Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Horyzontalne wymagania w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi (akt o cyberodporności)

STRESZCZENIE DOKUMENTU:

Rozporządzenie (UE) 2024/2847 w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi

JAKIE SĄ CELE ROZPORZĄDZENIA?

Rozporządzenie (UE) 2024/2847, czyli akt o cyberodporności, ma na celu wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej (UE). Określa kompleksowe ramy zapewniające, że produkty i usługi cyfrowe są:

  • bezpieczne w konfiguracji domyślnej;
  • odporne na cyberzagrożenia; a także
  • zdolne do zapewniania ochrony przez cały okres eksploatacji.

Dotyczy rosnących wyzwań związanych z cyberbezpieczeństwem, wynikających z coraz powszechniejszej łączności urządzeń i wzrostu liczby cyberataków, które mają znaczący wpływ na gospodarkę i społeczeństwo.

KLUCZOWE ZAGADNIENIA

Akt o cyberodporności ma szereg kluczowych celów.

  • Wzmocnienie cyberbezpieczeństwa w całej UE poprzez ustanowienie obowiązkowych wymogów w zakresie cyberbezpieczeństwa dla produktów z elementami cyfrowymi.
  • Promowanie bezpiecznych praktyk poprzez zachęcanie producentów do włączenia cyberbezpieczeństwa do fazy projektowania i rozwoju produktu.
  • Zapewnienie przejrzystości i odpowiedzialności poprzez wymaganie od producentów dostarczania jasnych informacji na temat funkcji cyberbezpieczeństwa ich produktów oraz wzięcia odpowiedzialności za eliminowanie luk w zabezpieczeniach.
  • Wspieranie jednolitego rynku cyberbezpieczeństwa poprzez harmonizację przepisów we wszystkich państwach członkowskich UE w celu zmniejszenia fragmentacji i zapewnienia równych warunków działania.

Zakres

Rozporządzenie ma zastosowanie do szerokiej gamy produktów z elementami cyfrowymi wprowadzanych na rynek UE, niezależnie od siedziby producenta, które mogą łączyć się bezpośrednio lub pośrednio z innymi urządzeniami lub sieciami, w tym:

  • produktów sprzętowych (np. urządzeń Internetu rzeczy (IoT), urządzeń inteligentnego domu, przemysłowych systemów sterowania, mikroukładów);
  • oprogramowania (np. gier wideo, aplikacji, programów komputerowych).

Wyłączone są niektóre produkty, takie jak:

  • wyroby medyczne objęte szczegółowymi przepisami UE;
  • produkty lotnicze i motoryzacyjne objęte przepisami sektorowymi;
  • urządzenia morskie.

Kluczowe wymagania dla producentów

Bezpieczeństwo na etapie projektowania

Producenci muszą uwzględnić cyberbezpieczeństwo w procesach projektowania i rozwoju produktów. Obejmuje to między innymi bezpieczne konfiguracje domyślne, odpowiednie poziomy szyfrowania i mechanizmy kontroli dostępu.

Ocena i niwelowanie ryzyka

  • Producenci są zobowiązani do przeprowadzenia oceny ryzyka i aktualizowania jej, a także do wdrożenia środków mających na celu wyeliminowanie zidentyfikowanych luk w cyklu życia produktu.
  • Jeśli producenci polegają na komponentach lub usługach stron trzecich, muszą zachować należytą staranność podczas integrowania ich ze swoimi produktami.

Przejrzystość i dokumentacja

Producenci muszą dostarczyć jasną i kompleksową dokumentację swoich produktów, obejmującą:

  • opis funkcji cyberbezpieczeństwa produktu;
  • instrukcje dotyczące bezpiecznej instalacji, konfiguracji i użytkowania;
  • informacje o sposobie zgłaszania luk w zabezpieczeniach;
  • deklarację zgodności potwierdzającą zgodność z przepisami.

Zgłaszanie incydentów

Producenci muszą:

  • bez zbędnej zwłoki zgłaszać poważne incydenty dotyczące cyberbezpieczeństwa i aktywnie wykorzystywane luki w zabezpieczeniach odpowiednim organom krajowym i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)
  • informować użytkowników o potencjalnych zagrożeniach i zapewniać wytyczne dotyczące ich ograniczania.

Aktualizacje oprogramowania i wsparcie

  • Producenci muszą dostarczać aktualizacje zabezpieczeń w okresie wsparcia produktu, który musi odzwierciedlać oczekiwany okres użytkowania produktu.
  • Aktualizacje muszą usuwać luki w zabezpieczeniach i zapewniać ciągłe bezpieczeństwo produktu.

Obowiązki importerów i dystrybutorów

Rozporządzenie nakłada również obowiązki na importerów i dystrybutorów, którzy muszą zapewnić zgodność produktów z wymogami cyberbezpieczeństwa.

  • Importerzy muszą zweryfikować, czy producenci przestrzegają przepisów i zapewnić, że produkty są prawidłowo oznakowane i udokumentowane.
  • Dystrybutorzy muszą upewnić się, że produkty posiadają oznakowanie CE oraz że informacje i instrukcje dla użytkownika zostały dostarczone przed udostępnieniem ich na rynku.
  • Produkty będą posiadały oznaczenie CE wskazujące, że spełniają one wymagania aktu o cyberodporności.
  • Producenci spoza UE muszą przestrzegać rozporządzenia, aby uzyskać dostęp do rynku UE, potencjalnie wpływając na globalne standardy cyberbezpieczeństwa.

Stosowanie

Aby zapewnić zgodność, rozporządzenie ustanawia solidne ramy egzekwowania przepisów.

  • Krajowe organy nadzoru rynku będą monitorować zgodność i przeprowadzać kontrole.
  • Brak zgodności może skutkować poważnymi karami, które mogą obejmować:
    • grzywny sięgające 2,5 % globalnego rocznego obrotu producenta;
    • zakaz lub ograniczenie dostępności produktu;
    • nakaz wycofania produktu z rynku lub jego naprawy..
  • Organy państw członkowskich będą dzielić się informacjami i koordynować działania w zakresie egzekwowania przepisów.

OD KIEDY ROZPORZĄDZENIE MA ZASTOSOWANIE?

Rozporządzenie obowiązuje od , z pewnymi wyjątkami:

  • obowiązki sprawozdawcze dotyczące aktywnie wykorzystywanych luk w zabezpieczeniach i poważnych incydentów mają zastosowanie od ;
  • powiadomienia jednostek oceniających zgodność stosuje się od dnia .

KONTEKST

Więcej informacji:

GŁÓWNY DOKUMENT

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności) (Dz.U. L, 2024/2847, ).

Kolejne zmiany dyrektywy (UE) 2024/2847 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

ostatnia aktualizacja

Top