și switch-uri

Software:

  • Sisteme de operare și firmware
  • Aplicații mobile și software pentru desktop
  • Jocuri video

Componente hardware și software:

  • Unități de procesare a calculatoarelor (CPU-uri)
  • Plăci video
  • Biblioteci software

Aceste produse, prin natura lor, sunt vulnerabile la atacuri cibernetice, care pot compromite o întreagă rețea sau sistem. Prin stabilirea de standarde de securitate cibernetică pentru aceste produse, CRA se asigură că chiar și componentele care par mai puțin critice nu sunt neglijate, reducând astfel suprafața de atac pentru actorii rău intenționați.

Citește și : Încălcarea drepturilor de proprietate intelectuală și a altor drepturi comerciale – continut ilegal in mediul online

CRA în Contextul Legislației UE privind Securitatea Cibernetică

Regulamentul privind Reziliența Cibernetică reprezintă o completare importantă la cadrul legislativ al UE în domeniul securității cibernetice. Acesta completează legi deja existente, cum ar fi Directiva NIS (Directiva privind securitatea rețelelor și sistemelor informatice), Directiva NIS 2 și Actul UE privind Securitatea Cibernetică. Împreună, aceste legi formează un cadru cuprinzător care urmărește îmbunătățirea securității cibernetice în întreaga Uniune Europeană.

  1. Directiva NIS și Directiva NIS 2

Directiva NIS, adoptată în 2016, a fost prima lege la nivelul întregii UE referitoare la securitatea cibernetică. Aceasta se concentrează pe îmbunătățirea capacităților de securitate cibernetică ale operatorilor de infrastructuri critice, cum ar fi furnizorii de energie, rețelele de transport și serviciile de sănătate. Directiva NIS 2, care a intrat în vigoare în 2023, a extins domeniul de aplicare al directivei inițiale, acoperind un spectru mai larg de sectoare și impunând cerințe de securitate cibernetică mai stricte.

În timp ce directivele NIS se concentrează pe infrastructura critică, Actul privind Reziliența Cibernetică vizează produsele cu elemente digitale, asigurându-se că produsele de zi cu zi ale consumatorilor, precum și componentele sistemelor industriale, sunt sigure.

  1. Actul UE privind Securitatea Cibernetică

Actul UE privind Securitatea Cibernetică, adoptat în 2019, a creat Cadrul European de Certificare în Securitate Cibernetică, care urmărește să asigure o abordare comună în certificarea securității cibernetice în întreaga UE. Actul privind Reziliența Cibernetică completează acest cadru prin introducerea cerințelor de securitate cibernetică pentru produsele cu componente digitale, asigurându-se că aceste produse respectă standardele necesare de securitate înainte de a fi plasate pe piață.

Evoluția Regulamentului privind Reziliența Cibernetică: De la Propunere la Adoptare

Regulamentul privind Reziliența Cibernetică a fost în lucru încă de la prima menționare a acestuia de către Președintele Comisiei Europene, Ursula von der Leyen, în discursul său privind starea Uniunii din septembrie 2021. Aceasta a fost urmată de concluziile Consiliului din 23 mai 2022, care au solicitat Comisiei să propună măsuri pentru a consolida postura de securitate cibernetică a UE.

Pe 15 septembrie 2022, Comisia Europeană a înaintat propunerea oficială pentru CRA, care a trecut prin negocieri interinstituționale extinse, cunoscute sub numele de triloguri, între Parlamentul European, Consiliul și Comisia Europeană. După ce s-a ajuns la un acord provizoriu pe 30 noiembrie 2023, legea a fost adoptată oficial pe 10 octombrie 2024.

Ce urmează?

După adoptarea Regulamentului privind Reziliența Cibernetică, actul legislativ va fi semnat de președinții Consiliului UE și ai Parlamentului European și publicat în Jurnalul Oficial al UE. Reglementarea va intra în vigoare la 20 de zile de la publicare și va fi aplicabilă la 36 de luni de la intrarea în vigoare, unele dispoziții intrând în aplicare mai devreme.

Calendar:

  • Octombrie 2024: Adoptarea CRA
  • 20 de zile mai târziu: Intrarea în vigoare
  • Timp de 36 de luni după: Aplicarea completă a CRA

În această perioadă de tranziție, producătorii și afacerile trebuie să se asigure că produsele lor respectă noile cerințe de securitate cibernetică. Autoritățile de reglementare vor începe aplicarea CRA odată ce termenul de implementare completă este atins.

Citește și : România , printre puținele țări din UE cu scumpiri la carburanți față de 2023 – InfoCons te informează !

Concluzie: Consolidarea Peisajului de Securitate Cibernetică din Europa

Regulamentul privind Reziliența Cibernetică reprezintă un pas important către asigurarea securității produselor digitale pe teritoriul Uniunii Europene. Prin armonizarea standardelor de securitate cibernetică, actul reduce riscurile asociate vulnerabilităților din dispozitivele și software-urile conectate, oferind o protecție mai bună atât pentru consumatori, cât și pentru afaceri. Prin intermediul CRA, UE își propune să creeze un mediu digital mai sigur, în care produsele sunt securizate pe tot parcursul ciclului lor de viață, iar consumatorii sunt împuterniciți să ia decizii informate cu privire la produsele pe care le utilizează.

Într-o lume din ce în ce mai conectată, Regulamentul privind Reziliența Cibernetică este un instrument esențial în eforturile UE de a atenua riscurile de securitate ciberneticăv și de a consolida reziliența ecosistemului său digital.

Sursă : Consiliul Uniunii Europene

InfoCons – Organizație Europeană pentru Protecția Consumatorului și Promovarea  Programelor și Strategiilor membră cu drepturi depline în Organizația Mondială Consumers International , membra fondatoare a Federației Asociațiilor de Consumatori , avand Secretariatul General în București, Bd. Mărășești , nr. 127-129, sector 4, tel: 021/319.32.66, mail : secretariat@infocons.ro

Pe același subiect

Distribuie

InfoCons (www.infocons.ro) – Asociație Națională de Protecția Consumatorilor, unica organizație din România cu drepturi depline în Consumers International, este o asociație de consumatori neguvernamentală, apolitică, reprezentativă, de drept privat, fără scop lucrativ, cu patrimoniu distinct și indivizibil, independentă, întemeiată pe principii democratice, ce apără drepturile consumatorilor – membră fondatoare a Federației Asociațiilor de Consumatori.

Fii informat! Ia atitudine! Cunoaște-ți drepturile și exercită-le apelând 021 9615!* din orice rețea fixă sau mobilă sau *9615** din orice rețea mobilă!

**Număr de telefon apelabil din orice rețea fixă sau mobilă cu tarif normal în rețeaua Telekom
***Număr de telefon apelabil din orice rețea mobilă cu tarif normal