Az Európai Bizottság 2022. szeptember 15-én hozta nyilvánosságra a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről és a 2019/1020/EU rendelet módosításáról szóló rendelettervezetet („Cyber Resilience Act”, „CRA”). A CRA, amelynek tervezete elérhető itt, általános, kötelező kiberbiztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, a termékek teljes életciklusa során – ágazattól függetlenül.
A CRA-tervezet fő célja a Bizottság által jelenleg évi 5,5 billió euróra becsült globális költséggel járó kiberbűnözés növekvő fenyegetettségének csökkentése.
Tekintettel arra, hogy az egyes tagállamokban piacra kerülő termékek a többi tagállamban közel egyidőben elérhetőek és használatba vehetők, a kiberbűnözés jellemzően gyors és komoly határokon átnyúló hatással jár európai egységes piacon.
Digitális elemeket tartalmazó termékek
A CRA-tervezet széles alkalmazási köre minden digitális elemeket tartalmazó termékre kiterjed, így „minden szoftver- vagy hardvertermékre és annak távoli adatfeldolgozási megoldásaira, beleértve az önállóan is forgalomba hozható szoftver- vagy hardverkomponenseket, amelyek tervezett vagy észszerűen előrelátható használata közvetlen vagy közvetett logikai vagy fizikai adatkapcsolatban áll egy eszközzel vagy hálózattal”. Ez magában foglalja mind a hardverfelületeken keresztül fizikailag összekapcsolható termékeket, mind a logikailag, például hálózati aljzatokon, csöveken, fájlokon, alkalmazásprogramozási interfészeken és bármilyen más típusú szoftveren keresztül összekapcsolt termékeket. Az IoT-eszközök, okosotthonba integrálható okosfelszerelések (pl. okoshűtők, okostelevíziók) mind a CRA-tervezet digitális elemeket tartalmazó termék definíciója alá esnek.
A CRA-tervezet a hatálya alá tartozó termékeket az adott termék kiberbiztonsági kockázatának előrelátható szintje alapján két kategóriába sorolja, melyek i) a digitális elemeket tartalmazó termékek, és ii) a digitális elemeket tartalmazó kritikus termékek. A kritikusnak ítélt termékekre szigorúbb követelmények vonatkoznak. Ezek a digitális elemeket tartalmazó kritikus termékek a CRA-tervezet III. mellékletében felsorolással kerülnek meghatározásra, ide tartoznak például jelszókezelő rendszerek, vírusirtó szoftverek, VPN-ek, távoli hozzáférési/megosztó szoftverek, mobileszköz-kezelő szoftverek, operációs rendszerek, tűzfalak, mikroprocesszorok, útválasztók, kriptoprocesszorok, intelligens kártyák és intelligens mérőeszközök.
Az ágazati jogszabályok hatálya alá tartozó termékek és szolgáltatások ugyanakkor nem tartoznak a CRA-tervezet hatálya alá. Így nem vonatkozik a CRA a felhőszolgáltatásként elérhető Software-as-a-Service (SaaS) megoldásokra, az orvostechnikai eszközökről szóló 2017/745(EU) rendelet hatálya alá tartozó orvostechnikai eszközökre, az in vitro diagnosztikai orvostechnikai eszközökről szóló 2017/746(EU) rendelet hatálya alá tartozó in vitro diagnosztikai orvostechnikai eszközökre, a gépjárművekre, a kizárólag nemzetbiztonsági vagy katonai célokra használt termékekre, valamint a kifejezetten minősített információk feldolgozására tervezett termékekre.
A CRA-tervezet nem határozza meg kifejezetten az alkalmazhatóság területi hatályát, és a preambulumbekezdések sem tartalmaznak erre vonatkozó információkat. Mindazonáltal a CRA-tervezet jelenlegi szövegéből úgy tűnik, a jogalkotó az extraterritoriális alkalmazhatóság elvét követi.
A gyártók kötelezettségei
A digitális elemeket tartalmazó termékeket az EU piacán forgalomba hozó gyártóknak biztosítaniuk kell az alapvető biztonsági követelményeknek való megfelelést, el kell végezniük a digitális elemeket tartalmazó termékkel kapcsolatos kiberbiztonsági kockázatok értékelését, és az értékelés eredményét figyelembe kell venniük a termék tervezési, kialakítási, fejlesztési, gyártási, szállítási és karbantartási fázisaiban (azaz „tervezésbe épített biztonság”, „security by design”). Az alapvető biztonsági követelményeket a CRA-tervezet 1. sz. melléklete sorolja fel, ezek közé tartoznak:
- alapértelmezés szerinti biztonságos konfiguráció, beleértve a termék eredeti állapotba való visszaállításának lehetőségét;
- támadási felületek korlátozása, beleértve a külső interfészeket is;
- annak biztosítása, hogy a sebezhetőségeket biztonsági frissítésekkel késedelem nélkül orvosolni lehessen.
