Az Európai Unió kiberrezilienciáról szóló rendelete lényegében az okoseszközök CE-jelölése: a jövőben nem kerülhet forgalomba internetre kötött eszköz minimális kiberbiztonsági védelem hiányában. A rendelet célkeresztjében a digitális elemeket tartalmazó termékek állnak, a cél pedig az, hogy a hardver- és szoftvergyártók magukra vállalják a felelősséget a biztonsági résekért, ahelyett, hogy azt a gyanútlan fogyasztóra hárítanák.
Tudták, hogy másodpercenként átlagosan 127 új IoT-eszközt (vagyis internetes kapcsolattal ellátott tárgyat) kapcsolnak rá az internetre? A McKinsey és az IoT Analytics számai szerint ez azt jelenti, hogy naponta megközelítőleg 11 millió új IoT tárgyat helyeznek üzembe és kötnek hálózatra világszerte. Lefordítva a bűnözők nyelvére, ez napi 11 millió új lehetőséget jelent arra, hogy valamilyen hálózatot feltörjenek, adatokat ellopjanak és komoly gazdasági kárt okozzanak.
Becslések szerint egy komolyabb IoT incidens átlagos vállalati költsége mára elérte a 330 ezer dollárt, vagyis több mint 100 millió forint gazdasági kárt okozhatnak, a reputációs kárról nem is beszélve. És hogy a közelmúlt két kiemelkedő IoT incidensét idézzük fel: 2026 márciusában az amerikai, német és kanadai hatóságok összehangolt akció keretében számoltak fel négy hatalmas IoT botnetet (Aisuru, Kimwolf, JackSkid, Mossad). Ezek a hálózatok együttesen több mint 3 millió fertőzött okoseszközt kontrolláltak világszerte, és képesek lettek volna megbénítani akár országos internetes infrastruktúrákat is. Egy súlyos felhő-konfigurációs hiba miatt 2025-ben 2,7 milliárd IoT-eszközhöz kapcsolódó adatrekord szivárgott ki az internetre. A kiszivárgott adatbázisok nemcsak az eszközök egyedi azonosítóit, hanem a felhasználók otthoni Wi-Fi jelszavait és földrajzi lokációit is tartalmazták, szabad utat engedve a lakásba való digitális betöréseknek.
Szóval nem kérdés, a komoly biztonsági kockázatot jelentő internetre csatlakoztatott tárgyak tekintetében az EU-nak lépnie kellett és 2024 decemberében a Cyber Resilience Act – vagyis CRA hivatalosan hatályba lépett. Ez a rendelet segíti az EU-t ama törekvéseinek megvalósításában, mely az uniót komoly digitális nagyhatalommá repíti, annak ellenére, hogy az amerikai technóriások és a kínai hardvergyártók mögött komoly a lemaradása. A rendelet nagy része 2027 elejétől lép életbe, tehát elegendő időt biztosít a gyártóknak a felkészülésre.
Mit tartalmaz a CRA?
A rendelet célkeresztjében a digitális elemeket tartalmazó termékek (Products with Digital Elements – PDE) állnak, a cél pedig az, hogy a hardver- és szoftvergyártók végre magukra vállalják a felelősséget a biztonsági résekért, ahelyett, hogy azt a gyanútlan fogyasztóra hárítanák. A rendelet nem válogat, szinte minden olyan termékre vonatkozik, amely közvetlenül vagy közvetve adatkapcsolatra képes. Szóval hatálya alá esnek a szoftverek, legyenek azok operációs rendszerek, firmware-ek, de még a hálózatba kötött üzleti alkalmazások is; hardverek az okostelefonoktól, laptopoktól és okosóráktól kezdve az ipari vezérlőrendszereken (ICS), routereken át egészen az okos hűtőkig, bébiőrökig és összekapcsolt gyerekjátékokig. Minden, ami internetre csatlakozik. Mint minden esetben, itt is vannak kivételek, csak azok a területek maradtak ki, amelyeket már más, szigorú ágazati szabályozás véd (pl. az orvostechnikai eszközök, a repülésbiztonság vagy az autók fedélzeti rendszerei).
