Unijna ustawa o odporności cybernetycznej (CRA) ma szeroki zakres, zaś jej celem jest zwiększenie bezpieczeństwa zarówno oprogramowania, jak i podłączanych do sieci urządzeń konsumenckich. Za brak zgodności będą kary, przy czym za podmioty odpowiedzialne uznano nie tylko producentów, ale także dystrybutorów i importerów urządzeń.
Obowiązki producentów to podejście "bezpieczne od samego początku", a więc sprzęt i oprogramowanie spełniające wymagania, potem dostarczanie aktualizacji i poprawek zabezpieczeń, a także obowiązek reagowania w ciągu 24 godzin na incydenty mające wpływ na bezpieczeństwo podłączonych urządzeń. Ustawa przyznaje też konsumentom aktywną rolę w wyborze produktów na podstawie ich poziomu cyberbezpieczeństwa, wymagając od producentów informowania w zakresie stosowanych zabezpieczeń.
CRA ma zostać przyjęta przez Parlament i Radę Europejską jeszcze w tym roku. Po wejściu w życie prawa producenci, importerzy i dystrybutorzy sprzętu i oprogramowania będą mieli 36 miesięcy na dostosowanie się do nowych wymagań.
