1asig.ro
1asig.ro
federatia roaman de bowling

Starea Uniunii: noi norme UE de securitate cibernetica pentru produse hardware si software mai sigure

Comisia Europeana a prezentat o propunere de nou act legislativ privind rezilienta cibernetica prin care urmareste sa protejeze consumatorii si intreprinderile impotriva produselor cu caracteristici de securitate necorespunzatoare. Aceasta legislatie, prima de acest tip de la nivelul UE, introduce cerinte obligatorii de securitate cibernetica pentru produsele care au componente digitale, pe parcursul intregului ciclu de viata al acestora.

Actul legislativ, care a fost anuntat de presedinta Ursula von der LEYEN in septembrie 2021 in discursul privind starea Uniunii Europene si se bazeaza pe Strategia de securitate cibernetica a UE din 2020 si pe Strategia UE privind o uniune a securitatii din 2020, va oferi asigurarea ca produsele digitale, cum ar fi produsele si software-urile cu sau fara fir, sunt mai securizate pentru consumatorii din intreaga UE: actul legislativ prevede ca fabricantii vor avea obligatii mai stricte in materie de responsabilitate, acestia trebuind sa furnizeze sprijin in materie de securitate si actualizari de software pentru a aborda vulnerabilitatile identificate, si, in plus, le va permite consumatorilor sa dispuna de suficiente informatii cu privire la securitatea cibernetica a produselor pe care le cumpara si le utilizeaza.

Margrethe VESTAGER, vicepresedinta executiva pentru o Europa pregatita pentru era digitala, a declarat: "Meritam sa ne simtim in siguranta atunci cand utilizam produse cumparate pe piata unica. La fel cum putem avea incredere intr-o jucarie sau intr-un frigider cu marcaj CE, Actul european privind rezilienta cibernetica va oferi asigurarea ca obiectele si software-ul conectate pe care le cumparam ofera garantii solide in materie de securitate cibernetica. Acest act legislativ ii va trage la raspundere pe cei care sunt cu adevarat raspunzatori, prin faptul ca introduc produsele pe piata."

Margaritis SCHINAS, vicepresedintele pentru promovarea modului nostru de viata european, a declarat: "Actul legislativ privind rezilienta cibernetica este raspunsul nostru la amenintarile moderne la adresa securitatii, care sunt in prezent omniprezente in societatea noastra digitala. UE a fost un deschizator de drumui in directia unui ecosistem de securitate cibernetica, adoptand norme privind infrastructura critica, pregatirea si raspunsul in materie de securitate cibernetica si certificarea produselor de securitate cibernetica. Astazi, ducem la capat eforturile de creare a acestui ecosistem, prin intermediul unui act legislativ care ne asigura securitatea in casele noastre, in toate intreprinderile noastre si in fiecare produs interconectat. Securitatea cibernetica este un subiect care priveste intreaga societate, nu numai industria."

Thierry BRETON, comisarul pentru piata interna, a afirmat: "Taria unui lant este data de cea mai slaba veriga a sa, iar in ceea ce priveste securitatea cibernetica lucrurile stau la fel pentru Europa: aceasta veriga slaba poate fi un stat membru vulnerabil sau un produs nesecurizat de-a lungul lantului de aprovizionare. Computerele, telefoanele, aparatele de uz casnic, dispozitivele virtuale de asistenta, automobilele, jucariile... fiecare dintre aceste sute de milioane de produse conectate reprezinta un posibil punct de intrare pentru un atac cibernetic. Cu toate acestea, in prezent, majoritatea produselor hardware si software nu fac obiectul niciunei obligatii in materie de securitate cibernetica. Introducand securitatea cibernetica inca de la stadiul de proiectare, Actul legislativ privind rezilienta cibernetica va contribui la protejarea economiei Europei si a securitatii noastre colective."

La fiecare 11 secunde, undeva in lume, o organizatie este tinta atacurilor de tip ransomware; se estimeaza ca, la nivel mondial, costul anual al criminalitatii informatice s-a ridicat la 5,5 mii de miliarde EUR in 2021 [raportul Centrului Comun de Cercetare (2020): "Cybersecurity - Our Digital Anchor, a European perspective" ("Securitatea cibernetica - ancora noastra digitala, o perspectiva europeana")]. In aceste conditii, este mai important ca niciodata sa se asigure un nivel ridicat de securitate cibernetica si sa se reduca vulnerabilitatile produselor digitale, care constituie una dintre principalele cai prin care pot reusi atacurile. Avem din ce in ce mai multe produse inteligente si conectate, iar un incident de securitate cibernetica care afecteaza un produs are un posibil impact asupra intregului lant de aprovizionare, putand duce la perturbari grave ale activitatilor economice si sociale de pe piata interna, submina securitatea sau chiar pune in pericol vieti omenesti.

