Зміни у законодавстві ЄС щодо кібербезпеки

20 листопада 2024 р. було опубліковано остаточну редакцію Закону (Регламенту) ЄС про кіберстійкість (Cyber Resilience Act, https://www.european-cyber-resilience-act.com). Відповідно до нової редакції Закону, запроваджуються обов’язкові вимоги щодо кібербезпеки для виробників і роздрібних продавців продуктів та програмного забезпечення, які містять цифрові компоненти. Такий захист поширюватиметься протягом усього життєвого циклу продукту. Закон про про кіберстійкість гарантує:

• гармонізовані правила виведення на ринок продуктів або програмного забезпечення з цифровою складовою;
• рамки вимог до кібербезпеки, що регулюють планування, проектування, розробку та підтримку таких продуктів, із зобов’язаннями, які повинні виконуватися на кожному етапі ланцюжка створення;
• зобов’язання забезпечувати нагляд протягом усього життєвого циклу таких продуктів.

Коли Закон набуде чинності, програмне забезпечення та продукти, підключені до Інтернету, матимуть маркування CE, щоб вказати, що вони відповідають новим стандартам. Він застосовуватиметься до всіх продуктів, прямо чи опосередковано підключених до інших пристроїв чи мереж, за винятком програмного забезпечення з відкритим кодом або послуг, на які вже поширюються існуючі правила, наприклад, щодо медичних засобів, авіації та автомобілів. Виробники повинні будуть вивести на ринок ЄС продукти, що відповідають вимогам Закону, до 2027 року. Після цього Європейська Комісія періодично переглядатиме Закон і звітуватиме про його функціонування.

18 листопада 2024 р. було опубліковано остаточну редакцію Директиви ЄС про відповідальність за дефектну продукцію (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024L2853&qid=1732453831922). Цією Директивою ЄС приводить правила відповідальності за продукцію у відповідність до розвитку цифрових технологій і циклічної економіки. Оновлення також усуває труднощі, з якими стикаються постраждалі особи під час збору доказів для підтвердження відповідальності, особливо коли йдеться про нові технології.

Країни-члени Європейського Союзу мають два роки, щоб імплементувати директиву в національне законодавство. Нове законодавство розширює визначення «продукція» на цифрові виробничі файли та програмне забезпечення. Крім того, онлайн-платформи можуть нести відповідальність за дефектний продукт, проданий на їхній платформі, як і будь-які інші суб’єкти господарювання. Згідно з новими правилами, щоб переконатися, що споживачі отримують компенсацію за збитки, завдані продуктом, виробленим за межами ЄС, компанію, яка імпортує продукт, або представника іноземного виробника в ЄС можна також притягнути до відповідальність за збитки. Якщо потерпілий споживач стикається з надмірними труднощами, щоб довести дефектність продукту або причинно-наслідковий зв’язок між його дефектністю та збитками, суд може вирішити, що позивач повинен лише довести ймовірність того, що продукт був дефектним або що його несправність є ймовірною причиною пошкодження. Відповідно до попереднього законодавства від 1985 року постраждала особа мала довести, що продукт був дефектним і що дефект спричинив травму або пошкодження.

Зазначені зміни важливі для вітчизняних виробників і роздрібних продавців продуктів та програмного забезпечення, які містять цифрові компоненти, а також у контексті врахування ними нового законодавство ЄС у сфері захисту прав споживачів.