Avrupa Komisyonu, kalitesiz siber güvenlik özellikleri ve uygulamalarına sahip cihaz üreticileri için siber güvenlik etiketlerine ve cezalara yol açabilecek siber güvenlik mevzuatı önerdi.
Önerilen yasa, Avrupa Birliği’nde satılan ve herhangi bir ağa bağlı “dijital unsurlara sahip ürünlerin” donanım ve yazılımlarını kapsamaktadır.
Siber Esneklik Yasası (CRA) önerisi, insan kullanımına yönelik tıbbi cihazlar hariç, ağa bağlı çoğu cihazı kapsıyor ve “ticari bir faaliyetin seyri dışında geliştirilen veya sağlanan ücretsiz ve açık kaynaklı yazılımları” hariç tutuyor. “Yüksek riskli yapay zeka sistemleri” olarak tanımladıkları ve elektronik sağlık kayıt sistemleri kapsam dahilindedir. Diğer gereksinimlerin yanı sıra, üreticiler, bir kez satıldığında, beklenen ürün ömrü boyunca veya beş yıllık bir süre boyunca (hangisi daha kısaysa) güvenlik açıklarının “etkili bir şekilde ele alınmasını” sağlamalıdır.
Cihaz üreticilerinin, aktif olarak yararlanılan güvenlik açıklarını, haberdar olduktan sonraki 24 saat içinde Avrupa’nın siber güvenlik yetkilisi ENISA’ya bildirmesi ve kullanıcıları derhal bilgilendirmesi gerekecektir. CRA, mevcut AB mevzuatındaki boşlukları kapatmayı ve mevcut Ağ ve Bilgi Sistemlerini ( NIS Direktifi ), yakın zamanda kabul edilen NIS 2 Direktifini (SaaS ve bulut sağlayıcılarını kapsar) ve AB Siber Güvenlik Yasasını tamamlamayı amaçlamaktadır.