Kiemelt fontosságúnak tartjuk, hogy az adatvezérelt területet érintő szabályozással kapcsolatban tájékoztatást adjunk, az egyik ilyen kezdeményezés a Cyber Resilience Act tervezet
Részletek dr. Domokos Márton és kollégái tollából
A részletes cikk megtalálható a Jogi Fórumon.
- A CRA-tervezet széles alkalmazási köre minden digitális elemeket tartalmazó termékre kiterjed, így „minden szoftver- vagy hardvertermékre és annak távoli adatfeldolgozási megoldásaira, beleértve az önállóan is forgalomba hozható szoftver- vagy hardverkomponenseket, amelyek tervezett vagy észszerűen előrelátható használata közvetlen vagy közvetett logikai vagy fizikai adatkapcsolatban áll egy eszközzel vagy hálózattal”. Ez magában foglalja mind a hardverfelületeken keresztül fizikailag összekapcsolható termékeket, mind a logikailag, például hálózati aljzatokon, csöveken, fájlokon, alkalmazásprogramozási interfészeken és bármilyen más típusú szoftveren keresztül összekapcsolt termékeket. Az IoT-eszközök, okosotthonba integrálható okosfelszerelések (pl. okoshűtők, okostelevíziók) mind a CRA-tervezet digitális elemeket tartalmazó termék definíciója alá esnek.
- A digitális elemeket tartalmazó termékeket az EU piacán forgalomba hozó gyártóknak biztosítaniuk kell az alapvető biztonsági követelményeknek való megfelelést, el kell végezniük a digitális elemeket tartalmazó termékkel kapcsolatos kiberbiztonsági kockázatok értékelését, és az értékelés eredményét figyelembe kell venniük a termék tervezési, kialakítási, fejlesztési, gyártási, szállítási és karbantartási fázisaiban (azaz „tervezésbe épített biztonság”, „security by design”).
- A gyártón kívüli egyéb gazdasági szereplők kötelezettségei az ellátási láncban betöltött szerepükhöz igazodnak. Amennyiben az importőrök vagy forgalmazók a saját nevük vagy védjegyük alatt hoznak forgalomba digitális elemeket tartalmazó terméket, vagy az uniós piacon már forgalomba hozott digitális elemeket tartalmazó terméken jelentős módosítást hajtanak végre, a gyártóra vonatkozó kötelezettségek vonatkoznak rájuk.
- A CRA-tervezet a kiszabható bírságok háromszintű rendszerét vezeti be:
- legfeljebb 15 millió EUR, illetve vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának2,5%-a, attól függően, hogy melyik a magasabb: az alapvető biztonsági követelmények megsértése esetén;
- legfeljebb 10 millió EUR, illetve vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának 2 %-a , attól függően, hogy melyik a magasabb: bármely egyéb, CRA-ban foglalt kötelezettség megsértése esetén;
- legfeljebb 5 millió EUR, illetve vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának 1 %-a, attól függően, hogy melyik a magasabb: a felügyeleti hatóság számára helytelen, hiányos vagy félrevezető információ szolgáltatása esetén.
