Европейският съюз започва поетапно въвеждане на мащабни регулации, които ще ограничат вноса и продажбата на софтуерни продукти от държави извън общността, ако те не отговарят на новите стандарти за киберсигурност. Според приетия „Акт за киберустойчивост“ (Cyber Resilience Act) и допълнителните насоки от 20 януари 2026 г., компаниите вносители вече ще носят директна правна отговорност за сигурността на предлаганите от тях цифрови продукти. Мярката цели да защити европейските потребители и бизнес от нарастващите кибератаки и уязвимости в софтуерните вериги за доставки.
Край на „несигурния“ внос от трети страни
Новите правила изискват всеки софтуерен продукт, който се пуска на единния пазар, да притежава СЕ маркировка, удостоверяваща съответствие със строги критерии за защита на данните и устойчивост на атаки. Фирмите вносители са длъжни да проверяват дали производителите от държави извън ЕС са извършили необходимите тестове за уязвимост и дали са предоставили пълна техническа документация. Ако даден софтуер бъде определен като рисков, вносителят е задължен незабавно да спре неговото разпространение и да информира националните регулатори.
Специално внимание се обръща на продуктите с изкуствен интелект. С наближаването на крайните срокове по Европейския закон за ИИ (EU AI Act), вносът на софтуер, класифициран като „високорисков“, ще бъде подложен на още по-детайлна проверка, включително одит на използваните алгоритми. Тези мерки са част от стратегията на Брюксел за „цифров суверенитет“ и намаляване на зависимостта от технологични решения, които не гарантират европейските стандарти за поверителност.
Тежки санкции и отговорност по веригата
За първи път ЕС въвежда принципа на споделената отговорност по цялата верига – от разработчика до крайния дистрибутор. Вносителите вече няма да могат да се позовават на „незнание“ за дефекти в програмния код на чуждестранни доставчици. При установяване на системни нарушения или прикриване на критични уязвимости, регламентът предвижда финансови санкции, достигащи до 15 милиона евро или 2,5% от годишния глобален оборот на компанията.
Исторически, софтуерният пазар бе една от най-слабо регулираните сфери в сравнение с физическите стоки. „Времето, в което софтуерът можеше да се продава 'както е', без гаранции за сигурност, приключи,“ коментират експерти от Европейската комисия. Този ход наподобява въвеждането на стандарта GDPR преди години, като очакванията са новите правила за внос на софтуер да се превърнат в глобален стандарт, принуждавайки производители от САЩ и Азия да адаптират процесите си според изискванията на ЕС.
Подготовка на бизнеса за преходния период
Въпреки че част от изискванията ще влязат в пълна сила през следващите месеци, компаниите трябва да започнат преразглеждане на своите договори с доставчици още сега. Очаква се разходите за съответствие да нараснат, което може да доведе до поскъпване на специализирани софтуерни решения за бизнеса. От Брюксел обаче подчертават, че дългосрочните ползи от предотвратените киберинциденти многократно надхвърлят административните разходи.
За малките и средни предприятия са предвидени облекчени режими за тестване, но задължението за отстраняване на открити дупки в сигурността в рамките на 24 часа след откриването им остава валидно за всички. Този нов режим превръща вноса на софтуер от рутинен процес в дейност с висок регулаторен риск, изискваща специализиран правен и технически надзор.
