Denumit Cyber Resilience Act (CRA), noul set de reguli obligă producătorii de gadgeturi smart să respecte standarde de securitate mult mai stricte în proiectarea dispozitivelor și totodată să garanteze un răspuns prompt pentru remedierea vulnerabilităților de securitate descoperite în perioada post-vânzare.
Fără legătură cu evenimentele recente, noua legislație a fost propusă în urmă cu doi ani cu scopul de a spori securitatea dispozitivelor precum ceasuri inteligente, jucării conectate la internet și aparatele electrocasnice care pot fi controlate de o aplicație. Multe dintre acestea sunt prevăzute cu microfoane și camere video, software-ul rudimentar putând fi cu ușurință deturnat pentru a permite accesarea acestora din internet, transformând respectivele jucării și dispozitive aparent inofensive în veritabile aparate de ascultare.
Proliferarea dispozitivelor conectate la internet a ridicat unele semne de întrebare încă de la începuturi, în urmă cu 5-10 ani, dar riscul de hacking a devenit cu adevărat o problemă presantă abia în ultima perioadă, când dispozitive aparent inofensive cum ar fi camere wireless pentru monitorizare nou-născuți și jucăriile „inteligente” au arătat cât de ușor poți ajunge să fi spionat în propria locuință. Și nu oricum, ci cu secvențe video în care apar copii tăi, postate pe site-uri obscure frecventate de pedofili. Sau cu momente intime din viața de familie, vândute spre vizionare pe site-uri specializate în astfel de conținut.
Actul CRA impune cerințe obligatorii de securitate cibernetică pentru produsele cu elemente digitale. Cerințele se aplică pe parcursul ciclului de viață al dispozitivelor vizate, de la proiectare, dezvoltare și apoi pe toată durata de exploatare. Distribuitorii și comercianții cu amănuntul trebuie, de asemenea, să se asigure că produsele pe care le vând sau au pur și simplu le au pe stoc respectă regulile UE.
CRA se aplică dispozitivelor conectate în general – adică tuturor produselor care se conectează direct sau indirect la un alt dispozitiv sau rețea – cu excepții în cazul produselor care sunt reglementate de alte norme UE existente, cum ar fi dispozitivele medicale, autoturisme și unele produse software open-source.
Acum și detaliul mai puțin încurajator. Pentru că pachetul Cyber Resilience Act nu a fost încadrat cu importanță critică, condițiile stipulate în lege lasă răgaz până pe 11 decembrie 2027, timp în care producătorii de dispozitive ar trebui să-și ajusteze dispozitivele nou proiectate pentru conformitate cu aceste reguli. Altfel spus, regulile probabil că nu vor produce efecte nici după această dată, fiind nevoie de timp pentru ca dispozitivele proiectate după aceste cerințe să intre efectiv în fabricație, iar apoi la vânzare.
În cele din urmă, sancțiunile pentru nerespectarea legislației CRA vor putea atinge până la 2,5 % din cifra de afaceri a producătorului respectiv, în limita a 15 milioane de euro. La asta se adaugă amenzi de până la 2 % din cifra de afaceri (până la 10 milioane de euro) pentru încălcări secundare, respectiv penalități de până la 1 % sau 5 milioane de euro pentru întârzierea remedierii neconformităților constatate.