Nem minden kütyü egyforma
A rendelet tartalmaz egy kockázati alapú osztályozást is, hiszen amint tudjuk, nem minden kütyü egyforma. A jogalkotók elismerték, hogy egy okos-fogkefe nem hordoz akkora nemzetbiztonsági kockázatot, mint egy vállalati tűzfal. Ezért a termékeket három kategóriába sorolják. Az alapértelmezett vagy alacsony kockázatú termékek közé tartozik a piac kb. 90 százaléka, legyen az okosotthon-eszköz vagy játékok. Ebben a kategóriában elegendő a gyártó saját megfelelőségi nyilatkozata, hogy a termékek biztonságosak. (öntanúsítás). A második osztályba tartoznak a kritikus fontosságú termékek, melyek például a böngészők, jelszókezelők, hálózatkezelő szoftverek – ezeknek a termékeknek szigorúbb szabványoknak és elvárásoknak kell megfelelniük. A harmadik kockázati osztályba tartoznak a magas kockázatú kritikus termékek, legyen az operációs rendszer, mikroprocesszor, ipari router, tűzfal. A második és a harmadik osztályba sorolt termékek esetében egyaránt kötelező egy független, harmadik fél (auditor) által végzett vizsgálat és tanúsítás a forgalomba hozatal előtt, melynek megszerzését az EU a már közismert CE-jelöléssel tanúsít majd.
A biztonság nemcsak egy utógondolat
A kiberbiztonsági szakértők évek óta hajtogatják, hogy az internetre csatlakoztatott termékeket eleve biztonságosra kell tervezni és nem csak mondjuk egy kibertámadás után foglalkozzanak ezzel a témával. A rendelet szerencsére véget vet annak a gyakorlatnak, hogy a biztonság csak egy utólagos gondolat legyen. A gyártóknak garantálniuk kell, hogy a termékeket a legújabb technológiai szintnek megfelelően, a biztonsági szempontok (például titkosítás, hozzáférés-kezelés) maximális figyelembevételével tervezték és fejlesztették.
A rendelet azt is előírja, hogy a gyártóknak a termék várható élettartama alatt, de legalább 5 évig biztosítaniuk kell a biztonsági frissítéseket. A biztonsági javításokat ingyenesen, és ahol technikailag lehetséges, automatikusan (felhasználói beavatkozás nélkül) kell eljuttatni az eszközökre.
Ugyancsak tartalmazza a rendelet, hogy ha egy gyártó aktívan kihasznált sérülékenységet (nulladik napi sebezhetőséget) vagy kiberbiztonsági incidenst észlel, azt 24 órán belül jelentenie kell az Európai Kiberbiztonsági Ügynökségnek (ENISA) és a nemzeti hatóságoknak. Ez a kötelezettség egyébként az első határideje a rendeletnek, immár 2026 szeptemberétől él ez a jelentési előírás. Ha már eltelt 72 óra az incidenstől, akkor a hatóságoknak egy részletes értesítést kell küldeniük az incidens jellegéről és azok hatásairól. A kiberbiztonsági eseménytől számítva a 14. napon pedig a javítást ki kellett küldeni a termék felhasználóinak és kell lennie egy zárójelentésnek is.
Transzparens tervezés
Ugyancsak a rendelet szabályozza, hogy a fogyasztóknak és az üzleti partnereknek joguk van tudni, hogy pontosan mit is vesznek. A gyártóknak pontos nyilvántartást kell vezetniük arról, hogy a szoftverük milyen nyílt forráskódú vagy harmadik féltől származó komponenseket tartalmaz. Ha ezekben találnak hibát, azonnal tudni kell, melyik termék érintett. Ezt egyébként régóta szorgalmazzák a kiberbiztonsági szakértők, és digitális alkatrészjegyzéknek vagy Software Bill of Materials-nak nevezik. Ugyancsak kötelezettség, hogy a csomagoláson vagy digitálisan jól láthatóan fel kell tüntetni, hogy a termék meddig kap biztonsági támogatást.
De mi a teendő, ha egy terméket egy EU-n kívüli cég gyártotta és egy helyi importőr vagy forgalmazó értékesíti? Ebben az esetben, ha egy olyan eszközt hoznak be az EU piacára, amely nem felel meg a CRA előírásainak, ő maga válik jogilag felelőssé, és őt fogják megbüntetni. Ezzel a rendelet a belső piac kapuőreivé teszi a kereskedőket.
Drasztikus bírságok
A GDPR-nál már megismert, visszatartó erejű büntetési tételsort alkalmazzák itt is. A szabályszegő vállalatok a lényegi kiberbiztonsági követelmények megszegése esetén akár 15 millió euró vagy a globális éves árbevétel 2,5 százalékát kockáztatják bírságként (amelyik magasabb). A megtévesztő vagy hiányos adatszolgáltatás esetén a bírság akár 5 millió euró vagy az árbevétel 1 százaléka lehet. Végső esetben a hatóságok kitilthatják a terméket a teljes uniós piacról, és kötelezhetik a gyártót a már eladott eszközök visszahívására is.