Masurile propuse se bazeaza pe noul cadru legislativ pentru legislatia UE privind produsele si vor stabili:

  1. norme privind introducerea pe piata a produselor cu componente digitale, menite sa asigure securitatea cibernetica a acestor produse;
  2. cerinte esentiale pentru proiectarea, dezvoltarea si fabricarea produselor cu componente digitale si obligatii pentru operatorii economici in ceea ce priveste aceste produse;
  3. cerinte esentiale pentru procesele de gestionare a vulnerabilitatilor introduse de producatori pentru a asigura securitatea cibernetica a produselor cu componente digitale pe parcursul intregului ciclu de viata, precum si obligatii pentru operatorii economici in legatura cu aceste procese. Producatorii vor trebui, de asemenea, sa raporteze vulnerabilitatile exploatate in mod activ si incidentele;
  4. norme privind monitorizarea pietei si asigurarea respectarii normelor.

Noile norme vor reechilibra situatia in ceea ce priveste responsabilitatea, in sensul ca aceasta va trebui sa fie asumata intr-o mai mare masura de catre producatori. Acestia vor trebui sa asigure conformitatea cu cerintele de securitate a produselor cu componente digitale care sunt puse la dispozitie pe piata UE. Astfel, aceste norme vor fi benefice pentru consumatori si cetateni, precum si pentru intreprinderile care utilizeaza produse digitale, deoarece vor creste transparenta proprietatilor de securitate si vor promova increderea in produsele cu componente digitale si vor asigura o mai buna protectie a drepturilor lor fundamentale, cum ar fi protectia vietii private si a datelor.

Si in alte tari din intreaga lume legiuitorii au in vedere abordarea acestor aspecte, fiind astfel probabil ca Actul legislativ privind rezilienta cibernetica sa devina un reper international, dincolo de piata interna a UE. Standardele UE bazate pe Actul legislativ privind rezilienta cibernetica vor facilita punerea sa in aplicare si vor constitui un avantaj pentru industria securitatii cibernetice a UE pe pietele mondiale.

Propunerea de regulament se va aplica tuturor produselor care sunt conectate direct sau indirect la un alt dispozitiv sau la o retea. Se prevad o serie de exceptii pentru produsele carora li se aplica deja cerinte de securitate cibernetica stabilite in normele UE existente, de exemplu in ceea ce priveste dispozitivele medicale, aviatia sau automobilele.

Etapele urmatoare

Acum este randul Parlamentului European si al Consiliului sa examineze proiectul de act legislativ privind rezilienta cibernetica. Odata ce acesta va fi adoptat, operatorii economici si statele membre vor avea la dispozitie doi ani pentru a se adapta la noile cerinte. De la aceasta regula va face exceptie obligatia de raportare care le va reveni producatorilor pentru vulnerabilitatile exploatate in mod activ si pentru incidente, care ar urma sa se aplice deja la un an de la data intrarii in vigoare, deoarece aceasta obligatie necesita mai putine ajustari organizationale decat celelalte obligatii noi. Comisia va revizui periodic Actul european privind rezilienta cibernetica si va prezenta un raport cu privire la functionarea acestuia.

Securitatea cibernetica este una dintre principalele prioritati ale Comisiei si una dintre pietrele de temelie ale Europei digitale si conectate. Cresterea numarului de atacuri cibernetice pe durata crizei provocate de coronavirus a demonstrat cat de importanta este protejarea spitalelor, a centrelor de cercetare si a altor infrastructuri. Sunt necesare actiuni ferme in acest domeniu pentru a adapta economia si societatea UE la exigentele viitorului. Potrivit estimarilor, costurile anuale ale incalcarilor securitatii datelor sunt de cel putin 10 miliarde EUR, iar costurile anuale ale incercarilor rauvoitoare de a perturba traficul pe internet sunt estimate la cel putin 65 de miliarde EUR (Raportul de evaluare a impactului care insoteste documentul Regulamentul delegat al Comisiei de completare a Directivei privind echipamentele radio).

Noua strategie de securitate cibernetica, prezentata in decembrie 2020, a propus integrarea securitatii cibernetice in fiecare element al lantului de aprovizionare si corelarea intr-o mai mare masura a activitatilor si a resurselor UE in cadrul celor patru comunitati ale securitatii cibernetice - piata interna, asigurarea respectarii legii, sectorul diplomatiei si cel al apararii. Aceasta are ca punct de plecare abordarea UE privind conturarea viitorului digital al Europei si Strategia UE privind o uniune a securitatii si se bazeaza pe o serie de acte legislative, actiuni si initiative pe care UE le-a pus in aplicare pentru a consolida capacitatile in materie de securitate cibernetica si pentru a asigura o Europa mai rezilienta din punct de vedere cibernetic.

Noul Act privind rezilienta cibernetica va completa cadrul UE in materie de securitate cibernetica: Directiva privind securitatea retelelor si a sistemelor informatice (Directiva NIS), Directiva privind masuri pentru un nivel comun ridicat de securitate cibernetica in Uniune (Directiva NIS 2), care a fost aprobata recent de Parlamentul European si de Consiliu, si Regulamentul UE privind securitatea cibernetica.