Cyber Resilience Act та оборонні продукти: чи поширюється регламент на military-tech?
Стрімкий розвиток military-tech індустрії тягне за собою відповідне регулювання зі сторони законодавця. Ключове питання цієї галузі — кібербезпека — не стала винятком. У грудні 2024 року вступив у дію Cyber Resilience Act – регламент ЄС, покликаний створити умови для розробки безпечного обладнання та програмного забезпечення в ЄС з метою зміцнення підходу до кібербезпеки та поліпшення функціонування внутрішнього ринку. Проте чи поширюються7 вимоги цього Регламенту на продукти оборонних компаній? Розберемо у цій статті.
Загальні положення Cyber Resilience Act: визначаємо сферу дії
Розділ І Регламенту містить критичні для military-tech індустрії положення щодо застосування CRA. Цей Регламент встановлює:
- правила щодо надання на ринку продуктів з цифровими елементами (products with digital elements) для забезпечення кібербезпеки таких продуктів;
- основні вимоги до кібербезпеки для проектування, розробки та виробництва продуктів з цифровими елементами;
- основні вимоги до кібербезпеки для процесів усунення вразливостей, запроваджених виробниками для забезпечення кібербезпеки продуктів з цифровими елементами протягом очікуваного терміну їх використання;
- правила нагляду за ринком, включаючи моніторинг та забезпечення дотримання правил і вимог.
Cyber Resilience Act застосовується до продуктів з цифровими елементами, що доступні на ринку, призначення або розумно передбачуване використання яких включає пряме або непряме логічне або фізичне підключення даних до пристрою або мережі.
Після цього загального положення у статті 2 встановлюються винятки, які виключають дію CRA у конкретних ситуаціях. Серед них – продукти з цифровими елементами, розроблені або модифіковані виключно для цілей національної безпеки або оборони, або продукти, спеціально призначені для обробки засекреченої інформації.
Неоднозначність сфери дії Cyber Resilience Act
Потрібно звернути увагу на особливість формулювання норми про виняток щодо продуктів, розроблених для цілей оборони та національної безпеки. Законодавець не дарма використав слово “виключно” (“exclusively”). Виходячи з офіційних FAQs, розроблених Європейською Комісією, продукти подвійного призначення все одно підпадатимуть під сферу дії Регламенту.
“So-called “dual-use” products that have both civilian and defence applications are therefore subject to the CRA when made available on the market, unless they are modified exclusively for national security or defence purposes.”
Отже, military-tech компаніям необхідно проаналізувати, чи їхня продукція може використовуватись в цивільних цілях, чи лише у військових. Очевидно, що багато розробок мають потенціал для подвійного використання, наприклад, дрони або засоби зв’язку.
Основні ролі та обовʼязки для dual-use products (продуктів подвійного призначення)
CRA поширює свою дію на різних “економічних операторів”: виробників, авторизованих представників, імпортерів, дистриб’юторів та інших фізичних чи юридичних осіб, які несуть зобов’язання щодо виробництва продуктів з цифровими елементами або щодо надання продуктів з цифровими елементами на ринку. Розберемо основні ролі детальніше.
Виробник – це фізична або юридична особа, яка розробляє або виробляє продукти з цифровими елементами або має продукти з цифровими елементами, що були спроектовані, розроблені або виготовлені, і продає їх під своїм ім’ям або торговою маркою за оплату, з метою монетизації або безкоштовно. При виході продукту з цифровими елементами на ринок виробники повинні впевнитись, що він був спроектований, розроблений і виготовлений відповідно до основних вимог кібербезпеки. Для цього виробники повинні проводити оцінку ризиків кібербезпеки та враховувати результати такої оцінки на етапах планування, проектування, розробки, виробництва, постачання та технічного обслуговування продукту, що містить цифрові елементи, з метою мінімізації ризиків, запобігання інцидентам та мінімізації їх наслідків. Така оцінка ризиків повинна бути включена до технічної документації продукту.
Імпортери – це фізична або юридична особа, зареєстрована в Європейському Союзі, яка розміщує на ринку продукт з цифровими елементами, що має назву або торговельну марку фізичної або юридичної особи, зареєстрованої за межами Союзу. Серед обов’язків імпортера є:
- забезпечити проходження процедур оцінки відповідності (appropriate conformity assessment procedures);
- забезпечити наявність технічної документації від виробника;
- не розміщувати продукт на ринку, допоки він не буде приведений у відповідність до Cyber Resilience Act;
- повідомити органи ринкового нагляду, якщо імпортер має достатні підстави вважати, що продукт може мати значний ризик кібербезпеки.
