Совет ЕС и Европарламент достигли соглашения по Закону о кибербезопасности цифровых продуктов

Закон о кибербезопасности цифровых продуктов (Cyber Resilience Act, CRA) — готовящийся к принятию закон ЕС, направленный на повышение безопасности цифровых продуктов от кибератак. 

Закон потребует от производителей hardware- и software-решений обеспечивать:

  • их устойчивость к кибератакам;
  • "прозрачность" используемых систем безопасности;
  • выпуск обновлений систем безопасности на протяжении всего жизненного цикла продукта (с момента проектирования и разработки до вывода продукта на рынок).

Проект закона был вынесен на рассмотрение ещё в 2022 году и потенциально может стать первым принятым актом из числа разрабатываемых в ЕС.

Основные требования нового закона

  1. Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
  2. Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту. 
  3. Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
  4. Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
  5. Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.

Применимые сроки

3 декабря Европарламент и Совет ЕС достигли консенсуса по «большинству технических аспектов закона». CRA вступит в силу на 20-й день после его публикации в официальном журнале ЕС

У организаций, на которые распространяется действие CRA, будет 36 месяцев, чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.  Установлен таже более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.

 


Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera