В Европейском Союзе вступили в силу правила повышения безопасности подключенных устройств.
Закон о киберустойчивости (CRA) налагает на производителей продуктов обязательства обеспечивать поддержку безопасности потребителям, например, путем обновления их программного обеспечения для устранения уязвимостей безопасности. Хотя до крайнего срока соблюдения основных обязательств закона еще осталось три года — 11 декабря 2027 года — чтобы у производителей устройств было время выполнить требования.
Законопроект был предложен чуть более двух лет назад с целью повысить безопасность таких устройств, как умные часы, подключенные к Интернету игрушки и бытовая техника, которой можно управлять с помощью приложения.
Распространение подключенных устройств привело к беспокойству по поводу растущих рисков взлома, а полурегулярные заголовки о взломанных радионянях и детских игрушках усиливают опасения, что прибыль ставится выше безопасности потребителей.
Общеевропейский закон предъявляет обязательные требования кибербезопасности к продуктам с цифровыми элементами. Требования применяются на протяжении всего жизненного цикла рассматриваемой продукции: от проектирования, разработки и эксплуатации. Дистрибьюторы и розничные продавцы также должны гарантировать, что товары, которые они поставляют или хранят, соответствуют правилам ЕС.
CRA применяется к подключенным устройствам в широком смысле — то есть к продуктам, которые прямо или косвенно подключаются к другому устройству или сети — за исключением продуктов, на которые распространяются другие существующие правила ЕС, таких как медицинские устройства, автомобили и некоторое программное обеспечение с открытым исходным кодом. .
На устройствах может отображаться знак CE ЕС, подтверждающий, что они соблюдают CRA. Тогда региональным потребителям придется меньше работать, чтобы гарантировать, что они покупают более безопасный продукт, если они обращают внимание на маркировку CE.
Блок заявил, что хочет, чтобы закон «перебалансировал ответственность» за кибербезопасность в пользу производителей, которые должны гарантировать, что продукты с цифровыми элементами соответствуют правовым стандартам, если они хотят получить доступ к рынку ЕС.
Штрафы за несоблюдение стандартов CRA будут возлагаться на надзорные органы на уровне государств-членов, которые будут отвечать за проверку соответствия. Но закон гласит, что нарушение «основных требований кибербезопасности» может привести к штрафам в размере до 2,5% мирового годового оборота (или до 15 миллионов евро, если больше). Нарушение других требований влечет за собой штраф в размере 2% (до 10 миллионов евро). Неспособность должным образом ответить на запросы регулирующих органов рискует 1% (или 5 миллионов евро).
