Он внесет изменения, которые должны быть гармонизированы с CRA. Учитыл ли Польский законодатель согласованность как юридических актов, риска чрезмерной регуляции и вопроса первенства законодательства ЕС против национального права?
Предприятия, работающие в ЕС, уже должны подготовиться к значительным изменениям в области управления Безопасность продукта с цифровыми элементами и учитывайте кибербезопасность в производственном цикле.
Регламент 2024/2489 (CRA) налагает на производителей (а также импортеры и дистрибьюторы) многие обязательства, направленные на обеспечение соответствия продукции с требованиями Кибербезопасность: Оценка риска, подготовка технической документации, восприимчивость и инциденты отчетности, используя декларации соответствия (CE).
Неспособность соблюдать требования регулирования связана с высокими административными штрафами. Штраф в размере до 15 миллионов или 2,5 процента угрожает не соответствию основным требованиям в области кибербезопасности. Годовая глобальная торговля предприятием, в зависимости от того, какая из этих сумм выше. Дополнительные нарушения могут привести к штрафам до 10 миллионов евро или 2 процента. Годовой оборот, который направлен на то, чтобы эффективно отговорить компании игнорировать новые стандарты.
Продукт подход к кибер -сопротивлению
Новое регулирование вводит специальные требования для конкретных категорий продуктов, таких как: микропроцессоры и микроконтроллеры (в основном производится в Соединенных Штатах, Южной Корее, Японии, Тайване и Китае), но также и игрушки, подключенные к Интернету, носимым и маршрутизаторам. При внедрении продукта с цифровыми элементами на рынке следует гарантировать, что он разработан, разработан и изготовлен в соответствии с основными требованиями в области кибербезопасности, предусмотренных в CRA.
Ключевым аспектом нового регулирования является принятие продукта, который сосредоточен непосредственно на самих продуктах с цифровыми элементами, а не на поставщиках этих продуктов. Это означает, что каждый продукт, введенный на рынок ЕС, должен будет соответствовать определенным стандартам кибербезопасности, независимо от того, кто является его производителем. Этот подход направлен на стандартизацию требований безопасности на уровне всего рынка ЕС, исключая различия в стандартах между отдельными государствами -членами. Это совершенно другой подход, чем решения, предложенные в поправке к Закону о национальной системе кибербезопасности, где предлагается субъективный подход.
Закон о юридическом Законе ЕС имеет приоритет
Закон о кибер -сопротивлении проверит разработанные положения о национальной системе кибербезопасности / пресс -материалов
Внедрение процедуры соответствия для продуктов с цифровыми элементами, о которых идет речь В искусстве 32 акта кибер -сопротивления, Поднимает сомнения относительно подтверждения соответствия требованиям в случае применения процедуры для поставщиков высокого риска или команд безопасности. Возникает вопрос о том, может ли продукт, например, маршрутизатор, который считается совместимым в соответствии с регулированием, подвергается сомнению как противоречивые в соответствии с механизмами, предложенными в поправке к положениям Закона о национальной системе кибербезопасности. Эта проблема требует, чтобы Польский законодатель был решен, особенно в контексте единого цифрового рынка.
Тем не менее, правила ЕС указывают на исключения из совместной оценки риска для критических цепочек поставок (статья 22 ЕС (ЕС) 2022/2555) и дополнительных требований, принимающих во внимание некваренные факторы, как указано в Комиссии (ЕС) 2019/534, оценка риска ЕС 5G инструментов кибербезопасности кибербезопасности 5G (мотивы. 52). Они учитывают как технические, так и нетехнические факторы риска, включая чрезмерное влияние третьих стран на поставщиков. Это означает, что вы должны основываться на общих механизмах исключения поставщиков, когда они должны включать широкий спектр регулирования или покрывать сети 5G. Следовательно, кажется, что в той степени, в которой продукты перекрываются, но акт кибер -сопротивления будет иметь приоритет.
