Ξεκίνησε η εφαρμογή της πράξης για την κυβερνοανθεκτικότητα (Cyber Resilience Act – CRA) στην Ευρώπη. Ο νέος κανονισμός ορόσημο αποσκοπεί στην προστασία των πολιτών και των επιχειρήσεων από τις αυξανόμενες κυβερνοαπειλές, θέτοντας αυστηρές απαιτήσεις ασφαλείας για προϊόντα που περιλαμβάνουν ψηφιακά στοιχεία. Πρόκειται για μια κρίσιμη νομοθετική παρέμβαση που έρχεται να καλύψει τα κενά ασφαλείας που προκύπτουν από τη ραγδαία εξάπλωση των συνδεδεμένων συσκευών.
Τα τελευταία χρόνια, η χρήση έξυπνων συσκευών, όπως οικιακές συσκευές, έξυπνα ρολόγια, παιδικά παιχνίδια και συστήματα ασφαλείας, έχει εκτοξευθεί. Η συνεχώς αυξανόμενη συνδεσιμότητα έχει δημιουργήσει τεράστιες ευκαιρίες, αλλά ταυτόχρονα έχει αυξήσει εκθετικά τους κινδύνους κυβερνοεπιθέσεων. Ειδήσεις για χακαρισμένα βρεφικά μόνιτορ, παραβιάσεις δεδομένων και εξ αποστάσεως ελέγχους οικιακών συσκευών έχουν αναδείξει την επιτακτική ανάγκη για πιο ασφαλή προϊόντα.
Ο νέος κανονισμός έρχεται να αντιμετωπίσει αυτό το ζήτημα στην πηγή του, καθιστώντας τους κατασκευαστές υπεύθυνους για την ασφάλεια των προϊόντων τους καθ’ όλη τη διάρκεια του κύκλου ζωής των προϊόντων. Οι κατασκευαστές υποχρεούνται να παρέχουν ενημερώσεις λογισμικού που διορθώνουν τρωτά σημεία ασφαλείας και εξασφαλίζουν διαρκή υποστήριξη ασφαλείας στους καταναλωτές, ενώ παράλληλα ενισχύεται η διαφάνεια για τους κινδύνους που σχετίζονται με τα προϊόντα. Αυτό επιτρέπει στους καταναλωτές να γνωρίζουν τι αγοράζουν και να κάνουν πιο συνειδητές επιλογές.
Ο κανονισμός καλύπτει ένα ευρύ φάσμα συνδεδεμένων συσκευών, δηλαδή προϊόντα που συνδέονται άμεσα ή έμμεσα με άλλες συσκευές ή δίκτυα. Εξαιρούνται, ωστόσο, προϊόντα που ρυθμίζονται ήδη από άλλες νομοθεσίες, όπως ιατρικές συσκευές, οχήματα και συγκεκριμένο λογισμικό ανοιχτού κώδικα. Παράλληλα, οι διανομείς και οι λιανοπωλητές υποχρεούνται να διασφαλίζουν ότι τα προϊόντα που διαθέτουν στην αγορά συμμορφώνονται με τις απαιτήσεις του κανονισμού. Τα προϊόντα που πληρούν τις προδιαγραφές θα φέρουν τη σήμανση CE, παρέχοντας στους καταναλωτές έναν εύκολο και αξιόπιστο τρόπο να αναγνωρίζουν ασφαλή προϊόντα.
Η προθεσμία συμμόρφωσης με τις κύριες υποχρεώσεις του CRA ορίζεται για τις 11 Δεκεμβρίου 2027, δίνοντας επαρκή χρόνο στους κατασκευαστές να προσαρμοστούν. Παρ’ όλα αυτά, η θέσπιση του κανονισμού αποτελεί άμεση απάντηση στις αυξανόμενες κυβερνοαπειλές και σηματοδοτεί τη δέσμευση της Ευρωπαϊκής Ένωσης για την ενίσχυση της κυβερνοασφάλειας. Η Εκτελεστική Αντιπρόεδρος της Ευρωπαϊκής Επιτροπής, Χένα Βίρκουνεν, σχολίασε χαρακτηριστικά: «δεσμευόμαστε να καταστήσουμε την Ευρώπη έναν ασφαλή και προστατευμένο χώρο για τους πολίτες και τις επιχειρήσεις μας. Ο νέος αυτός κανονισμός αποτελεί ένα σημαντικό βήμα προόδου ώστε τα ψηφιακά προϊόντα στην ΕΕ να μην ενέχουν κυβερνοκινδύνους για τους καταναλωτές της ΕΕ».
Η πράξη για την κυβερνοανθεκτικότητα συμπληρώνει το πλαίσιο κυβερνοασφάλειας NIS2, το οποίο τέθηκε σε ισχύ το 2023 και εστιάζει στην προστασία κρίσιμων υποδομών και οργανισμών. Μαζί, οι δύο κανονισμοί δημιουργούν ένα ολοκληρωμένο πλαίσιο ασφάλειας που ανταποκρίνεται στις απαιτήσεις μιας ολοένα και πιο ψηφιακής και συνδεδεμένης Ευρώπης. Η ΕΕ επιδιώκει να θωρακίσει τόσο τους καταναλωτές όσο και τις επιχειρήσεις της, δημιουργώντας ένα ασφαλές περιβάλλον όπου η καινοτομία μπορεί να ανθίσει χωρίς να τίθεται σε κίνδυνο η ιδιωτικότητα και η ασφάλεια των πολιτών.
Οι κυρώσεις για τη μη συμμόρφωση με τον κανονισμό είναι ιδιαίτερα αυστηρές. Παραβιάσεις των βασικών απαιτήσεων κυβερνοασφάλειας μπορούν να επιφέρουν πρόστιμα έως 2,5% του παγκόσμιου ετήσιου κύκλου εργασιών ενός οργανισμού ή έως 15 εκατομμύρια ευρώ, ανάλογα με το ποιο ποσό είναι μεγαλύτερο. Η μη ανταπόκριση σε κανονιστικά αιτήματα μπορεί να οδηγήσει σε πρόστιμα έως 1% ή 5 εκατομμύρια ευρώ. Με αυτές τις κυρώσεις, η ΕΕ στέλνει ένα σαφές μήνυμα ότι η ασφάλεια των ψηφιακών προϊόντων δεν αποτελεί πολυτέλεια αλλά βασική προϋπόθεση για την πρόσβαση στην αγορά της.
