Namen Uredbe (EU) 2024/2847, Akta o kibernetski odpornosti, je okrepiti kibernetsko varnost po vsej Evropski uniji (EU). Določa celovit okvir za zagotovitev, da so digitalni izdelki in storitve:

varni po zasnovi;
odporni proti kibernetskim grožnjam; in
sposobni zagotavljati neprekinjeno zaščito v celotnem življenjskem ciklu.

Obravnava naraščajoče izzive kibernetske varnosti, ki jih predstavljata vse večja povezljivost naprav in porast kibernetskih napadov, ki imajo pomembne gospodarske in družbene posledice.

KLJUČNE TOČKE

Akt o kibernetski odpornosti ima več temeljnih ciljev.

Izboljšanje kibernetske varnosti po vsej EU z določanjem obveznih zahtev glede kibernetske varnosti za izdelke z digitalnimi elementi.
Spodbujanje varnih praks s spodbujanjem proizvajalcev, da kibernetsko varnost vključijo v faze načrtovanja in razvoja izdelka.
Zagotavljanje preglednost in odgovornost tako, da od proizvajalcev zahteva, da zagotovijo jasne informacije o funkcijah kibernetske varnosti svojih izdelkov in prevzamejo odgovornost za odpravljanje ranljivosti.
Spodbujanje enotnega trga za kibernetsko varnost z uskladitvijo pravil v državah članicah EU za zmanjšanje razdrobljenosti in zagotavljanje enakih konkurenčnih pogojev.

Področje uporabe

Uredba velja za široko paleto izdelkov z digitalnimi elementi, ki so dani na trg EU, ne glede na sedež proizvajalca in se lahko neposredno ali posredno povežejo z drugimi napravami ali omrežji, vključno z:

izdelki strojne opreme (npr. naprave interneta stvari (IoT), pametni gospodinjski aparati, industrijski nadzorni sistemi, mikročipi);
izdelki programske opreme (npr. video igre, aplikacije, računalniški programi).

Nekateri izdelki so izključeni, kot so:

medicinski pripomočki, ki so že zajeti v posebnih predpisih EU;
letalski in avtomobilski proizvodi, ki jih ureja sektorska zakonodaja;
pomorska oprema.

Ključne zahteve za proizvajalce

Varni po zasnovi

Proizvajalci morajo kibernetsko varnost vključiti v načrtovanje in razvoj izdelkov. To med drugim vključuje privzete varne konfiguracije, ustrezne ravni šifriranja in mehanizme za nadzor dostopa.

Ocena in ublažitev tveganja

Proizvajalci morajo opraviti oceno tveganja in jo posodabljati ter izvajati ukrepe za obravnavo ugotovljenih ranljivosti v življenjskem ciklu izdelka.
Če se proizvajalci zanašajo na komponente ali storitve tretjih oseb, morajo izvajati potrebno skrbnost, ko jih integrirajo v svoje izdelke.

Transparentnost in dokumentacija

Proizvajalci morajo zagotoviti jasno in izčrpno dokumentacijo, vključno z:

opisom funkcij kibernetske varnosti izdelka;
navodili za varno namestitev, konfiguracijo in uporabo;
informacijami o tem, kako prijaviti ranljivosti;
izjavo o skladnosti za potrditev skladnosti z uredbo.

Poročanje o incidentih

Proizvajalci morajo:

brez nepotrebnega odlašanja poročati o hudih incidentih na področju kibernetske varnosti in dejavno izkoriščanih ranljivostih ustreznim nacionalnim organom in Agenciji Evropske unije za kibernetsko varnost (ENISA);
obveščati uporabnike o morebitnih tveganjih in zagotavljati smernice za njihovo zmanjšanje.

Posodobitve programske opreme in podpora

Proizvajalci morajo zagotavljati varnostne posodobitve v obdobju podpore za izdelek, ki mora odražati obdobje, v katerem se pričakuje, da bo izdelek v uporabi.
Posodobitve morajo odpraviti ranljivosti in zagotoviti nadaljnjo varnost izdelka.

Obveznosti uvoznikov in distributerjev

Uredba uvoznikom in distributerjem nalaga tudi odgovornost, da zagotovijo skladnost izdelkov z zahtevami kibernetske varnosti.

Uvozniki morajo preveriti, ali proizvajalci ravnajo v skladu z uredbo, in zagotoviti, da so izdelki pravilno označeni in dokumentirani.
Distributerji morajo zagotoviti, da imajo izdelki oznako CE in da so uporabniku priložene informacije in navodila, preden jih dajo na trg.
Izdelki bodo nosili oznako CE, ki označuje, da so skladni z zahtevami Akta o kibernetski odpornosti.
Proizvajalci zunaj EU morajo izpolnjevati predpise za dostop do trga EU, kar bi lahko vplivalo na globalne standarde kibernetske varnosti.

Uveljavljanje

Za zagotovitev skladnosti uredba vzpostavlja trden okvir izvrševanja.

Nacionalni organi za nadzor trga bodo spremljali skladnost in izvajali inšpekcijske preglede.
Neskladnost lahko povzroči znatne sankcije, ki lahko vključujejo:
- globe do 2,5 % globalnega letnega prometa proizvajalca;
- prepoved ali omejevanje razpoložljivosti izdelka;
- odreditev umika ali odpoklica izdelka.
Organi držav članic bodo izmenjevali informacije in usklajevali izvršilne ukrepe.

OD KDAJ SE TA UREDBA UPORABLJA?

Ta uredba se z nekaterimi izjemami uporablja od 11. decembra 2027:

obveznosti poročanja o aktivnem izkoriščanju ranljivosti in resnih incidentih veljajo od 11. septembra 2026;
priglasitev organov za ugotavljanje skladnosti se uporablja od 11. junija 2026.

