Kapcsolatfelvétel

Cikk

Kiberbiztonságról szóló törvény (CRA): Új keretrendszer a digitális eszközök biztonságáért

Fedezze fel a kiberbiztonságról szóló törvényt (CRA), az EU keretrendszerét a digitális termékek kiberbiztonságának fokozására. Ismerje meg a legfontosabb követelményeket és megfelelőségi lépéseket.

Mivel a digitális technológiák egyre nagyobb teret nyernek az iparágakban, az Európai Unió (EU) jelentős lépéseket tesz a joghatósága alá tartozó termékek és szolgáltatások kiberbiztonságának fokozása érdekében. Az EU által 2024. október 23-án elfogadott rendelet, a kiberbiztonságról szóló törvény (Cyber Resilience Act, CRA) egy mérföldkőnek számító keretszabályozás, amelynek célja annak biztosítása, hogy az EU-ban értékesített digitális elemek, köztük a hardverek és szoftverek megfeleljenek a szigorú biztonsági előírásoknak.

Ez a rendelet messzemenő következményekkel jár a gyártókra, fejlesztőkre és vállalkozásokra világszerte, és hangsúlyozza az EU elkötelezettségét a biztonságosabb és ellenállóbb digitális gazdaság kiépítése mellett.

Mi az a Kiberbiztonságról szóló törvény?

A Kiberbiztonságról szóló törvény egységes kiberbiztonsági követelményrendszert állapít meg az EU piacán forgalomba hozott, digitális elemeket tartalmazó valamennyi termékre vonatkozóan. Ez magában foglalja a szoftvereket, a csatlakoztatott eszközöket és a hardvereket, függetlenül attól, hogy azokat az EU-ban vagy azon kívül gyártják.

A törvény a más eszközzel vagy hálózattal közvetlenül vagy közvetve összekapcsolt termékek gyártóira, importőreire és forgalmazóira vonatkozik. Tehát a B2B és a B2C kereskedelemre is kiterjed. A szoftverekre éppúgy vonatkozik, mint a hardverekre, termékekre és a csatlakoztatott alkatrészekre.

A Kiberbiztonságról szóló törvény legfontosabb követelményei

A törvény konkrét kötelezettségeket ír elő a digitális termékek gyártói, importőrei és forgalmazói számára. Ezek a következők:

Biztonságos terméktervezés: A termékeknek a tervezési és alapértelmezett biztonsági elveket kell követniük, és a fejlesztés legkorábbi szakaszában be kell építeniük a kiberbiztonsági intézkedéseket.
Sebezhetőség kezelése: A gyártóknak a termék teljes életciklusa során figyelemmel kell kísérniük, azonosítaniuk és javítaniuk kell a sebezhetőségeket. Ez magában foglalja a rendszeres biztonsági frissítések kiadását és a felhasználóknak szóló egyértelmű utasításokat a termékek biztonságának fenntartására vonatkozóan.
Átláthatósági kötelezettségek, transzparencia: A vállalatoknak tájékoztatniuk kell a felhasználókat a termékeikhez kapcsolódó kiberbiztonsági kockázatokról, és megfelelő dokumentációt kell biztosítaniuk a biztonságos használat elősegítése érdekében.
Piacfelügyelet: Az uniós hatóságok megfelelőségi ellenőrzéseket fognak végezni annak biztosítása érdekében, hogy a termékek megfeleljenek a hitelminősítő intézetek követelményeinek, mielőtt forgalomba kerülnének.
A megfelelés elmulasztásának szankciói: A megfelelés elmulasztását elkövető vállalkozások akár 15 millió eurós vagy éves globális forgalmuk 2,5%-át kitevő bírságra is számíthatnak, attól függően, hogy melyik a magasabb összeg.

Kiket érint a szabályozás?

