Cyber Resilience Act – Ποιους αφορά και ποιες οι προκλήσεις συμμόρφωσης;

Many interconnected devices

Στις 10/11/2024 τέθηκε σε ισχύ ο Κανονισμός (ΕΕ) 2024/2847 (Cyber Resilience Act – CRA). Στο πλαίσιο αυτό είναι χρήσιμο να εξετάσουμε κάποιες χρήσιμες ερωτοαπαντήσεις:

1. Τι ρυθμίζει ο CRA;

Ο Κανονισμός (ΕΕ) 2024/2847 (Cyber Resilience Act – CRA) ισχύει για όλα τα Προϊόντα με Ψηφιακά Στοιχεία (Products with Digital Elements – PDEs) που διατίθενται στην αγορά της ΕΕ. Τα PDEs περιλαμβάνουν:

  • Συσκευές που ενσωματώνουν λογισμικό ή υλικό με δυνατότητα σύνδεσης με άλλα συστήματα ή δίκτυα (π.χ. IoT).
  • Υπολογιστικά εξαρτήματα, λειτουργικά συστήματα, εφαρμογές, και λύσεις απομακρυσμένης επεξεργασίας δεδομένων.

Ενδεικτικά παραδείγματα PDEs:

 

  • Συσκευές:
    – φορητοί υπολογιστές,
    – smartphones,
    – αισθητήρες και κάμερες,
    – έξυπνα ρομπότ,
    – έξυπνες κάρτες,
    – έξυπνοι μετρητές,
    – κινητές συσκευές,
    – έξυπνα ηχεία,
    – δρομολογητές,
    – διακόπτες,
    – βιομηχανικά συστήματα ελέγχου.
  • Λογισμικό:
    – υλικολογισμικό,
    – λειτουργικά συστήματα,
    – εφαρμογές για κινητά τηλέφωνα,
    – επιτραπέζιες εφαρμογές,
    – βιντεοπαιχνίδια.
  • Εξαρτήματα (τόσο υλικού όσο και λογισμικού):
    – μονάδες επεξεργασίας υπολογιστή,
    – κάρτες γραφικών,
    – βιβλιοθήκες λογισμικού.

2. Ποιους αφορά;

Ο CRA εφαρμόζεται σε όλες τις οντότητες που συμμετέχουν στην εφοδιαστική αλυσίδα PDEs:

  • Κατασκευαστές:
    • Υπεύθυνοι για τον σχεδιασμό, ανάπτυξη, και συμμόρφωση των PDEs με τις απαιτήσεις κυβερνοασφάλειας.
    • Έχουν υποχρέωση να διαχειρίζονται ευπάθειες και να παρέχουν ενημερώσεις ασφαλείας.
  • Εισαγωγείς:
    • Υποχρεούνται να διασφαλίζουν ότι τα PDEs συμμορφώνονται με τον CRA πριν εισέλθουν στην αγορά της ΕΕ.
    • Πρέπει να φέρουν το σήμα «CE» και να παρέχουν οδηγίες χρήσης.
  • Διανομείς:
    • Ελέγχουν τη συμμόρφωση των προϊόντων και ενημερώνουν τον κατασκευαστή για τυχόν ευπάθειες.

Αν οι εισαγωγείς ή οι διανομείς φέρουν το δικό τους branding σε προϊόντα τρίτων, θεωρούνται κατασκευαστές για σκοπούς συμμόρφωσης με τον CRA.

3. Πως κατηγοριοποιούνται τα PDEs;

Ο CRA διαχωρίζει τα PDEs σε κατηγορίες βάσει κινδύνου:

  • Προϊόντα με ψηφιακά στοιχεία:
    • Χαμηλού κινδύνου.
    • Η πλειονότητα των PDEs εντασσεται σε αυτή την κατηγορία,
    • Π.χ. έξυπνες οικιακές συσκευές, συνδεδεμένα παιχνίδια.
  • Σημαντικά προϊόντα με ψηφιακά στοιχεία (1η κλάση):
    • Μεσαίου κινδύνου.
    • Π.χ. λειτουργικά συστήματα, VPNs, διαχειριστές κωδικών.
  • Σημαντικά προϊόντα με ψηφιακά στοιχεία (2η κλάση):
    • Υψηλού κινδύνου.
    • Λ.χ. Firewalls, ανθεκτικοί σε παραβιάσεις μικροεπεξεργαστές.
  • Κρίσιμα προϊόντα:
    • Πολύ υψηλού κινδύνου.
    • Π.χ. smart meters, συσκευές ασφαλείας με κρυπτογραφικές λειτουργίες, έξυπνα κουτιά ταχυδρομείων.

