Europska komisija pozdravila je politički konsenzus postignut u četvrtak navečer između Europskog parlamenta i Vijeća u vezi s ključnim Aktom o kiberotpornosti, koji je Komisija prvobitno predložila u rujnu 2022.

Ovaj zakon uvodi obvezne i razmjerne zahtjeve kibernetičke sigurnosti za sav hardver i softver, prilagođene razinama rizika povezanih sa svakim proizvodom. Otprilike manje od 10 posto proizvoda proći će procjene treće strane.

Uredba nalaže da svi proizvodi koji ulaze na tržište EU-a moraju ispunjavati standarde kibernetičke sigurnosti, što predstavlja ključni korak u tekućoj borbi protiv kibernetičkih prijetnji kriminalaca i drugih zlonamjernih aktera.

Nakon donošenja, proizvođači hardvera i softvera bit će obvezni provoditi mjere kibernetičke sigurnosti tijekom cijelog životnog ciklusa svojih proizvoda, od dizajna i razvoja do postavljanja na tržište. Proizvodi koji su u skladu sa zahtjevima uredbe nosit će oznaku CE, što označava njihovu usklađenost i podobnost za prodaju unutar Europske unije.

Nadalje, Akt o kiberotpornosti nameće zakonsku obvezu proizvođačima da isporuče pravovremena sigurnosna ažuriranja potrošačima nekoliko godina nakon kupnje, u skladu s očekivanim trajanjem uporabe proizvoda.

Ovaj zakonodavni okvir nastoji osnažiti korisnike poticanjem transparentnosti i odgovornosti među proizvođačima, potičući informiranije i sigurnije izbore.

Što se tiče sljedećih proceduralnih koraka, sporazum čeka službeno odobrenje Europskog parlamenta i Vijeća. Nakon što bude odobren, Akt o kiberotpornosti stupit će na snagu 20. dana nakon objave u Službenom listu.

Nakon stupanja na snagu, proizvođači, uvoznici i distributeri hardvera i softvera imat će 36 mjeseci za usklađivanje s novim zahtjevima, uz ograničeniji period odgode od 21 mjeseca koji se odnosi na obveze izvješćivanja za proizvođače u vezi s incidentima i ranjivostima.

Ukorijenjen u Strategiji EU-a za kibersigurnost iz 2020. i Strategiji EU-a za sigurnosnu uniju iz 2020., Akt o kiberotpornosti usklađen je s govorom o stanju Europske unije za 2021., tvoreći ključnu komponentu strategije za njegovanje Europe prilagođene digitalnom dobu. On nadopunjuje postojeće zakonodavstvo, posebice Direktivu NIS2, usvojenu 2022.

Usred rastućih kibernetičkih prijetnji, Akt o kiberotpornosti služi kao odgovor na utrostručenje napada na lanac nabave softvera u prošloj godini, česte mete – mala poduzeća i kritične institucije – te zabrinjavajući porast napada ucjenjivačkog softvera (ransomware), čiji se trošak procjenjuje na 20 milijardi eura godišnje. Samo u 2021. kibernetički kriminalci izveli su oko 10 milijuna distribuiranih napada uskraćivanjem usluge (DDoS), čineći web stranice i internetske usluge nedostupnima.