Otóż celem proponowanej regulacji jest wprowadzenie na rynek europejski jednolitych standardów cyberbezpieczeństwa dla urządzeń przetwarzających na odległość dane cyfrowe, w tym podłączonych do internetu. Przepisy mają obejmować rozwiązania funkcjonujące we wszystkich obszarach zastosowań, stąd horyzontalny charakter dokumentu. Nieliczne wyłączenia będą dotyczyć tylko tych dziedzin, w których już funkcjonują regulacje branżowe, na przykład w odniesieniu do sprzętu medycznego czy rozwiązań stosowanych w lotnictwie.

W założeniu unijnych ustawodawców nowe przepisy mają przyczynić się do tego, że wprowadzane na rynek rozwiązania będą miały mniej słabych punktów, gdyż producenci będą zwracać większą uwagę na kwestie bezpieczeństwa w całym cyklu życia produktu, począwszy od fazy projektowania. Z kolei użytkownicy mieliby uzyskać możliwość bardziej świadomego uwzględniania czynników cyberbezpieczeństwa przy wyborze i korzystaniu z produktów IT.

Na rynek będą mogły być wprowadzane tylko te rozwiązania, których producent zagwarantuje odpowiedni poziom cyberbezpieczeństwa. Konkretne wymogi zostały określone w załączniku nr 1 do rozporządzenia. Przykładowo, producenci będą musieli dostarczać rozwiązania z bezpieczną konfiguracją domyślną, czy też zapewniać ochronę integralności przechowywanych bądź przetwarzanych danych. Generalnie jednak poziom i zakres zastosowanych zabezpieczeń ma być adekwatny do wyników przeprowadzonej analizy ryzyka. Chodzi o to, by do sprzedaży były dopuszczane wyłącznie produkty bez żadnych znanych i możliwych do wykorzystania podatności.

Od producenta do dystrybutora

W zależności od stopnia ryzyka związanego z funkcjonowaniem w cyberprzestrzeni „produkty z elementami cyfrowymi” (jak określa to dokument) będą dzielone na rozwiązania krytyczne (klasy I i II) oraz wysoce krytyczne. Oceny produktu pod kątem wykazania zgodności z zasadniczymi wymogami bezpieczeństwa określonymi w załączniku do rozporządzenia będzie musiał dokonać producent. Będzie mógł w tym celu posłużyć się jedną ze wskazanych metod, w tym poprzez kontrolę wewnętrzną. Wytwórcy produktów krytycznych klasy II będą musieli jednak zaangażować do oceny zgodności podmiot zewnętrzny, natomiast producenci produktów wysoce krytycznych będą zobowiązani do uzyskania europejskiego certyfikatu cyberbezpieczeństwa. Producenci będą również zobowiązani do zgłaszania do ENISA wszelkich wykrytych incydentów, a także wykorzystanych podatności.

Oprócz producentów, do spełniania zawartych w rozporządzeniu wymogów będą zobligowani także importerzy i dystrybutorzy. Na każdej z tych grup przedsiębiorców będą ciążyły określone obowiązki, adekwatne do ich miejsca, roli i zadań w łańcuchu dostaw. Importerzy będą mogli wprowadzać do obrotu wyłącznie produkty, które spełniają zasadnicze wymogi rozporządzenia. To na nich ciąży obowiązek dopilnowania, aby producent przeprowadził odpowiednie procedury oceny zgodności i sporządził właściwą dokumentację techniczną, a sam produkt nosił oznakowanie CE i miał stosowną instrukcję obsługi.

Z kolei dystrybutorzy będą musieli „dochować należytej staranności” w odniesieniu do wymogów rozporządzenia. Przed udostępnieniem objętego regulacją rozwiązania muszą sprawdzić, czy produkt z elementami cyfrowymi jest opatrzony oznakowaniem CE oraz czy producent i importer wypełnili stosowne, spoczywające na nich obowiązki. W przypadku gdyby dystrybutor uznał (lub miał do tego powody), że produkt nie jest zgodny z zasadniczymi wymogami rozporządzenia, nie powinien go udostępniać do momentu zapewnienia zgodności przez producenta.

W przypadku gdyby importer lub dystrybutor chciał wprowadzić produkt do obrotu pod własną nazwą lub z własnym znakiem towarowym, albo dokonał istotnej modyfikacji produktu już wprowadzonego na rynek, będą na nim ciążyć obowiązki producenta.