Forwarded from DRC Qazaqstan
Положения закона о кибербезопасности цифровых продуктов (Cyber Resilience Act, CRA) были согласованы Европарламентом и Советом Евросоюза
Документ предусматривает ввод обязательных требований по кибербезопасности для всех продуктов и программного обеспечения на рынке ЕС. К продуктам с разной степенью риска в области кибербезопасности будут предъявляться различные требования (то есть, чем опаснее потенциальные риски, тем эти требования будут выше).
✓ Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
✓ Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту.
✓ Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
✓ Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
✓ Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.
Закон будет применяться ко всем товарам, которые прямо или косвенно подключены к какому-либо другому устройству или сети передачи данных.
На сегодня к части продуктов на рынке Европы — автомобилям, медицинскому оборудованию и продукции аэрокосмической отрасли — уже применяются подобные требования. Закон призван заполнить пробелы и сделать законы в области кибербезопасности более взаимосвязанными.
CRA вступит в силу на 20-й день после его публикации в официальном журнале ЕС.
У организаций, на которые распространяется действие CRA, будет 36 месяцев, чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.
Также установлен и более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.
#ЕС #Евросоюз #кибербезопасность #новости_oт_DRCQ
Документ предусматривает ввод обязательных требований по кибербезопасности для всех продуктов и программного обеспечения на рынке ЕС. К продуктам с разной степенью риска в области кибербезопасности будут предъявляться различные требования (то есть, чем опаснее потенциальные риски, тем эти требования будут выше).
✓ Одним из ключевых требований, включенных в CRA, является требование как к производителям программного обеспечения, так и продуктов «интернета вещей» (Internet of Things) (например, биометрических считывателей, "умных" домашних помощников и камер частной безопасности) сообщать об инцидентах кибератак и обнаруженных уязвимостях и неисправностях продуктов.
✓ Производители должны будут проводить предварительную оценку рисков и сообщать, какие требования безопасности могут применяться к создаваемому ими продукту.
✓ Поддержка безопасности должна будет обеспечиваться в течение не менее 5 лет (если продукт не имеет более короткий ожидаемый срок эксплуатации).
✓ Любое обновление системы безопасности, происходящее в течение жизненного цикла продукта, должно оставаться доступным пользователям в течение 10 лет или оставшегося периода поддержки (в зависимости от того, какой срок больше).
✓ Меры обеспечения безопасности «критически важных» продуктов потребуют проведения аудита безопасности сертифицированной организацией. Окончательный список «критически важных» продуктов еще не опубликован, однако он, скорее всего, будет включать как программное обеспечение (например, антивирусы или VPN-сервисы), так и hardware-устройства.
Закон будет применяться ко всем товарам, которые прямо или косвенно подключены к какому-либо другому устройству или сети передачи данных.
На сегодня к части продуктов на рынке Европы — автомобилям, медицинскому оборудованию и продукции аэрокосмической отрасли — уже применяются подобные требования. Закон призван заполнить пробелы и сделать законы в области кибербезопасности более взаимосвязанными.
CRA вступит в силу на 20-й день после его публикации в официальном журнале ЕС.
У организаций, на которые распространяется действие CRA, будет 36 месяцев, чтобы привести системы безопасности выпускаемых ими продуктов в соответствие новым требованиям.
Также установлен и более ограниченный 21-месячный срок, по истечении которого у производителей возникнет обязательством сообщать об киберинцидентах и обнаруженных уязвимостях.
#ЕС #Евросоюз #кибербезопасность #новости_oт_DRCQ