4. Ποιες είναι οι υποχρεώσεις των εμπλεκόμενων οντοτήτων;

  • Κατασκευαστές:
    • Ασφάλεια από τον σχεδιασμό: Ανάπτυξη PDEs τα οποία πληρούν τις Ουσιώδης Απαιτήσεις Κυβερνοασφάλειας (Παράρτημα I) και να παρέχει βασικές πληροφορίες και οδηγίες προς τους χρήστες (Παράρτημα ΙΙ). Οι Ουσιώδης Απαιτήσεις Κυβερνοασφάλειας περιλαμβάνουν:
      • Αξιολόγηση Κινδύνων: Διασφάλιση ότι τα PDEs σχεδιάζονται, αναπτύσσονται και παράγονται με το κατάλληλο επίπεδο προστασίας. Το επίπεδο αυτό διασφαλίζεται με:
        • μέτρα κυβερνοασφάλειας
        • ασφαλείς προεπιλεγμένες διαμορφώσεις,
        • έλεγχο πρόσβασης,
        • πολιτικές ελαχιστοποίησης δεδομένων,
        • χαρακτηριστικά διαθεσιμότητας και ανθεκτικότητας
      • Διαχείριση Ευπαθειών:
        • Συνεχής παρακολούθηση,
        • έλεγχοι ασφαλείας,
        • Καταγραφή ευπαθειών και αναφορά τους στις εθνικές Ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT) και στον Οργανισμός της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο (ENISA).
    • Σήμανση CE: Τα PDEs πρέπει να φέρουν το σήμα συμμόρφωσης CE.
  • Εισαγωγείς & Διανομείς:
    • Διασφάλιση ότι τα PDEs είναι συμβατά με τον CRE και να προμηθεύονται έγγραφα τα οποία το αποδεικνύουν,
    • Σήμανση CE: Τα PDEs πρέπει να φέρουν το σήμα συμμόρφωσης CE και ότι συνοδεύονται από τις απαραίτηες πληροφορίες και οδηγίες χρήσης
    • Σε περίπτωση εντοπισμού ευπαθειών, άμεση ενημέρωση του Κατασκευαστή.
  • Ενημερώσεις Ασφαλείας:
    • Παροχή αυτόματων ενημερώσεων ασφαλείας και δυνατότητα απενεργοποίησης από τον χρήστη.

5. Υπάρχουν εξαιρέσεις;

  • Μικροεπιχειρήσεις και ΜΜΕ: Δικαιούνται ειδική μεταχείριση σε ορισμένες απαιτήσεις συμμόρφωσης.
  • Ελεύθερο και Ανοιχτό Λογισμικό (FOSS): Δεν ισχύουν οι υποχρεώσεις αν το λογισμικό δεν διατίθεται για εμπορική χρήση.
  • Προϊόντα Εθνικής Ασφάλειας: Εξαιρούνται προϊόντα που προορίζονται αποκλειστικά για εθνική ασφάλεια ή άμυνα.

6. Ποιοι εποπτεύουν την εφαρμογή του CRE;

  • Τα κράτη μέλη θα πρέπει να ορίσουν εποπτική αρχή υπεύθυνη για την εφαρμογή του CRA. Στις εξουσίες της θα συμπεριλαμβάνεται:
    • Η επιβολή προστίμων
    • Η  απαγόρευση/ ανάκληση του προϊόντος από την αγορά
  • ENISA: Θα εποπτεύει γνωστοποιήσεις σοβαρών περιστατικών
  • CSIRTs: Θα λαμβάνουν γνωστοποιήσεις σε εθνικό επίπεδο

7. Τι πρόστιμα προβλέπονται;

  • Μη Συμμόρφωση με Απαιτήσεις Κυβερνοασφάλειας:
    • Έως 15 εκατ. ευρώ ή 2,5% του ετήσιου κύκλου εργασιών.
  • Μη Συμμόρφωση με Λοιπές Υποχρεώσεις:
    • Έως 10 εκατ. ευρώ ή 2% του ετήσιου κύκλου εργασιών.
  • Παραπλανητικές Πληροφορίες:
    • Έως 5 εκατ. ευρώ ή 1% του ετήσιου κύκλου εργασιών.

