Cy­ber­bez­pieczeństwo produktów i podmiotów stanie się wkrótce obowiązkowe w UE

Firmy stoją przed zaostrzeniem przepisów UE dotyczących cyberbezpieczeństwa. Zapisy dotyczą zwłaszcza urządzeń przemysłowych i konsumenckich, które wymagają dostosowania do nowych przepisów i to w trybie pilnym. W ciągu najbliższych kilku lat zaczynie obowiązywać kilkanaście dyrektyw lub rozporządzeń związanych z cyberbezpieczeństwem. Brak zgodności z nimi spowoduje, że sprzedaż istniejących produktów i usług cyfrowych stanie się nielegalna. Dlatego decydenci i twórcy produktów w obu sektorach urządzeń i oprogramowań będą musieli teraz zrozumieć nowe przepisy i rozpocząć przygotowania. Czy są na to gotowi?

Pierwsze znaczące zaostrzenie przepisów dotyczących urządzeń zostanie wprowadzone dyrektywą o sprzęcie radiowym od 1 sierpnia 2024 roku. Dotyczy ona urządzeń z bezprzewodową komunikacją radiową, w tym bezprzewodowych zestawów słuchawkowych. Tego dnia większość dzisiejszych bezprzewodowych urządzeń IoT nie zostanie dopuszczona do sprzedaży w UE, ponieważ nie będą one już zgodne z wymogami prawnymi. Jeśli firma chce nadal sprzedawać dzisiejsze bezprzewodowe urządzenia IoT w UE, będzie musiała odnowić oznakowanie CE, aby spełnić nowe warunki.

Dyrektywa NIS2 wejdzie w życie pod koniec 2024 roku. Rozszerza ona listę podmiotów niezbędnych i ważnych dla społeczeństwa o takie sektory jak produkcja urządzeń elektrycznych, przemysł chemiczny czy usługi teleinformatyczne. Co do zasady NIS2 będzie dotyczył tylko średnich i dużych przedsiębiorstw, które zostaną zobowiązane do wdrożenia systemów zarządzania bezpieczeństwem informacji. W praktyce wiele małych firm również podlega tym wymogom, ponieważ większe przedsiębiorstwa muszą również wymagać od swoich podwykonawców wprowadzenia odpowiednich procesów związanych z cyberbezpieczeństwem.

W latach 2025-26 wejdzie w życie także ustawa o cyberbezpieczeństwie. Dotyczyć będzie wszystkich produktów cyfrowych, a więc wszystkich urządzeń, oprogramowania oraz wielu komponentów elektronicznych i programowych. Będą one musiały spełniać nowe wymagania dotyczące oznakowania CE w zakresie cyberbezpieczeństwa.

Należy zatem zauważyć, że te zmiany w przepisach UE wymagają uwagi i działań zarówno od firm programistycznych, jak i producentów sprzętu przemysłowego. Dla niewielkiej firmy informatycznej temat oznakowanie CE może być czymś nowym.

Jeśli firma pozostaje nieświadoma swoich obowiązków, czekają ją poważne problemy. Brakuje ludzi, którzy rozumieją przepisy i potrafią je wdrożyć w praktyce. Jest sporo zagadnień zupełnie nowych, które wymagają uwagi.  

Teraz jest czas na znalezienie odpowiednich partnerów i wykonanie wspólnej pracy nad tym, co należy zrobić w obliczu zmieniających się przepisów. Ważne jest, aby rozpocząć dyskusję na temat nowych wymagań z podwykonawcami i innymi partnerami.

Podejmując w porę działania związane z nadchodzącymi zmianami w przepisach dotyczących cyberbezpieczeństwa, firma może kontynuować sprzedaż swoich produktów i usług bez zakłóceń. Ponadto, przestrzeganie przepisów chroni przed poniesieniem odpowiedzialności karnej i znacznymi grzywnami administracyjnymi w przypadku niedopatrzeń z zakresu bezpieczeństwa cybernetycznego.