Nowe regulacje Unii Europejskiej zmieniają podejście producentów do aktualizacji oprogramowania. Dłuższe wsparcie dla smartwatchy i opasek sportowych przestaje być dobrą praktyką. Staje się obowiązkiem.
Cyber Resilience Act (CRA) wprowadza konkretne wymagania dotyczące cyberbezpieczeństwa urządzeń podłączonych do aplikacji i usług chmurowych. Obejmują one także długoterminowe wsparcie produktu. Nie są to zapisy deklaratywne, tylko realne zobowiązania dla producentów.
Nowość: Garmin Quatix 8 Pro. Smartwatch żeglarski z łącznością LTE
W praktyce oznacza to jedno. Jeśli smartwatch lub opaska łączy się z aplikacją lub chmurą, producent odpowiada za ich bezpieczeństwo przez cały przewidywany okres użytkowania. Dłuższe wsparcie musi odpowiadać realnemu czasowi korzystania ze sprzętu, a nie skróconemu cyklowi sprzedażowemu.
Dlaczego dłuższe wsparcie zaczyna mieć znaczenie
Przez lata smartwatche i opaski funkcjonowały w niejasnym obszarze aktualizacji. Urządzenie otrzymywało jedną lub dwie poprawki. Potem wsparcie wygasało, a jednocześnie produkt nadal pozostawał w sprzedaży.
Branża opierała się na krótkim wsparciu i szybkiej wymianie modeli. Takie podejście przez długi czas działało, jednak w Unii Europejskiej przestaje być bezpieczne.
Poznaj: Garmin Venu X1 w kolorze Soft Gold. Styl i funkcjonalność
Cyber Resilience Act zmienia zasady gry. To, co wcześniej miało charakter dobrej woli producenta, staje się obowiązkiem prawnym. Jeśli producent oferuje smartwatch jako narzędzie do codziennego monitorowania zdrowia lub treningu, musi zapewnić aktualizacje bezpieczeństwa przez rozsądny okres użytkowania.
Prawo nie narzuca konkretnej liczby lat. Zamiast tego wymaga uzasadnienia. Producent musi określić okres wsparcia i potrafić go obronić. Liczy się funkcja urządzenia, sposób jego pozycjonowania oraz cena.
Ta elastyczność nie jest przypadkowa, stanowi bowiem sedno regulacji. Inne wymagania dotyczą prostego gadżetu, inne smartwatcha pełniącego rolę monitora zdrowia i aktywności. Najważniejsze pozostaje jedno: firma musi jasno wskazać, jak długo urządzenie będzie bezpieczne w codziennym użytkowaniu.
Odliczanie już się rozpoczęło
Cyber Resilience Act wszedł w życie na początku 2024 roku. Producenci zyskali jednak czas na pełne dostosowanie się do nowych zasad, ponieważ ostateczny termin mija 11 grudnia 2027 roku.
To daje firmom jasny harmonogram działań, jednak nie jest to długi okres. Zwłaszcza w branży, która przez lata opierała się na krótkich cyklach produktowych.
Sprawdź: Jak trenować HYROX, aby poprawić swoje wyniki?
Od tej daty smartwatche i opaski sprzedawane w Unii Europejskiej muszą spełniać zasady bezpieczeństwa już na etapie projektowania. Regulacja wymaga między innymi:
- zapewnienia aktualizacji przez rozsądny okres użytkowania
- stosowania bezpiecznych praktyk rozwoju oprogramowania
- prowadzenia dokumentacji potwierdzającej zgodność z przepisami
Urządzenia muszą także posiadać oznaczenie CE, które potwierdza spełnienie wymagań CRA.
Po upływie terminu produkty niespełniające tych zasad nie będą mogły trafić na rynek. Dotyczy to również sprzedaży przez zewnętrznych sprzedawców. W takich przypadkach organy nadzorcze mogą wszcząć postępowanie.
Dłuższe wsparcie musi działać w praktyce, nie tylko na papierze
Cyber Resilience Act zwraca uwagę na coś więcej niż sam fakt wydania poprawki. Aktualizacja musi realnie trafić do użytkownika. Plik umieszczony na serwerze nie wystarcza. Proces aktualizacji musi działać poprawnie i niezawodnie. Jednocześnie powinien pozostać prosty w obsłudze podczas codziennego korzystania z urządzenia.
To podejście obejmuje również aplikacje mobilne. Wiele smartwatchy i opasek otrzymuje aktualizacje wyłącznie przez aplikację na smartfonie. Jeżeli producent przestaje ją rozwijać, ścieżka aktualizacji przestaje istnieć. W efekcie pojawia się problem zgodności z przepisami, nawet jeśli sam sprzęt nadal działa.
Dlatego producenci muszą dokładniej planować cykl życia aplikacji. Dotyczy to zarówno wsparcia systemów Android i iOS, jak i harmonogramu ich wygaszania. Sklepy z aplikacjami się zmieniają. Interfejsy API znikają. Jeśli mechanizm aktualizacji opiera się na ekosystemie poza kontrolą producenta, wymaga stałego nadzoru i utrzymania.
Co zmienia się od tego momentu?
Cyber Resilience Act nie blokuje rozwoju przystępnych cenowo smartwatchy i opasek. Zamyka jednak drogę do traktowania ich jako produktów jednorazowych. Zwłaszcza wtedy, gdy takie podejście naraża użytkowników. Jeżeli ktoś nadal korzysta z urządzenia, producent musi zadbać o jego bezpieczeństwo. To nowy punkt wyjścia, który prawo jasno egzekwuje.
Dla marek takich jak Apple, Garmin czy Samsung nie oznacza to rewolucji. Te firmy od lat rozwijają infrastrukturę długoterminowych aktualizacji i stabilne oprogramowanie. Duże zmiany nie będą tu konieczne.
Inaczej wygląda sytuacja producentów, takich jak Xiaomi, a także wielu marek oferujących opaski z własnym logo w sklepach internetowych. W ich przypadku nowe przepisy mogą wymusić zmianę podejścia. Wspólne oprogramowanie, słabej jakości podzespoły i krótkich okres wsparcia, nie spełniają już nowych wymagań.