A gyártók kötelesek továbbá bevezetni az alábbi folyamatokat:
- a termék sebezhető pontjainak és komponenseinek azonosítása és dokumentálása;
- a sebezhetőségek késedelem nélküli kezelése és orvoslása, beleértve a biztonsági frissítések biztosítását is;
- a termék biztonságának hatékony és rendszeres tesztelése és felülvizsgálata;
- a javított sebezhetőségekre vonatkozó információk nyilvánosságra hozatala, beleértve a sebezhetőségek leírását, a sebezhetőségek hatásait és súlyosságát.
A gyártók a termék kiberbiztonságára vonatkozó alapvető utasításokat is világosan, érthetően, közérthetően és olvashatóan, elektronikus vagy fizikai formában és a felhasználók által könnyen érthető nyelven kötelesek megadni. Az utasításoknak tartalmazniuk kell:
- a gyártó alapvető azonosító és elérhetőségi adatait;
- a termék tervezett felhasználásának leírását, beleértve a gyártó által biztosított biztonsági környezetet;
- minden olyan ismert vagy előrelátható körülményt, amely jelentős kiberbiztonsági kockázatot eredményezhet;
- a gyártó által nyújtott műszaki biztonsági támogatás típusát, és a támogatás nyújtásának időtartamát;
- a biztonsági szempontból fontos frissítések telepítésének módjáról és a termék biztonságos leszereléséről szóló tájékoztatást, beleértve a felhasználói adatok biztonságos eltávolításának módjára vonatkozó információkat.
A gyártóknak a tudomásszerzéstől számított 24 órán belül értesíteniük kell az Európai Uniós Kiberbiztonsági Ügynökséget („European Union Agency for Cybersecurity”, „ENISA”) a digitális elemeket tartalmazó termék minden aktívan kihasználható sebezhetőségéről és a termék biztonságát befolyásoló incidensről.
Az ellátási lánc egyéb szereplőinek kötelezettségei
A gyártón kívüli egyéb gazdasági szereplők kötelezettségei az ellátási láncban betöltött szerepükhöz igazodnak. Amennyiben az importőrök vagy forgalmazók a saját nevük vagy védjegyük alatt hoznak forgalomba digitális elemeket tartalmazó terméket, vagy az uniós piacon már forgalomba hozott digitális elemeket tartalmazó terméken jelentős módosítást hajtanak végre, a gyártóra vonatkozó kötelezettségek vonatkoznak rájuk. Jelentős módosítás a termék olyan megváltoztatása, amely befolyásolja a termék CRA-tervezet I. melléklet 1. szakaszában meghatározott alapvető biztonsági követelményeknek való megfelelést, vagy a termékre vonatkozó kockázatértékelés alapját képező rendeltetés és funkció megváltoztatását eredményezi.
Felügyelet és szankciók
A tagállamok kötelesek egy vagy több illetékes piacfelügyeleti hatóságot kijelölni a CRA rendelet végrehajtásának felügyeletére. A CRA-tervezet feljogosítja a kijelölt piacfelügyeleti hatóságokat a Bizottság koordinációjával lefolytatott egyidejű, az egyes digitális elemeket tartalmazó termékek vagy termékkategóriák összehangolt ellenőrzésének („sweeps”, azaz átvizsgálások) lefolytatására.
A CRA-tervezet a kiszabható bírságok háromszintű rendszerét vezeti be:
- legfeljebb 15 millió EUR, illetve vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának2,5%-a, attól függően, hogy melyik a magasabb: az alapvető biztonsági követelmények megsértése esetén;
- legfeljebb 10 millió EUR, illetve vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának 2 %-a , attól függően, hogy melyik a magasabb: bármely egyéb, CRA-ban foglalt kötelezettség megsértése esetén;
- legfeljebb 5 millió EUR, illetve vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának 1 %-a, attól függően, hogy melyik a magasabb: a felügyeleti hatóság számára helytelen, hiányos vagy félrevezető információ szolgáltatása estén.
Hatálybalépés
A CRA-tervezet jelenleg rendes jogalkotási eljárásban az Európai Parlament és a Tanács elfogadására vár, amely a módosítási javaslatok függvényében akár egy évig is tarthat. A CRA-tervezet elfogadása esetén a hatályba lépést követő 24 hónap elteltével válik alkalmazandóvá, kivéve a gyártóknak az aktívan kihasználható sebezhetőségekre és incidensekre vonatkozó jelentéstételi kötelezettségét, amelyet a hatálybalépéstől számított 1 év elteltével kell majd alkalmazni.