Будет ли поправка к KSC соответствовать CRA
Акт кибер -сопротивления Он гармонизирует с директивой NIS2, которая уже регулировала аспекты кибербезопасности. Новое регулирование распространяет эти правила на продукты, содержащие цифровые элементы. Тем не менее, внедрение Регламента 2024/2489 возникает проблемы, связанные с его гармонизацией с национальными правовыми системами. В Польше действует закон о национальной системе кибербезопасности, который еще не реализует директиву NIS2. С 2020 года началась работа над последующими версиями поправки к настоящему Закону на уровне комитетов Совета министров.
Анализ содержания поправки к Закону о национальной системе кибербезопасности поднимает вопросы об их взаимной последовательности. Это особенно относится к механизмам командования безопасности (статья 67G (8) (6)) и процедуры для поставщиков высокого риска (статья 67B и последующие). Эти механизмы включают ключевые и важные сущности, которые поднимают сомнения, потребует ли их использование адаптация к надзорным механизмам, указанным в искусстве. 54 Закона о кибер -сопротивлении. Другими словами, возникает вопрос, являются ли в настоящее время эти два механизма, включая все важные и ключевые сущности, на самом деле не являются чрезмерной регуляцией в отношении акта в отношении кибер -сопротивления. Это связано с тем, что поправка приняла широкий подход к регулированию, выходя за рамки телекоммуникационного сектора и, в частности, за пределами сети 5G. Это может не только вызвать трудности при определении того, какие положения должны применяться в конкретных ситуациях, но и сомнения в характере приоритета применения закона.
Важная дилемма
Подводя итог: поправка к Закону о национальной системе кибербезопасности в Польше вносит изменения, которые должны быть согласованы с Законом о кибер -устойчивости ЕС (Регламент 2024/2489). Акт кибер -сопротивления Принимает продукт подхода к правилам цифровой безопасности, применяя строгие стандарты для продуктов, содержащих цифровые элементы независимо от их производителей. В свою очередь, поправка к национальному закону фокусируется на субъективном подходе, включая ключевые и важные объекты, и вводит процедуры для поставщиков высокого риска и инструкции по безопасности.
Такой двойной подход может привести к регулированию и трудностям при определении того, какие положения приоритет в конкретных ситуациях, особенно за пределами сектора телекоммуникаций и сетей 5G. Закон о кибер -сопротивлении допускает возможность применения субъективного подхода, но только в двух ситуациях: когда он является результатом скоординированной оценки на основе Директива NR2 или применимо к 5GПолем Анализ содержания положений о поправках показывает, что предлагаемые механизмы исключения выходят за рамки этой области, что может потребовать дополнительного анализа с точки зрения согласованности обоих правил.
В крайнем случае может возникнуть ситуация, в которой продукт функционирует и одобрен для рынка в одном государстве -члене (например, в Германии), будет запрещена в Польше. Такой сценарий подорвал бы фактическую гармонизацию правил на уровне ЕС, и де -факто отрицает свои цели. Анализ содержания положений о поправках показывает, что предлагаемые механизмы исключения выходят за рамки этой области, что может потребовать дополнительного анализа с точки зрения согласованности обоих правил.
Примеры важных продуктов с цифровыми элементами, покрытыми CRA
Класс I:
1. Игрушки подключены к Интернету
2. Интеллектуальные продукты для дома с функциями безопасности
3
4. Продукты для ношения или размещения на здоровье человека.
5. маршрутизаторы, модемы, предназначенные для подключения к Интернету и переключения
Класс II:
1. Сетевые плотины, системы обнаружения кражи или предотвращение кражи со взломом
2. Микропроцессоры, устойчивые к манипуляциям
3. микроконтроллеры, устойчивые к манипуляциям
Критические продукты с цифровыми элементами:
Аппаратные устройства с коробками безопасности
1. Гейтс интеллектуальных счетчиков в интеллектуальных системах измерения
2. Интеллектуальные карты или аналогичные устройства
