Európska únia prijala v októbri nariadenie o kybernetickej odolnosti (CRA) – „Cyber Resilience Act“. Autori si od nariadenia sľubujú vyššiu mieru kybernetickej bezpečnosti pre užívateľov produktov, ktoré sú pripojené na internet. Podľa partnera advokátskej kancelárie a odborníka na ochranu údajov ide o dobrý krok smerom k bezpečnejšiemu digitálnemu prostrediu, keďže mnohí Slováci siahajú po dovážanej lacnej elektronike bez náležitých ochranných prvkov.
Na európskom trhu dnes nájdeme množstvo produktov s digitálnymi prvkami. Ide o zariadenia, ktoré sú prepojené s inými zariadeniami alebo k sieti a existuje pri nich riziko úniku informácií. Veľké a známejšie značky už v tomto smere ponúkajú istú mieru zabezpečenia, no prúdi k nám aj množstvo lacných produktov, ktoré často nespĺňajú ani základné bezpečnostné štandardy. Tento problém sa Európska komisia rozhodla vyriešiť nariadením o kybernetickej odolnosti (CRA). Platiť začne publikáciou v úradnom vestníku EÚ (ešte nenastalo) a prakticky sa začne vynucovať až uplynutím prechodného obdobia. Predpoklad je, že prvé povinnosti sa začnú v praxi vynucovať v lete 2026 a úplne celé CRA na jeseň 2027. Presne sa to bude dať určiť až momentom zverejnenia CRA vo vestníku.
Nariadenie je zamerané na tzv. „Internet of things“ (IoT), teda produkty s digitálnymi prvkami. Hovoríme tak o softvérových produktoch, ako napríklad počítačové hry, AI systémy, aplikácie, ale aj o hardvérových, ako sú smartfóny, notebooky, smart hodinky, či produkty pre smart domácnosť. Produkty, ktoré budú spĺňať požiadavky nariadenia, budú mať certifikáciu a označenie „CE“, teda európske označenie výrobkov, ktoré boli posúdené ako spĺňajúce vysoké požiadavky na bezpečnosť, zdravie a ochranu životného prostredia.
„Cieľom nariadenia je zvýšenie bezpečnosti produktov s digitálnymi komponentami, a to počas celého ich životného cyklu. Nariadenie zavedie prísnejšie požiadavky pre širokú škálu produktov od spotrebnej elektroniky až po priemyselné zariadenia. Výrobcovia tak budú nútení zvýšiť ich kybernetickú odolnosť a distribútori budú musieť ponúkať len produkty, ktoré budú v súlade s CRA,“ približuje Ondrej Zimen, partner advokátskej kancelárie Dagital Legal.
Vyššia miera ochrany a bezpečnosti pre spotrebiteľov
CRA umožní spotrebiteľom zohľadniť kybernetickú bezpečnosť pri výbere a používaní produktov, ktoré obsahujú digitálne prvky. Má za cieľ zvýšiť ich bezpečnosť, zabezpečiť dlhodobú podporu prostredníctvom aktualizácií, vyššiu transparentnosť výrobcov a lepšiu informovanosť spotrebiteľov pri nákupnom rozhodovaní. CRA má tiež znížiť riziko dlhodobých výpadkov a vyššiu spoľahlivosť služieb, keďže digitálne produkty budú musieť byť schopné čeliť kybernetickým incidentom a obnoviť hlavné funkcie aj po útoku. „Spotrebitelia získajú týmto nariadením aj výrazne vyššiu mieru ochrany súkromia, keďže mechanizmy kontroly budú musieť zabezpečiť ochranu pred neoprávneným prístupom, chrániť dôvernosť a integritu uložených, vysielaných alebo inak spracúvaných osobných alebo iných údajov a prípady poškodenia oznamovať. Zariadenia a programy budú môcť spracúvať iba osobné alebo iné údaje, ktoré sú primerané, relevantné a obmedzené na to, čo je potrebné vo vzťahu k účelu produktu s digitálnymi prvkami, na ktorý bol určený. Tým CRA jasne nadväzuje na GDPR,“ vysvetľuje advokát Zimen.