Publicat în Jurnalul Oficial al Uniunii Europene pe 20 noiembrie 2024, Actul European privind Reziliența Cibernetică (denumit „CRA”) își propune să îmbunătățească protecția consumatorilor si a mediului de afaceri abordând amenințările cibernetice tot mai mari cu care se confruntă Uniunea Europeană. Ca răspuns la aceste riscuri tot mai mari, CRA introduce un cadru cuprinzător pentru monitorizarea conformității, abordarea nerespectării și aplicarea sancțiunilor pentru încălcări.
CRA stabilește standarde uniforme de securitate cibernetică pentru proiectarea, dezvoltarea și producția de produse cu elemente digitale (denumite „PDE-uri”) puse la dispoziție pe piața UE. Un PDE este definit ca un produs software sau hardware și soluțiile sale de prelucrare de date la distanță, inclusiv componentele software sau hardware introduse pe piață separat.
1. Context
CRA a fost adoptat pentru a aborda riscurile cibernetice generate de PDE-uri care sunt plasate pe piața Uniunii Europene și care sunt concepute pentru a se conecta, direct sau indirect, la un dispozitiv sau rețea printr-o conexiune de date, ca parte a funcționării normale sau utilizării lor intenționate. Astfel de PDE-uri pot include:
Produse hardware:
• Laptopuri și smartphone-uri
• Senzori și camere
• Produse pentru locuințe inteligente cu funcționalități legate de securitate, inclusiv încuietori inteligente ale ușilor, camere de securitate, sisteme de monitorizare a bebelușilor și sisteme de alarmă
Produse software:
• Sisteme de operare
• Software care caută, elimină sau plasează în carantină programe informatice malware
• Instrumente de editare video
Aceste produse, atunci când nu sunt protejate corespunzător, prezintă riscuri semnificative pentru utilizatori și afaceri. Iată câteva exemple de atacuri cibernetice care au compromis securitatea PDE-urilor în trecut:
• Pegasus spyware, care exploata vulnerabilitățile telefoanelor mobile, permițând accesul neautorizat la date sensibile;
• WannaCry ransomware, care a profitat de o vulnerabilitate a Windows, afectând computerele din 150 de țări și cauzând întreruperi semnificative;
• Atacul asupra lanțului de aprovizionare Kaseya VSA, care a folosit software-ul de gestionare a rețelelor pentru a compromite peste 1.000 de companii, perturbând infrastructura IT critică.
2. Dispoziții cheie
2.1. Domeniul de aplicare al CRA
CRA se aplică PDE-urilor puse pe piața UE și care sunt proiectate să se conecteze, direct sau indirect, la un dispozitiv sau rețea printr-o conexiune de date ca parte a funcționării normale sau a utilizării intenționate.
Totuși, CRA nu se aplică sau se aplică doar într-un mod limitat în următoarele cazuri:
• Produse cu elemente digitale dezvoltate sau modificate exclusiv pentru scopuri de securitate națională sau apărare, sau cele proiectate special pentru procesarea informațiilor clasificate; sau
• Produse și/sau sectoare deja suficient reglementate în baza legislației existente.
2.2. Cerințe de securitate cibernetică pentru operatorii economici
CRA introduce cerințe de securitate cibernetică pentru operatorii economici, care sunt definiți ca producătorul, reprezentantul autorizat, importatorul sau distribuitorul, sau o altă persoană fizică sau juridică care este supusă obligațiilor privind fabricarea produselor cu elemente digitale sau punerea la dispoziție a produselor cu elemente digitale pe piață în conformitate cu CRA.
Exemple de responsabilități ale producătorilor:
• Asigurarea că PDE-urile lor îndeplinesc cerințele esențiale de securitate cibernetică (consultați secțiunea 2.3 mai jos) înainte de a fi puse pe piață;
• Documentarea riscurilor relevante de securitate cibernetică ale PDE-urilor;
• Asigurarea că acele componente achiziționate de la terți nu compromit securitatea cibernetică a produsului final. Este necesară diligență atunci când se integrează aceste componente.
Exemple de responsabilități ale importatorilor:
Înainte de a pune un produs cu elemente digitale pe piață, importatorii trebuie să se asigure că:
• procedurile corespunzătoare de evaluare a conformității au fost efectuate de către producător;
• PDE-ul poartă marcajul CE și este însoțit de declarația de conformitate UE menționată în CRA și de informațiile și instrucțiunile pentru utilizator, în limba care poate fi ușor înțeleasă de utilizatori și autoritățile de supraveghere a pieței.
Exemple de responsabilități ale distribuitorilor:
• Verificarea că produsele cu elemente digitale poartă marcajul CE și că producătorii și importatorii au îndeplinit obligațiile reglementare înainte de a distribui produsele.
• Asigurarea că orice PDE-uri pe care le pun pe piață și care nu sunt conforme cu CRA sunt fie corectate, retrase sau rechemate, după caz;
• La cererea autorităților de supraveghere a pieței, furnizarea documentației necesare pentru a demonstra că produsele lor sunt conforme cu CRA.
2.3. Cerințe esențiale de securitate cibernetică
CRA impune cerințe esențiale de securitate cibernetică pentru PDE-uri, inclusiv :
• Asigurarea că vulnerabilitățile pot fi adresate prin actualizări de securitate la timp;
• Asigurarea că produsele sunt disponibile pe piață fără vulnerabilități exploatabile cunoscute;
• Implementarea de mecanisme robuste pentru a preveni accesul neautorizat, cum ar fi autentificarea, gestionarea identității și controlul accesului, și asigurarea raportării oricărui acces neautorizat;
• Protejarea confidențialității datelor personale și a altor date sensibile în timpul stocării, transmiterii sau procesării acestora;
• Oferirea de mecanisme pentru înregistrarea și monitorizarea activităților interne, cum ar fi accesul sau modificările la date, servicii sau funcții, cu opțiunea de a permite utilizatorilor să se retragă;
• Posibilitatea utilizatorilor să șteargă în mod securizat și permanent toate datele și setările produsului și asigurarea că transferul de date către alte sisteme sau produse se face în mod securizat, dacă este cazul.
2.4. Evaluarea conformității
Producătorul va efectua o evaluare a conformității PDE-ului și a proceselor puse în aplicare de acesta pentru a determina dacă cerințele esențiale de securitate cibernetică prevăzute în CRA sunt îndeplinite. Criteriile de evaluare variază în funcție de nivelul de risc al PDE-ului, cu cerințe mai stricte pentru PDE-urile importante/critice.
3. Sancțiuni
Fiecare stat membru va desemna una sau mai multe autorități de supraveghere a pieței, pentru a asigura implementarea eficientă a CRA.
Sancțiunile pentru neconformare sunt semnificative, incluzând amenzi administrative de până la 15.000.000 EUR sau, în cazul în care autorul infracțiunii este o întreprindere, până la 2,5 % din cifra de afaceri anuală globală totală pentru anul financiar precedent, oricare dintre ele este mai mare.
4. Efecte și Implementare
CRA a intrat în vigoare începând cu 10 decembrie 2024, marcând o schimbare semnificativă către standarde mai înalte de securitate cibernetică în UE. Întreprinderile și producătorii vor trebui să își alinieze procesele la noul regulament pentru a se asigura că respectă standardele de conformitate necesare și pentru a evita eventualele sancțiuni. CRA se va aplica din 11 decembrie 2027, cu excepția unor dispoziții care vor intra în vigoare din iunie 2026.
***
If you are interested in receiving further information on this topic, please do not hesitate to contact us. You can also find this legal update in the News section of our website: www.leroylaw.ro.