ЕК с нови правила за киберсигурност при свързаните устройства

Сн: ЕК

Европейската комисия представи предложение за нов законодателен акт за киберустойчивост с цел защита на потребителите и предприятията от продукти с недостатъчни защитни функции. Това е първо по рода си законодателство за целия ЕС, което въвежда задължителни изисквания за киберсигурност за продуктите.

„Законодателният акт за киберустойчивост ще гарантира, че свързаните предмети и софтуер, които купуваме, отговарят на строги гаранции за киберсигурност. С него отговорността отива там, където ѝ е мястото – сред онези, които пускат продуктите на пазара“, подчерта еврокомисарят по конкуренцията Маргрете Вестегер.

Еврокомисарят по вътрешния пазар Тиери Бретон подчерта: „Що се отнася до киберсигурността, Европа е толкова силна, колкото най-слабото ѝ звено: Независимо дали това е уязвима държава членка или опасен продукт по веригата на доставки. Компютри, телефони, домакински уреди, устройства за виртуална помощ, автомобили, играчки – всеки един от тези стотици милиони свързани продукти е потенциална входна точка за кибератака. И въпреки това днес повечето от хардуерните и софтуерните продукти не подлежат на никакви задължения в областта на киберсигурността. С въвеждането на киберсигурност още при проектирането законодателният акт за киберустойчивост ще спомогне за защитата на европейската икономика и на нашата колективна сигурност.“

При положение, че на всеки 11 секунди атаки със софтуер за изнудване засягат по една организация в света, и че очакваните годишни загуби от киберпрестъпления в световен мащаб достигат 5,5 трилиона евро през 2021, гарантирането на високо равнище на киберсигурност и намаляването на уязвимостта на цифровите продукти — един от основните начини за успешни атаки — са по-важни от всякога.

С увеличаването на интелигентните и свързаните продукти един инцидент, свързан с киберсигурността на даден продукт, може да окаже въздействие върху цялата верига на доставки, което евентуално да доведе до сериозни смущения в икономическите и социалните дейности в целия вътрешен пазар, подкопаване на сигурността или дори да бъде животозастрашаващо.

Предложените днес мерки ще определят: правила за пускането на пазара на продукти с цифрови елементи, за да се гарантира тяхната киберсигурност; съществените изисквания за проектирането, разработването и производството на продукти с цифрови елементи и задълженията на икономическите оператори във връзка с тези продукти; съществените изисквания за процесите за справяне с уязвимостта, въведени от производителите, за да се гарантира киберсигурността на продуктите с цифрови елементи през целия жизнен цикъл, и задълженията на икономическите оператори във връзка с тези процеси. Производителите също така ще трябва да докладват активно за използваните уязвими места и за инциденти;  правила за надзор на пазара и правоприлагане.

Новите правила ще уравновесят отговорността, като я прехвърлят към производителите, които трябва да гарантират съответствие с изискванията за сигурност на продуктите с цифрови елементи, предоставяни на пазара на ЕС. В резултат на това правилата ще бъдат от полза за потребителите и гражданите, както и за предприятията, използващи цифрови продукти, тъй като ще се подобри прозрачността на свързаните със сигурността свойства и ще се повиши доверието в продуктите с цифрови елементи, както и ще се осигури по-добра защита на основните права, като например неприкосновеността на личния живот и защитата на данните.

Въпреки че други юрисдикции по света се стремят да разглеждат тези въпроси, законодателният акт за киберустойчивост вероятно ще се превърне в международен еталон извън рамките на вътрешния пазар на ЕС. Стандартите на ЕС, основани на законодателния акт за киберустойчивост, ще улеснят неговото прилагане и ще бъдат предимство на световните пазари за свързаната с киберсигурността промишленост на ЕС.

Предложеният регламент ще се прилага за всички продукти, които са свързани пряко или косвено с друго устройство или мрежа.

Сега Европейският парламент и Съветът трябва да разгледат проекта за законодателен акт за киберустойчивост. След като той бъде приет фирмите и държавите членки ще разполагат с 2 години, за да се адаптират към новите изисквания. Изключение от това правило е задължението на производителите да докладват за активно използвани уязвими места и инциденти, което ще се прилага още от една година след датата на влизане в сила, тъй като това изисква по-малко организационни нагаждания в сравнение с другите нови задължения.