A Kiberbiztonságról szóló törvény széles körben vonatkozik minden olyan szervezetre, amely digitális termékek tervezésében, gyártásában, importálásában vagy forgalmazásában vesz részt az EU-n belül. Az érintett főbb ágazatok a következők:

Technológiai szolgáltatók: Szoftverek és csatlakoztatott eszközök fejlesztői.
Gyártók: Az eszközök internetes hálózatára (IoT - Internet of Things) épülő eszközöket, ipari gépeket és egyéb digitális komponenseket tartalmazó hardvereket gyártó vállalatok.
Kiskereskedők és forgalmazók: Az EU piacán digitális termékeket értékesítő cégek.

Emellett az EU-n kívüli vállalkozásoknak is meg kell felelniük a követelményeknek, ha termékeiket a régióban kívánják értékesíteni.

A Kiberbiztonságról szóló törvényi megfelelésre való felkészülés lépései

A Kiberbiztonságról szóló törvénnyel való összhang biztosítása érdekében fontolja meg a következő lépéseket:

Végezze el a megfelelési hiányosságok elemzését: Értékelje a meglévő kiberbiztonsági gyakorlatokat, és azonosítsa a CRA-követelményekhez viszonyított hiányosságokat.
Vezessen be biztonságos fejlesztési gyakorlatokat: A termékfejlesztési életciklusokba építse be a tervezéskori biztonság elveit.
Készítsen sebezhetőség- és kockázatkezelési programokat: Folyamatok kidolgozása a sebezhetőségek figyelemmel kísérésére, azonosítására és mérséklésére a termék teljes életciklusa során, kockázatkezelési megközelítéssel kiegészítve.
Együttműködés az ellátási lánc szereplői között: Szoros együttműködés a beszállítókkal annak biztosítása érdekében, hogy a harmadik féltől származó alkatrészek megfeleljenek a Kiberbiztonságról szóló törvény szabványainak.
Jogi és kiberbiztonsági szakértők bevonása: Kérjen szakmai útmutatást a CRA-megfelelőség összetettségében való eligazodáshoz és a költséges büntetések elkerüléséhez.

Következtetés

A Kiberbiztonságról szóló törvény jelentős lépést jelent a biztonságosabb digitális ökoszisztéma megteremtése felé. A digitális termékekre vonatkozó szigorú biztonsági intézkedések előírásával a hitelminősítő intézet nemcsak a fogyasztókat védi, hanem az uniós piacon működő vállalkozásokra vonatkozó szabványokat is emeli.

Bár a megfelelés kezdetben kihívást jelenthet, a proaktív szervezetek kihasználhatják a Kiberbiztonságról szóló törvényt a biztonsági helyzetük javítása, a bizalom kiépítése és a versenyelőny megszerzése érdekében az egyre inkább összekapcsolt világban.

Itt az ideje, hogy a vállalkozások cselekedjenek. Azok lesznek a holnap megbízható vezetői, akik ma prioritásként kezelik a kiberbiztonságot.

Ez a cikk csupán tájékoztatási célt szolgál. A Marsh nem vállal felelősséget vagy garanciát a pontosságáért. A Marsh nem köteles a cikket frissíteni, és nem vállal felelősséget semmilyen féllel szemben a jelen dokumentumból vagy az abban foglalt bármely kérdésből eredően. A biztosításmatematikai, adózási, számviteli, munkaügyi vagy jogi kérdésekkel kapcsolatos kijelentések kizárólag biztosítási alkuszként és kockázati tanácsadóként szerzett tapasztalatainkon alapulnak, és nem tekinthetők biztosításmatematikai, adózási, számviteli, munkaügyi vagy jogi tanácsadásnak, amelyekkel kapcsolatban az ügyfeleknek saját szakmai tanácsadóikkal kell konzultálniuk. Bármely elemzés és információ eredendő bizonytalansággal jár, és a cikket jelentősen befolyásolhatja, ha az alapul szolgáló feltételezések, feltételek, információk vagy tényezők pontatlanok vagy hiányosak, illetve, ha azok megváltoznak. Bár a Marsh tanácsokat és ajánlásokat adhat, a meghozandó intézkedésekkel kapcsolatos valamennyi döntés végső soron az ügyfél felelőssége.