Скопировано

Евросоюз теперь живёт по новым правилам кибербезопасности

15.01.2025
Дата публикации
В Европейском Союзе вступил в силу закон о кибербезопасности цифровых устройств (Cyber Resilience Act, CRA), направленный на повышение уровня защиты пользователей и бизнеса от киберугроз. Это первый в истории ЕС нормативный акт, устанавливающий обязательные требования к безопасности продуктов с цифровыми элементами.

CRA ужесточает ответственность производителей за обеспечение безопасности оборудования и программного обеспечения. Теперь компании обязаны предоставлять обновления для устранения уязвимостей и гарантировать поддержку безопасности в течение пяти лет после выпуска продукта.

Производители также обязаны проводить оценку рисков и сообщать о выявленных уязвимостях и инцидентах. Для пользователей меры закона означают повышение прозрачности и возможность делать более осознанный выбор среди представленных на рынке продуктов.

Продукты, соответствующие требованиям закона, будут маркироваться знаком CE, что подтверждает их соответствие стандартам ЕС. Срок полного внедрения ключевых положений CRA установлен на 11 декабря 2027 года.

Особое внимание уделяется устройствам Интернета вещей (IoT), биометрическим сканерам и камерам наблюдения. Продукты с высоким уровнем риска, такие как антивирусы и VPN-сервисы, потребуют обязательного аудита сертифицированной организацией.

У производителей остаётся 21 месяц на то, чтобы начать сообщать о киберинцидентах, и 36 месяцев для приведения своей продукции в соответствие с требованиями. Эти сроки призваны обеспечить плавный переход к новым стандартам.

Ранее такие меры применялись лишь к продукции автомобильной, медицинской и аэрокосмической отраслей.

По словам исполнительного вице-президента Европейской комиссии Хенны Вирккунен, закон укрепляет доверие пользователей к цифровым продуктам и делает Европу более безопасной для жизни и бизнеса.

CRA дополняет принятую ранее NIS2-рамку, усиливая комплексный подход ЕС к обеспечению кибербезопасности. Это еще один шаг на пути к созданию защищенного цифрового пространства.