Od 1 sierpnia 2025 r. w Unii Europejskiej obowiązują rozszerzone wymogi dyrektywy RED (Radio Equipment Directive) dotyczące bezpieczeństwa cybernetycznego urządzeń radiowych. To ważny krok w kierunku uporządkowania zasad ochrony konsumentów i infrastruktury cyfrowej. Równolegle zaczyna nabierać kształtu Cyber Resilience Act – kompleksowe unijne rozporządzenie obejmujące wszystkie produkty cyfrowe wyposażone w oprogramowanie. Oba akty prawne wyznaczają nowe standardy, które mają podnieść poziom ochrony i bezpieczeństwa, zwiększyć odpowiedzialność producentów i ograniczyć skalę cyberzagrożeń.
Dyrektywa RED od lat określa zasady bezpieczeństwa i kompatybilności elektromagnetycznej sprzętu radiowego. Teraz została rozszerzona o przepisy dotyczące cyberbezpieczeństwa w wybranych kategoriach urządzeń, takich jak smartfony, routery, inteligentne czujniki, zabawki z łącznością bezprzewodową czy urządzenia noszone. Od sierpnia każdy producent wprowadzający taki sprzęt na rynek UE musi udowodnić, że jest on odporny na określone typy ataków i spełnia wymogi ochrony prywatności oraz danych osobowych. Wymaga to wdrożenia zabezpieczeń chroniących przed oszustwami, ograniczenia ryzyka zakłóceń w sieci oraz zabezpieczenia interfejsów komunikacyjnych przed nieuprawnionym dostępem. Ocena zgodności i testy muszą być przeprowadzone przed wprowadzeniem urządzenia do sprzedaży, a ich wyniki udokumentowane.
Zmiany te są odpowiedzią na lawinowy wzrost liczby urządzeń podłączonych do Internetu. Wiele z nich, szczególnie w segmencie taniego IoT, jest projektowanych bez należytej troski o bezpieczeństwo, a ich luki bywają wykorzystywane do ataków na użytkowników i infrastrukturę krytyczną. Nowe przepisy mają położyć kres praktyce wprowadzania na rynek produktów pozbawionych wsparcia aktualizacyjnego czy zabezpieczeń.
Cyber Resilience Act, przyjęty w 2024 r., obejmie swoim zasięgiem wszystkie produkty cyfrowe zawierające oprogramowanie – zarówno urządzenia, jak i aplikacje. Rozporządzenie wprowadza zasadę „security by design”, czyli obowiązek uwzględniania bezpieczeństwa już na etapie projektowania. Producent będzie zobowiązany do zapewnienia wsparcia aktualizacyjnego przez cały cykl życia produktu, szybkiego usuwania wykrytych podatności oraz raportowania poważnych incydentów do ENISA, unijnej agencji ds. cyberbezpieczeństwa. Przepisy wymagają też prowadzenia pełnej dokumentacji bezpieczeństwa i archiwizowania wyników testów. Choć większość wymogów zacznie obowiązywać dopiero w 2026 r., okres przejściowy jest krótki, a przygotowania trzeba zacząć już teraz.
Konsekwencje nowych regulacji odczują wszyscy uczestnicy rynku. Producenci będą musieli zwiększyć nakłady na badania i rozwój, wdrożyć procesy DevSecOps i regularnie prowadzić testy penetracyjne. To podniesie koszty, które mogą przełożyć się na ceny detaliczne. Importerzy i dystrybutorzy zyskają większą odpowiedzialność prawną – wprowadzenie produktu niespełniającego wymogów może oznaczać zakaz sprzedaży w UE. Dla konsumentów oznacza to większe bezpieczeństwo, ale także ryzyko szybszego wycofywania starszych modeli z rynku, co może zwiększyć ilość elektroodpadów.
Zmiany szczególnie mocno uderzą w segment IoT. Firmy, które wcześniej stawiały na bezpieczeństwo, zyskają przewagę, a te, które je lekceważyły, będą musiały nadrabiać zaległości. Prawdopodobne są także zmiany w łańcuchach dostaw – dostawcy komponentów będą musieli potwierdzać zgodność swoich rozwiązań, by ich klienci mogli spełnić nowe normy.
Krytycy przepisów ostrzegają, że mogą one spowolnić innowacje i utrudnić działalność mniejszym producentom. Zwolennicy odpowiadają, że w obliczu coraz bardziej wyrafinowanych cyberataków i rosnących kosztów incydentów bezpieczeństwa, ujednolicone standardy są konieczne. Mają one również ułatwić funkcjonowanie firm na wspólnym rynku, eliminując potrzebę dostosowywania produktów do różnych regulacji krajowych.
Najbliższe lata będą dla branży okresem intensywnych zmian. Firmy powinny już teraz audytować swoje produkty, wdrażać zasady „security by design”, szkolić zespoły i inwestować w systemy monitorowania podatności. Współpraca z jednostkami certyfikującymi może uchronić przed opóźnieniami w procesie oceny zgodności. Dla użytkowników to szansa na bezpieczniejsze urządzenia, ale także obowiązek dbania o ich aktualność i świadomego korzystania.
RED i Cyber Resilience Act to wyraźny sygnał, że w Europie bezpieczeństwo technologii staje się nie dodatkiem, a obowiązkiem prawnym. To początek etapu, w którym cyberochrona będzie trwale wpisana w krajobraz gospodarczy i codzienne życie – zarówno producentów, jak i odbiorców technologii.
Autor: Tomasz Cieślik