Megfojtja az innovációt?
A piac reakciója vegyes volt a 2024 végén megszavazott és lényegében 2027-től érvényes rendeletre. Míg a fogyasztóvédelmi szervezetek üdvözölték a biztonság növekedését, a technológiai szektor – különösen a szabad és nyílt forráskódú szoftverek közössége – kezdetben élesen bírálta a tervezetet. A fejlesztők tartottak tőle, hogy a szigorú felelősségi szabályok megfojtják az innovációt és az önkéntes alapú fejlesztést.
A jogalkotók végül engedtek: a végleges szövegben a nem kereskedelmi célú nyílt forráskódú fejlesztés mentesült a szankciók alól, és bevezették a „nyílt forráskódú gondnok” (open-source steward) fogalmát, elismerve ezen entitások speciális szerepét az ökoszisztémában.
Becslések szerint a termékek 90 százaléka a rendelet szerinti alapértelmezett kategóriába tartozik, ahol a gyártók maguk végezhetik a megfelelőségi értékelést, ám a maradék 10 százalék – köztük a kritikus IoT-eszközök – külső auditon kell, hogy átessen. A szabályozás gazdasági hatásai ennek megfelelően gigantikusak. Iparági számítások szerint, miközben a vállalkozásoknak várhatóan 29 milliárd euróba kerül majd a megfelelés, a sikeres implementáció évente 180–290 milliárd eurós megtakarítást jelenthet a kibertámadások elkerülése révén.
Az EU szabályozások vasmarka
Nem véletlenül foglalkozunk az Európai Unió digitális világra vonatkozó szabályozásaival. A fizikai világ szabályai a digitális világban nem, vagy csak elvétve léteznek, egyféle vadnyugatként minden technológiai óriás azzal foglalkozik, ami a legtöbb profitot hozza, nem törődve a következményekkel.
Miközben az amerikai modell a teljesen szabadjára engedett piacra és a profitra épít, a kínai modell pedig a totális állami megfigyelésre és kontrollra, addig az európai út az egyént és annak biztonságát helyezi a középpontba.
Az EU digitális szabályozási törekvések célja a digitális szuverenitás megteremtése, vagyis kitörni az amerikai vagy a kínai függőségből. Az unió óriási lemaradásban van a globális technológiai versenyben, nincsenek saját Google vagy Apple méretű technológiai óriáscégei, ugyanakkor a hardvergyártásban sem tudja felvenni a versenyt az ázsiai országokkal. Ezért fordul Brüsszel a szabályozói erejéhez, a törvényekkel és rendeletekkel igyekszik saját játékszabályait rákényszeríteni a piacra. A lényeg, hogy aki be szeretne lépni a 450 millió fogyasztót jelentő, fizetőképes európai piacra, annak az unió szabályai szerint kell játszania.
Az EU ugyanakkor egyfajta példamutató a digitális szabályozás területén, úttörőként a világ többi része követi őt. Így történt például a szigorú személyes adatvédelmi rendelet, a GDPR esetében, hiszen több nagyhatalom a szabályozás elterjedése után saját személyes adatvédelmi törvényeket alkotott meg, legyen az Kalifornia, India vagy Brazília. Mivel a tech-vállalatoknak nem éri meg külön szoftvert vagy hardvert fejleszteni az EU-nak és külön a világ többi részének, inkább a legszigorúbb – azaz az uniós – szabályokhoz igazítják a globális termékeiket is. Például az Apple az EU-s nyomás miatt cserélte le az iPhone-okon a saját Lightning csatlakozóját a szabványos USB-C-re világszerte.
Az EU célja a fogyasztóvédelem és az alapjogok kiterjesztése a digitális világra is, ugyanakkor megpróbálja a piaci verseny tisztaságát is fenntartani. A digitális gazdaság természetéből adódóan a „győztes mindent visz” elve alapján működik. Néhány óriásvállalat (a kapuőrök, mint a Meta, Alphabet, Amazon) olyan monstrummá vált, hogy képes volt megfojtani az európai innovációt és a kisebb versenytársakat. Az uniós törvények célja, hogy feltörjék ezeket a zárt ökoszisztémákat, és esélyt adjanak a kisebb, európai szereplőknek is.
