Готовится к принятию Закон о кибербезопасности цифровых продуктов (Cyber Resilience Act, CRA) — закон ЕС, направленный на повышение защиты цифровых продуктов от кибератак. Какие нововведения он содержит?
Закон потребует от производителей оборудования и программных продуктов обеспечивать:
- их устойчивость к кибератакам;
- прозрачность используемых систем безопасности;
- выпуск обновлений систем безопасности на протяжении всего жизненного цикла продукта.
Проект закона был вынесен на рассмотрение еще в 2022 году и потенциально может стать первым принятым актом из числа разрабатываемых в ЕС.
Основные требования нового закона
Одним из ключевых требований, включенных в CRA, является требование к производителям как программного обеспечения, так и продуктов Internet of Things – «интернета вещей» (например, биометрических считывателей, «умной» бытовой техники, камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту.
Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и физические устройства.
Применимые сроки
3 декабря Европарламент и Совет ЕС достигли консенсуса по «большинству технических аспектов закона». CRA вступит в силу на 20-й день после его публикации в официальном журнале ЕС.
У организаций, на которые распространяется действие CRA, будет 36 месяцев, чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям. Установлен также срок в 21 месяц, по истечении которого производители будут обязаны сообщать о киберинцидентах и обнаруженных уязвимостях.