Comisia a prezentat o propunere legislativă privind reziliența cibernetică. Noile reguli vor avea în vedere vulnerabilitățile dispozitivelor conectate și vor cere ca acestea să fie securizate încă de la proiectare.

Ca urmare a noului cadru legislativ (NLF), Actul legislativ privind reziliența cibernetică (CRA), prezentat pe pe 15 septembrie, va introduce cerințe de securitate cibernetică pentru „produsele cu elemente digitale” care urmează să fie introduse pe piața internă a UE. Atât hardware-ul, cât și software-ul sunt incluse, în baza raționamentului că, atunci când totul este conectat, totul este vulnerabil. 

Pe lângă cerințele privind proprietățile produsului, vulnerabilitățile și manipularea, există și specificații privind transparența și informarea utilizatorilor, deoarece CRA are ca scop sporirea încrederii consumatorilor în produse. 

„Acesta este un rezultat important în cadrul agendei noastre privind uniunea în materie de securitate. Pentru că acoperă o lacună reală și importantă din cadrul nostru juridic”, a declarat vicepreședintele Comisiei, Margaritis Schinas, în cadrul unei conferințe de presă.

Această legislație va tranzita de la securitatea serviciilor la cea a produselor „pentru a proteja atât consumatorii, cât și întreprinderile de produsele care au caracteristici de securitate inadecvate”, a adăugat Schinas, întrucât producătorii vor trebui să se asigure că pun pe piață produse sigure din punct de vedere digital. 

Datele Agenției UE pentru securitate cibernetică (ENISA) arată că, în 2021, ransomware-ul la nivel mondial a făcut pagube în valoare de aproximativ 20 de miliarde de euro. Urgența problemei este demonstrată și de faptul că, în 2021, un atac ransomware corporativ a avut loc aproximativ la fiecare 11 secunde. 

Scopul acestui dosar legislativ nu este doar de a reglementa piața internă, ci și de a deveni un „punct de referință internațional”, a subliniat Schinas. 

Un dosar complementar

CRA nu este primul dosar legislativ al UE care abordează securitatea cibernetică, ci mai degrabă își propune să completeze textele precedente, legate de IA, de securitatea cibernetică și Directiva privind securitatea rețelelor informatice 2 (NIS2). 

Propunerea de regulament se va aplica tuturor produselor care sunt conectate direct sau indirect la un alt dispozitiv sau la o rețea. Se prevăd o serie de excepții pentru produsele cărora li se aplică deja cerințe de securitate cibernetică stabilite în normele UE existente, de exemplu în ceea ce privește dispozitivele medicale, aviația sau automobilele.

Software-as-a-Service (SaaS), așa cum este reglementat de Directiva NIS2, nu va fi vizat, la fel ca și software-ul gratuit și open source, dacă nu este dezvoltat sau furnizat pentru utilizare comercială. 

Ciclul de viață și punerea în aplicare

Producătorii trebuie să se asigure că, pe durata de viață preconizată a produsului sau timp de cinci ani de la introducerea pe piață, oricare dintre acestea este mai scurtă, că vulnerabilitățile sunt tratate în mod eficient. 

Potrivit lui Iva Tasheva, expert în securitate cibernetică la firma de consultanță CyEn, ar putea fi dificil să se stabilească o perioadă de timp unică, având în vedere domeniul de aplicare larg al regulamentului. O posibilă soluție ar putea fi alegerea unei abordări bazate pe riscuri pentru obligația privind perioada de suport, a sugerat Tasheva.  

Prea mult, prea devreme? 

În timp ce propunerea reprezintă un pas înainte semnificativ din punctul de vedere al DIGITALEUROPE, o asociație a industriei tehnologiei digitale cu sediul la Bruxelles, aceștia se tem că ar putea include prea mult prea devreme.  

„Produsele tangibile sunt cele care suferă de cele mai multe suprapuneri și incoerențe legislative, iar aici pot fi remediate cele mai multe lacune de protecție. Pe de altă parte, includerea tuturor programelor informatice ar fi prematură și riscă să nu se obțină beneficiile așteptate”, a declarat Cecilia Bonefeld-Dahl, director general al DIGITALEUROPE, pentru EURACTIV.

Două clase 

Federația Industriei Germane (BDI) a salutat faptul că Comisia face distincție între categoriile de produse și cerințele de securitate ale acestora. Iris Plöger, membră a Comitetului executiv al BDI, a declarat că infrastructura critică și produsele de zi cu zi, cum ar fi un televizor inteligent, nu ar trebui să fie puse în aceeași categorie. 

În timp ce toate produsele cu elemente digitale din cadrul CRA trebuie să poarte marcajul CE, diferența dintre diferitele niveluri de asigurare a produselor critice constă în procedura de evaluare a conformității. Pentru produsele critice din clasa I, cum ar fi sistemele de gestionare a rețelelor, producătorul poate efectua evaluarea conformității pe propria răspundere. Pentru produsele clasificate ca fiind de clasa critică II, cum ar fi infrastructura de chei publice și emițătorii de certificate digitale, o terță parte ar trebui să fie implicată în evaluarea conformității. 

Ce urmează

Este rândul Parlamentului European și al Consiliului să examineze proiectul de act legislativ privind reziliența cibernetică. Odată ce acesta va fi adoptat, operatorii economici și statele membre vor avea la dispoziție doi ani pentru a se adapta la noile cerințe. De la această regulă va face excepție obligația de raportare care le va reveni producătorilor pentru vulnerabilitățile exploatate în mod activ și pentru incidente, care ar urma să se aplice deja la un an de la data intrării în vigoare, deoarece această obligație necesită mai puține ajustări organizaționale decât celelalte obligații noi. Producătorii vor trebui să notifice Agenția pentru Securitate Cibernetică a UE (ENISA) în termen de 24 de ore dacă iau cunoștință de orice vulnerabilitate exploatată în mod activ în cadrul produsului sau de orice incident cu impact asupra securității.

Noul Act privind reziliența cibernetică va completa cadrul UE în materie de securitate cibernetică: Directiva privind securitatea rețelelor și a sistemelor informatice (Directiva NIS), Directiva privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS 2), care a fost aprobată recent de Parlamentul European și de Consiliu, și Regulamentul UE privind securitatea cibernetică.