Comisia Europeană anunţă noi norme de securitate cibernetică pentru produse hardware şi software mai sigure

 

Această legislaţie, prima de acest tip de la nivelul UE, introduce cerinţe obligatorii de securitate cibernetică pentru produsele care au componente digitale, pe parcursul întregului ciclu de viaţă al acestora.

 

Actul legislativ, care a fost anunţat de preşedintele Ursula von der Leyen în septembrie 2021 în discursul privind starea Uniunii Europene şi se bazează pe Strategia de securitate cibernetică a UE din 2020 şi pe Strategia UE privind o uniune a securităţii din 2020, va oferi asigurarea că produsele digitale, cum ar fi produsele şi software-urile cu sau fără fir, sunt mai securizate pentru consumatorii din întreaga UE: actul legislativ prevede că fabricanţii vor avea obligaţii mai stricte în materie de responsabilitate, aceştia trebuind să furnizeze sprijin în materie de securitate şi actualizări de software pentru a aborda vulnerabilităţile identificate, şi, în plus, le va permite consumatorilor să dispună de suficiente informaţii cu privire la securitatea cibernetică a produselor pe care le cumpără şi le utilizează.

 

"Merităm să ne simţim în siguranţă atunci când utilizăm produse cumpărate pe piaţa unică. La fel cum putem avea încredere într-o jucărie sau într-un frigider cu marcaj CE, Actul european privind rezilienţa cibernetică va oferi asigurarea că obiectele şi software-ul conectate pe care le cumpărăm oferă garanţii solide în materie de securitate cibernetică. Acest act legislativ îi va trage la răspundere pe cei care sunt cu adevărat răspunzători, prin faptul că introduc produsele pe piaţă", a declarat Margrethe Vestager, vicepreşedintele executiv pentru o Europă pregătită pentru era digitală.

 

La fiecare 11 secunde, undeva în lume, o organizaţie este ţinta atacurilor de tip ransomware; se estimează că, la nivel mondial, costul anual al criminalităţii informatice s-a ridicat la 5,5 mii de miliarde de euro în 2021 [raportul Centrului Comun de Cercetare (2020): "Securitatea cibernetică - ancora noastră digitală, o perspectivă europeană"). În aceste condiţii, este mai important ca niciodată să se asigure un nivel ridicat de securitate cibernetică şi să se reducă vulnerabilităţile produselor digitale, care constituie una dintre principalele căi prin care pot reuşi atacurile. Avem din ce în ce mai multe produse inteligente şi conectate, iar un incident de securitate cibernetică care afectează un produs are un posibil impact asupra întregului lanţ de aprovizionare, putând duce la perturbări grave ale activităţilor economice şi sociale de pe piaţa internă, submina securitatea sau chiar pune în pericol vieţi omeneşti.

 

Măsurile propuse se bazează pe noul cadru legislativ pentru legislaţia UE privind produsele şi vor stabili: norme privind introducerea pe piaţă a produselor cu componente digitale, menite să asigure securitatea cibernetică a acestor produse, cerinţe esenţiale pentru proiectarea, dezvoltarea şi fabricarea produselor cu componente digitale şi obligaţii pentru operatorii economici în ceea ce priveşte aceste produse şi norme privind monitorizarea pieţei şi asigurarea respectării normelor.

 

De asemenea, vor fi stabilite cerinţe esenţiale pentru procesele de gestionare a vulnerabilităţilor introduse de producători pentru a asigura securitatea cibernetică a produselor cu componente digitale pe parcursul întregului ciclu de viaţă, precum şi obligaţii pentru operatorii economici în legătură cu aceste procese. Producătorii vor trebui, de asemenea, să raporteze vulnerabilităţile exploatate în mod activ şi incidentele.

 

Noile norme vor reechilibra situaţia în ceea ce priveşte responsabilitatea, în sensul că aceasta va trebui să fie asumată într-o mai mare măsură de către producători. Aceştia vor trebui să asigure conformitatea cu cerinţele de securitate a produselor cu componente digitale care sunt puse la dispoziţie pe piaţa UE. Astfel, aceste norme vor fi benefice pentru consumatori şi cetăţeni, precum şi pentru întreprinderile care utilizează produse digitale, deoarece vor creşte transparenţa proprietăţilor de securitate şi vor promova încrederea în produsele cu componente digitale şi vor asigura o mai bună protecţie a drepturilor lor fundamentale, cum ar fi protecţia vieţii private şi a datelor.

 

Şi în alte ţări din întreaga lume legiuitorii au în vedere abordarea acestor aspecte, fiind astfel probabil ca Actul legislativ privind rezilienţa cibernetică să devină un reper internaţional, dincolo de piaţa internă a UE. Standardele UE bazate pe Actul legislativ privind rezilienţa cibernetică vor facilita punerea sa în aplicare şi vor constitui un avantaj pentru industria securităţii cibernetice a UE pe pieţele mondiale.

 

Propunerea de regulament se va aplica tuturor produselor care sunt conectate direct sau indirect la un alt dispozitiv sau la o reţea. Se prevăd o serie de excepţii pentru produsele cărora li se aplică deja cerinţe de securitate cibernetică stabilite în normele UE existente, de exemplu în ceea ce priveşte dispozitivele medicale, aviaţia sau automobilele.