A kiberrezilienciáról szóló rendelet (Cyber Resilience Act, a továbbiakban: „CRA” vagy „rendelet”) 2024 decemberében lépett hatályba. A jogszabály a következő fő célokat¹ kívánja szolgálni: 

• Szeretné biztosítani, hogy az Európai Unió piacán forgalomba hozott, digitális elemeket tartalmazó termékek (valamint az ún. integrált távoli adatkezelési megoldásaik) kevésbé legyenek sebezhetőek, és a gyártók ezen termékek „teljes életciklusa” során felelősek legyenek a kiberbiztonsági követelmények betartásáért; 

• Szeretné átláthatóbbá tenni a hardver- és szoftvertermékek biztonsági intézkedéseit; 

• Mindemellett pedig a felhasználók és a fogyasztók számára szeretne magasabb biztonsági szintet biztosítani. 

Mikortól alkalmazandóak a jogszabály rendelkezései?

A rendeletet egy három éves átmeneti időszakot követően 2027. december 11-től kell alkalmazni, vagyis ezen időponttól kezdve, ha bárki forgalmazni szeretne ún. digitális elemeket tartalmazó terméket az Európai Unióban, akkor köteles lesz biztosítani a rendelet elvárásainak való megfelelést. 

Két kivétel van ezen határidő alól: 

• 2026. június 11-től kell alkalmazni a CRA IV. fejezetét (35–51. cikk), ami a megfelelőségértékelő szervezetek bejelentésére vonatkozik (tagállami kötelezettség ilyen szervezetek kijelölése), 
• 2026. szeptember 11-től válik alkalmazandóvá a CRA 14. cikke, ami a gyártók jelentéstételi kötelezettségeire vonatkozik.  

Mi számít digitális elemeket tartalmazó terméknek?

A rendelet azokra a „forgalmazott, digitális elemeket tartalmazó termékekre alkalmazandó, amelyek rendeltetése vagy észszerűen előrelátható használata magában foglal egy eszközhöz vagy hálózathoz való közvetlen vagy közvetett logikai vagy fizikai adatkapcsolatot”.² 

A jogszabály igen tág területet fed le, a benne foglalt a kiberbiztonsági követelményeknek való megfelelést kötelezővé teszi minden „digitális elemeket tartalmazó termékre”. Ez a terület magában foglalja a hardver és a szoftvertermékeket, valamint azok „távoli adatkezelési megoldásait” és „hardver-és szoftver alkotóelemeket” azaz a különböző IT, IoT rendszerek, valamint ilyen beágyazott eszközök, gépek is a hatálya alá tartoznak, mint például laptopok, okostelefonok, operációs rendszerek, mobil- és asztali alkalmazások, videojátékok vagy videokártyák. 

Ellentétben tehát például a szintén kiberbiztonsági szabályokat meghatározó, (EU) 2022/2555 irányelvvel (NIS 2 irányelv), amely bizonyos ágazatokba tartozó szervezetekre vonatkozik, a CRA a termékek oldaláról határoz meg előírásokat. A NIS 2 irányelvhez kapcsolódó kötelezettségekről itt írtunk részletesebben: 

• https://www.abt.hu/mi-az-a-nis2/  

• https://www.abt.hu/uj-kiberbiztonsagi-szabalyok-az-eu-ban-megjelent-a-nis-2-iranyelv/  

A fogalom értelmezéshez maga a rendelet is hoz példákat: 

• a „távolról történő kezelés vagy tárolás csak annyiban tartozik a rendelet hatálya alá, amennyiben az a digitális elemeket tartalmazó termék funkcióinak ellátásához szükséges”³, azaz pl. egy mobilalkalmazás hozzáférést igényel egy alkalmazásprogramozási interfészhez vagy a gyártó által kifejlesztett szolgáltatás révén biztosított adatbázishoz; 

• „felhőalapú megoldások keretében az intelligens otthonok eszközeinek gyártója által biztosított felhőalapú funkciók, amelyek lehetővé teszik a felhasználók számára az eszközök távolról történő vezérlését”⁴, szintén a rendelet hatálya alá tartoznak⁵; 

• szabad és nyílt forráskódú szoftverek csak abban az esetben fognak a rendelet hatálya alá tartozni, ha kereskedelmi tevékenység keretében értékesítés vagy használat céljára bocsátják őket rendelkezésre⁶. 

Mindezeken felül a CRA meghatározza a digitális elemeket tartalmazó fontos termékek (III. melléklet) és a digitális elemeket tartalmazó kritikus fontosságú termékek kategóriáit (IV. melléklet). Ezen típusú termékek ugyanis magasabb kiberbiztonsági kockázatot jelentenek, így fontos termékek esetén szigorúbb megfelelőségértékelési eljárás, míg a kritikus fontosságú termékek esetén pedig legalább „jelentős” megbízhatósági szintű európai kiberbiztonsági tanúsítványt kell szerezni az európai kiberbiztonsági tanúsítási rendszer keretében.   

Milyen követelmények kell megfelelni?