Щодо дистриб’ютора, то ним є фізична або юридична особа в ланцюзі постачання, крім виробника або імпортера, яка розміщує на ринку Європейського Союзу продукт з цифровими елементами, не впливаючи на його властивості. Подібно до імпортера, якщо дистриб’ютор вважає, що продукт може не відповідати вимогам Регламенту, то він повинен відізвати цей продукт з ринку та впевнитись у тому, що виробник вніс відповідні коригування до продукту. Дізнавшись про вразливість продукту з цифровими елементами, дистриб’ютори повинні без зайвої затримки повідомити про це виробника. Крім того, якщо продукт з цифровими елементами становить значний ризик кібербезпеки, дистриб’ютори повинні негайно повідомити про це органи ринкового нагляду.
Також на усі ролі за Cyber Resilience Act покладається обов’язок співпрацювати з органами ринкового нагляду та надавати необхідну документацію за запитом.
Повноваження market surveillance authorities щодо перевірки продуктів
Cyber Resilience Act вимагає від держав-членів Європейського Союзу призначити орган ринкового нагляду (market surveillance authority) на виконання та забезпечення дотримання вимог цього Регламенту.
Якщо орган з ринкового нагляду держави-члена має достатні підстави вважати, що продукт з цифровими елементами, включаючи його вразливість, становить значний ризик для кібербезпеки, він без зайвої затримки та, у разі необхідності, у співпраці з відповідною CSIRT (Computer Security Incident Response Team), проводить оцінку відповідного продукту з цифровими елементами на предмет його відповідності всім вимогам, встановленим у Регламенті.
Якщо в ході такої оцінки орган з нагляду за ринком виявляє, що продукт з цифровими елементами не відповідає вимогам, встановленим у CRA, він без затримки вимагає від відповідного суб’єкта господарювання вжити всіх необхідних коригувальних заходів для приведення продукту у відповідність до вимог, вилучення його з ринку або відкликання протягом розумного строку.
З цього можна зробити висновок, що неправильна кваліфікація продукту може створити ситуацію, за якої він все-таки підпадатиме під сферу дії Регламенту, а наглядові органи застосують санкції за недотримання положень CRA.
На даному етапі імплементації Регламенту, лише 5 країн визначили свої market surveillance authorities:
| Країна | Назва регуляторного органу |
| Словаччина | Орган Національної Безпеки |
| Німеччина | Федеральне відомство з безпеки інформаційних технологій (BSI) |
| Латвія | Центр захисту прав споживачів Латвії |
| Франція | Національне агентство з питань частот (Agence Nationale des Fréquences) |
| Кіпр | Управління комісара з питань комунікацій – Управління з питань цифрової безпеки (DSA) |
Проте протягом 2026 року все більше вимог CRA вступатимуть в дію, а держави-члени імплементовуватимуть цей Регламент. Лише в третьому кварталі цього року будуть опубліковані перші результати стандартизації (горизонтальні та product-specific стандарти). На основі цієї інформації можливо буде передбачити тенденцію регуляторних органів та спрогнозувати подальше поширення CRA на продукти, в тому числі подвійного використання.
Тож що робити military-tech бізнесу?
Виходячи з проаналізованих положень, компаніям необхідно виходити із презумпції поширення вимог CRA на їхні продукти. Тим більше, що Recital 14 у зв’язку із Recital 26 Преамбули Регламенту встановлюють, що держави-члени повинні мати можливість застосовувати додаткові заходи до продуктів з цифровими елементами, які закуповуються або використовуються для цілей національної безпеки або оборони. Також державам-членам рекомендується забезпечити для таких продуктів такий самий або вищий рівень захисту, як і для тих продуктів, що прямо підпадають під дію Cyber Resilience Act.
Отже, для того, щоб забезпечити комплаєнс із Cyber Resilience Act та аналогічним секторальним положенням, компаніям варто:
- моніторити ступінь імплементації через відповідний таймлайн та інші ресурси Європейської Комісії;
- запроваджувати стандарти Cyber Resilience Act незалежно від сфери застосування Регламенту;
- аналізувати секторальне законодавство відповідних держав-членів, на ринку яких представлені military-tech продукти.
Legal IT Group допоможе із CRA-комплаєнсом
Ми – команда юристів, яка спеціалізується на супроводі IT-проєктів, знаємо, наскільки важливою є кібербезпека. Тому із радістю допоможемо Вам досягти комплаєнсу із Cyber Resilience Act та успішно вийти на ринок ЄС!