7. Πότε εφαρμόζονται όλα τα ανωτέρω;

10 Δεκεμβρίου 2024: Τυπική ισχύς του CRA,

11 Ιουνίου 2026: Έναρξη εφαρμογής για φορείς αξιολόγησης συμμόρφωσης,

11 Σεπτεμβρίου 2026: Υποχρέωση αναφοράς ευπαθειών από κατασκευαστές,

11 Δεκεμβρίου 2027: Πλήρης εφαρμογή όλων των υποχρεώσεων του CRA.

8. Αλληλεπιδρά το CRA με άλλα ρυθμιστικά κείμενα της Ε.Ε/της Ελλάδας;

  • NIS 2 – Ν.5160/2024: Οι PDE μπορούν να θεωρηθούν κρίσιμες εάν χρησιμοποιούνται ή βασίζονται σε αυτές από βασικές οντότητες, όπως ορίζονται στην NIS2 και το Ν.5160/2024 (άρθρο 6 παράγραφος 5 στοιχείο α’ της CRA).
  • AI Act: Τα προϊόντα που θεωρούνται συστήματα ΤΝ υψηλού κινδύνου και πληρούν τις απαιτήσεις του Μέρους Ι του Παραρτήματος Ι του CRA θεωρείται ότι πληρούν και τις απαιτήσεις του νόμου ΤΝ (άρθρο 8 παράγραφος 1 του CRA).

8. Τι πρέπει να κάνει μια οντότητα που υπάγεται στο πεδίο εφαρμογής του CRA;

  • Κατασκευή και Ανάπτυξη:
    • Ενσωμάτωση μέτρων ασφαλείας από τον σχεδιασμό του προϊόντος (security by design).
  • Εκπαίδευση Προσωπικού:
    • Εκπαίδευση για τη διαχείριση ευπαθειών και τη συμμόρφωση με τον CRA.
  • Συνεργασία με Αρχές:
    • Διασφάλιση ότι υπάρχει επικοινωνία με τοπικές αρχές CSIRT και ENISA για αναφορές περιστατικών.
  • Επικαιροποίηση Πολιτικών:
    • Αναθεώρηση των πολιτικών ασφαλείας και συμμόρφωσης.

Το δικηγορικό γραφείο, “Στέργιος Κωνσταντίνου & Συνεργάτες – SGK Legal”, βρίσκεται στην αιχμή των εξελίξεων στον τομέα της κυβερνοασφάλειας και της συμμόρφωσης με το ενωσιακό ρυθμιστικό πλαίσιο.

Λαμβάνοντας υπόψη τη σημασία του Κανονισμού (ΕΕ) 2024/2847 (Cyber Resilience Act) και τις αλλαγές που επιφέρει σε κατασκευαστές, εισαγωγείς και διανομείς προϊόντων με PDEs, μπορούμε να υποστηρίξουμε τις επιχειρήσεις στην προετοιμασία τους για συμμόρφωση με τις νέες απαιτήσεις, προσφέροντας:

  • Εξειδικευμένες νομικές συμβουλές για τον σχεδιασμό και την εφαρμογή πολιτικών συμμόρφωσης.
  • Ολοκληρωμένη υποστήριξη σε διαδικασίες αξιολόγησης κινδύνων και διαχείρισης ευπαθειών.
  • Εκπαίδευση προσωπικού για την ορθή τήρηση των υποχρεώσεων που απορρέουν από τον CRA.
  • Εκπροσώπηση και διαμεσολάβηση με τις αρμόδιες εθνικές και ευρωπαϊκές αρχές σε θέματα συμμόρφωσης και ελέγχων.

Με τη συνεχή μας παρουσία στα θεσμικά όργανα και τις επαγγελματικές ενώσεις για την προστασία δεδομένων και την κυβερνοασφάλεια, παραμένουμε πρωτοπόροι στις νομικές προκλήσεις της ψηφιακής εποχής. Είμαστε εδώ για να διασφαλίσουμε ότι οι πελάτες μας προσαρμόζονται ομαλά στις νέες απαιτήσεις, προστατεύοντας τα συμφέροντά τους και ενισχύοντας την ψηφιακή τους ανθεκτικότητα.