A digitális elemeket tartalmazó termékeket sok más, az Unió területén forgalmazott termékhez hasonlóan ún. CE-jelöléssel kell majd ellátni, amely jelzi az EU-s szabályoknak és különösen a CRA-nak való megfelelésüket⁷. Az alapvető elképzelés ezen jelölés kapcsán az, hogy az egész EU-ban ugyanazok a követelmények vonatkozzanak a digitális elemeket tartalmazó termékekre. A CE-jelölés megléte előfeltétele lesz a rendelet alkalmazási határidejétől fogva annak, hogy az EU belső piacon ilyen termékek forgalmazhatóak legyenek. 

A rendelet előírásai is a CE-jelölés megszerzésének lépcsőit követik. Elsősorban a gyártókra határoz meg kötelezettségeket, azonban vannak az importőrökre és a forgalmazókra is irányadó szabályok. Utóbbiak esetében ezen kötelezettségek kiindulópontja a gyártó által meghozott intézkedések, dokumentáció ellenőrzése, és ha azok nem felelnek meg a CRA elvárásainak végső esetben nem forgalmazhatják az adott terméket. 

Először is, a gyártóknak kötelező lesz beépíteni már a termékfejlesztési folyamatba a kiberbiztonsági megfontolásokat. A fejlesztési fázis lezárását követően sem szűnik meg azonban ez a kötelezettség, így a gyártási, szállítási és karbantartási szakaszokban a gyártóknak továbbra is a rendelet I. melléklete szerinti alapvető kiberbiztonsági követelményeknek kell megfelelni. 

Ezen követelmények szerint a digitális elemeket tartalmazó termékeknek naprakésznek és javíthatónak kell lenniük az esetlegesen felmerülő sérülékenységek kezelése érdekében. Többek között a gyártóknak biztonsági frissítéséket kell biztosítaniuk, a felmerülő kockázatok kezelésére pedig a kockázattal arányos intézkedéseket kell bevezetniük, amiket dokumentálni szükséges. 

Továbbá, amennyiben a gyártó aktívan kihasznált sérülékenységről, illetőleg súlyos eseményről – az „esemény” fogalma megegyezik a NIS 2 irányelv szerinti definícióval – szerez tudomást, azonnal intézkednie kell, ideértve különösen a felhasználók, az ún. CSIRT-ek (számítógép-biztonsági eseményekre reagáló csoport) és az ENISA értesítését. Az értesítésre vonatkozó határidők és annak tartalma szintén a NIS 2 irányelvvel összhangban került meghatározásra. 

Dokumentációs kötelezettségek:

• A termékhez mellékelni kell a rendelet 28. cikke szerinti EU-megfelelőségi nyilatkozatot, amely igazolja az alapvető követelményeknek való megfelelést. 

• Műszaki dokumentáció, a rendelet VII. melléklete szerinti tartalommal. A műszaki dokumentáció tartalmaz minden, a megfelelőség igazolásához szükséges információt, mint a termék és a tervezési, fejlesztési és gyártási folyamatainak és a sérülékenységek kezelésének leírását, valamint a kiberbiztonsági kockázatértékelést. 

• Felhasználói tájékoztatás és használati útmutató a rendelet II. melléklete szerint. Ez a dokumentum gyakorlatilag egy kézikönyv, amelynek tartalmaznia kell a felhasználókra vonatkozó kiberbiztonsági információkat. Megközelíthető például onnan, hogy a műszaki dokumentáció felhasználóbarát verziója. 

Mit tehetünk a felkészülés érdekében?

Láthattuk, hogy a rendelet alkalmazásáig viszonylag hosszú felkészülési időt irányoztak elő a jogalkotók. Jelen bejegyzés írásakor még néhány részletszabályt ugyan várunk, azonban már most érdemes elkezdeni a megfelelési folyamatot, hogy felkészülten álljunk a feladathoz. 

• Legelőször érdemes felmérnünk és besorolnunk a rendelet szerinti kategóriákba a digitális elemeket tartalmazó termékeinket. 
• Értékeljük a kiberbiztonsági kockázatokat a rendelet I. mellékletében felsorolt feltételek mentén. Ahol hiányosságot találunk a jelenlegi folyamatainkban, ott készítsünk intézkedési tervet, amely alapján ezeket orvosolni tudjuk. 
• Tekintettel arra, hogy a gyártók jelentéstételi kötelezettségeire vonatkozó rendelkezések korábban alkalmazandóak lesznek érdemes erre a folyamatra belső eljárásrendet kialakítani, illetve, ha a szervezetünk a NIS 2 hatálya alá is esik, a kidolgozott eljárással összhangba hozni a CRA szerinti elvárásokat. 

Kapcsolatfelvétel tanácsadóval

^{1 CRA preambulum (2), (10), (11)} 

^{2 CRA 2. cikk (1)} 

^{3 CRA preambulum (11)} 

^{4 CRA preambulum (12)} 

^{5 Ellenben a digitális elemeket tartalmazó termék gyártójának felelősségén kívül tervezett és kifejlesztett felhőszolgáltatások nem tartoznak a rendelet hatálya alá. A NIS 2 irányelv alkalmazandó a felhőszolgáltatásokra és a felhőszolgáltatási modellekre, ami lehet például szoftverszolgáltatás, platformszolgáltatás, infrastruktúra-szolgáltatás.} 

^{6 CRA preambulum (18)} 

^{7 https://europa.eu/youreurope/business/product-requirements/labels-markings/ce-marking/index_hu.htm}