ЄС запроваджує підвищені вимоги кібербезпеки для пристроїв Інтернету речей

Європейський Союз у 2024 році завершив ухвалення Закону про кіберстійкість (Cyber Resilience Act, CRA) — горизонтального регламенту, що встановлює єдині вимоги кібербезпеки до «продуктів із цифровими елементами», зокрема до IoT-пристроїв. Рада ЄС офіційно ухвалила CRA 10 жовтня 2024 року, а регламент набув чинності 10 грудня 2024-го. Це означає, що виробники, імпортери й дистриб’ютори мають перехідний період для підготовки, після чого невідповідні продукти не можна буде виводити на ринок ЄС.

Паралельно з CRA у ЄС діє оновлений режим за Директивою NIS2, який держави-члени мали імплементувати до 17 жовтня 2024 року. Він підвищує вимоги до кіберзахисту критичних та важливих секторів (хмарні провайдери, дата-центри, телеком тощо), що безпосередньо впливає й на екосистему IoT — від постачальників до операторів послуг.

Окремим блоком йдуть нові вимоги кібербезпеки підзаконних актів до Директиви про радіообладнання (RED), що поширюються на бездротові пристрої, у тому числі багато категорій «розумних» IoT-продуктів. Вони стають обов’язковими з 1 серпня 2025 року (термін був відтермінований з 2024-го), а Єврокомісія вже процитувала відповідні гармонізовані стандарти для підтвердження відповідності.

У підсумку: у 2024 році ЄС юридично «включив зелене світло» для посилення кібервимог до IoT — через набуття чинності CRA та застосування NIS2, а технічні вимоги для бездротових пристроїв за RED починають діяти з серпня 2025 року. Основні обов’язки виробників за CRA запрацюють після перехідного періоду — з 11 грудня 2027 року.