Az EU kiberreziliencia-rendelete (2024/2847 rendelet) új kiberbiztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, érintve a gyártókat, importőröket, forgalmazókat és más gazdasági szereplőket az Európai Unió egész területén.
A rendelet 2024-ben lépett hatályba, ugyanakkor nagyrészt 2027. december 11-től alkalmazandó, bizonyos jelentéstételi kötelezettségek azonban már 2026. szeptember 11-től alkalmazandók (a megfelelőségértékelő szervezetekre vonatkozó szabályok pedig 2026. június 11-től). Az érintett szervezeteknek meg kell kezdeniük a felkészülést, mivel a megfelelés jelentős időt és erőforrásokat igényelhet.
A CRA lényege, hogy a digitális elemeket tartalmazó termékeket a teljes életciklusuk során az alapvető kiberbiztonsági követelményeknek megfelelően kell megtervezni, fejleszteni és karbantartani. Ez magában foglalja a kockázatértékelést, a sérülékenység-kezelést, a biztonsági frissítéseket és a részletes dokumentációt. A rendelet emellett szigorú incidens- és sérülékenység-jelentési kötelezettségeket, valamint a beszállítói lánc egészére kiterjedő megerősített felelősségi köröket is bevezet.
A nem megfelelés jelentős bírságokat vonhat maga után, amelyek akár 15 millió eurót vagy a globális éves árbevétel 2,5%-át is elérhetik (amelyik magasabb).
Kovács Balázs Zoltán és Ádám Benedek áttekintést készítettek a fő kötelezettségekről. A cikk eléréséhez kattintson IDE.