OZADJE

Več informacij je na voljo na strani:

Akt o kibernetski odpornosti (Evropska komisija)
Akt o kibernetski odpornosti – informacijski list (Evropska komisija)
Program Digitalna Evropa (Evropska komisija).

GLAVNI DOKUMENT

Uredba (EU) 2024/2847 Evropskega parlamenta in Sveta z dne 23. oktobra 2024 o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi uredb (EU) št. 168/2013 in (EU) 2019/1020 ter Direktive (EU) 2020/1828 (Akt o kibernetski odpornosti) (UL L, 2024/2847, 20.11.2024).

Nadaljnje spremembe Direktive (EU) 2024/2847 so vključene v izvirno besedilo. Ta prečiščena različica ima samo dokumentarno vrednost.

POVEZANI DOKUMENTI

Uredba (EU) 2024/1689 Evropskega parlamenta in Sveta z dne 13. junija 2024 o določitvi harmoniziranih pravil o umetni inteligenci in spremembi uredb (ES) št. 300/2008, (EU) št. 167/2013, (EU) št. 168/2013, (EU) 2018/858, (EU) 2018/1139 in (EU) 2019/2144 ter direktiv 2014/90/EU, (EU) 2016/797 in (EU) 2020/1828 (Akt o umetni inteligenci) (UL L, 2024/1689, 12.7.2024).

Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80–152).

Glej prečiščeno različico.

Direktiva (EU) 2020/1828 Evropskega parlamenta in Sveta z dne 25. novembra 2020 o zastopniških tožbah za varstvo kolektivnih interesov potrošnikov in razveljavitvi Direktive 2009/22/ES (UL L 409, 4.12.2020, str. 1–27).

Glej prečiščeno različico.

Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15–69).

Uredba (EU) 2019/1020 Evropskega parlamenta in Sveta z dne 20. junija 2019 o nadzoru trga in skladnosti proizvodov ter spremembi Direktive 2004/42/ES in uredb (ES) št. 765/2008 in (EU) št. 305/2011 (UL L 169, 25.6.2019, str. 1–44).

Glej prečiščeno različico.

Uredba (EU) 2019/2144 Evropskega parlamenta in Sveta z dne 27. novembra 2019 o zahtevah za homologacijo motornih vozil in njihovih priklopnikov ter sistemov, sestavnih delov in samostojnih tehničnih enot, namenjenih za taka vozila, v zvezi z njihovo splošno varnostjo in zaščito potnikov v vozilu ter izpostavljenih udeležencev v cestnem prometu in o spremembi Uredbe (EU) 2018/858 Evropskega parlamenta in Sveta ter razveljavitvi uredb (ES) št. 78/2009, (ES) št. 79/2009 in (ES) št. 661/2009 Evropskega parlamenta in Sveta in uredb Komisije (ES) št. 631/2009, (EU) št. 406/2010, (EU) št. 672/2010, (EU) št. 1003/2010, (EU) št. 1005/2010, (EU) št. 1008/2010, (EU) št. 1009/2010, (EU) št. 19/2011, (EU) št. 109/2011, (EU) št. 458/2011, (EU) št. 65/2012, (EU) št. 130/2012, (EU) št. 347/2012, (EU) št. 351/2012, (EU) št. 1230/2012 in (EU) 2015/166 (UL L 325, 16.12.2019, str. 1–40).

Glej prečiščeno različico.

Uredba (EU) 2018/1139 Evropskega parlamenta in Sveta z dne 4. julija 2018 o skupnih pravilih na področju civilnega letalstva in ustanovitvi Agencije Evropske unije za varnost v letalstvu ter spremembi uredb (ES) št. 2111/2005, (ES) št. 1008/2008, (EU) št. 996/2010, (EU) št. 376/2014 ter direktiv 2014/30/EU in 2014/53/EU Evropskega parlamenta in Sveta ter razveljavitvi uredb (ES) št. 552/2004 in (ES) št. 216/2008 Evropskega parlamenta in Sveta ter Uredbe Sveta (EGS) št. 3922/91 (UL L 212, 22.8.2018, str. 1–122).

Glej prečiščeno različico.

Uredba (EU) 2017/745 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o medicinskih pripomočkih, spremembi Direktive 2001/83/ES, Uredbe (ES) št. 178/2002 in Uredbe (ES) št. 1223/2009 ter razveljavitvi direktiv Sveta 90/385/EGS in 93/42/EGS (UL L 117, 5.5.2017, str. 1–175).

Glej prečiščeno različico.

Uredba (EU) 2017/746 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o in vitro diagnostičnih medicinskih pripomočkih ter razveljavitvi Direktive 98/79/ES in Sklepa Komisije 2010/227/EU (UL L 117, 5.5.2017, str. 176–332).

Glej prečiščeno različico.

Direktiva (EU) 2016/943 Evropskega parlamenta in Sveta z dne 8. junija 2016 o varstvu nerazkritega strokovnega znanja in izkušenj ter poslovnih informacij (poslovnih skrivnosti) pred njihovo protipravno pridobitvijo, uporabo in razkritjem (UL L 157, 15.6.2016, str. 1–18).

Direktiva 2014/90/EU Evropskega parlamenta in Sveta z dne 23. julija 2014 o pomorski opremi in razveljavitvi Direktive Sveta 96/98/ES (UL L 257, 28.8.2014, str. 146–185).

Glej prečiščeno različico.

Uredba (EU) št. 168/2013 Evropskega parlamenta in Sveta z dne 15. januarja 2013 o odobritvi in tržnem nadzoru dvo- ali trikolesnih vozil in štirikolesnikov (UL L 60, 2.3.2013, str. 52–128).

Glej prečiščeno različico.

Zadnja posodobitev 18.02.2025

Top