На всеки 11 секунди атаки със софтуер за изнудване засягат по една организация в света, ЕС с първи по рода си закон за киберустойчивост

Предложение за нов законодателен акт за киберустойчивост с цел защита на потребителите и предприятията от продукти с недостатъчни защитни функции представи Европейската комисия днес. Това е първо по рода си законодателство за целия ЕС, което въвежда задължителни изисквания за киберсигурност за продуктите с цифрови елементи през целия им жизнен цикъл.

Актът, обявен от председателя Урсула фон дер Лайен през септември 2021 г. по време на речта ѝ за състоянието на Европейския съюз и основан на Стратегията на ЕС за киберсигурност от 2020 г. и Стратегията на ЕС за Съюза на сигурност от 2020 г., ще гарантира, че цифровите продукти, като безжични и жични продукти и софтуер, са по-сигурни за потребителите в целия ЕС.

В допълнение към увеличаването на отговорността на производителите чрез задължаването им да предоставят поддръжка в областта на сигурността и актуализации на софтуера с цел преодоляване на установените уязвими места, актът ще даде възможност на потребителите да разполагат с достатъчна информация относно киберсигурността на продуктите, които купуват и използват.

Маргрете Вестегер, изпълнителен заместник-председател с ресор „Европа, подготвена за цифровата ера“, заяви: „Заслужаваме да се чувстваме в безопасност по отношение на продуктите, които купуваме на единния пазар. Точно както можем да се доверим на играчка или хладилник с маркировка „СЕ“, законодателният акт за киберустойчивост ще гарантира, че свързаните предмети и софтуер, които купуваме, отговарят на строги гаранции за киберсигурност. С него отговорността отива там, където ѝ е мястото – сред онези, които пускат продуктите на пазара.“

Заместник-председателят Маргаритис Схинас, отговарящ за утвърждаването на европейския начин на живот, каза: „Законодателният акт за киберустойчивост е нашият отговор на съвременните заплахи за сигурността, които вече присъстват масово в нашето цифрово общество. ЕС е пионер в създаването на екосистема за киберсигурност чрез правила относно критичната инфраструктура, готовността и реакцията в областта на киберсигурността и сертифицирането на продукти в областта на киберсигурността. Днес завършваме тази екосистема чрез акт, който осигурява сигурност в дома на всички, във всички наши предприятия и във всеки свързан продукт. Киберсигурността е въпрос от сферата на обществото, а не само на промишлеността.“

Комисарят по въпросите на вътрешния пазар Тиери Бретон подчерта: „Що се отнася до киберсигурността, Европа е толкова силна, колкото най-слабото ѝ звено: Независимо дали това е уязвима държава членка или опасен продукт по веригата на доставки. Компютри, телефони, домакински уреди, устройства за виртуална помощ, автомобили, играчки – всеки един от тези стотици милиони свързани продукти е потенциална входна точка за кибератака. И въпреки това днес повечето от хардуерните и софтуерните продукти не подлежат на никакви задължения в областта на киберсигурността. С въвеждането на киберсигурност още при проектирането законодателният акт за киберустойчивост ще спомогне за защитата на европейската икономика и на нашата колективна сигурност.“

При положение, че на всеки 11 секунди атаки със софтуер за изнудване засягат по една организация в света, и че очакваните годишни загуби от киберпрестъпления в световен мащаб достигат 5,5 трилиона евро през 2021 г. (Доклад на Съвместния изследователски център (2020 г.): “Киберсигурността – Нашата цифрова котва, Европейска перспектива”), гарантирането на високо равнище на киберсигурност и намаляването на уязвимостта на цифровите продукти — един от основните начини за успешни атаки — са по-важни от всякога. С увеличаването на интелигентните и свързаните продукти един инцидент, свързан с киберсигурността на даден продукт, може да окаже въздействие върху цялата верига на доставки, което евентуално да доведе до сериозни смущения в икономическите и социалните дейности в целия вътрешен пазар, подкопаване на сигурността или дори да бъде животозастрашаващо.

Нови изисквания за създаването на цифрови продукти

Предложените днес мерки се основават на новата законодателна рамка за законодателство на ЕС в областта на продуктите и ще определят:

• правила за пускането на пазара на продукти с цифрови елементи, за да се гарантира тяхната киберсигурност;
• съществените изисквания за проектирането, разработването и производството на продукти с цифрови елементи и задълженията на икономическите оператори във връзка с тези продукти;
• съществените изисквания за процесите за справяне с уязвимостта, въведени от производителите, за да се гарантира киберсигурността на продуктите с цифрови елементи през целия жизнен цикъл, и задълженията на икономическите оператори във връзка с тези процеси. Производителите също така ще трябва да докладват активно за използваните уязвими места и за инциденти;
• правила за надзор на пазара и правоприлагане.

Може ли да се превърнат в международен еталон за киберустойчивост

Новите правила ще уравновесят отговорността, като я прехвърлят към производителите, които трябва да гарантират съответствие с изискванията за сигурност на продуктите с цифрови елементи, предоставяни на пазара на ЕС. В резултат на това правилата ще бъдат от полза за потребителите и гражданите, както и за предприятията, използващи цифрови продукти, тъй като ще се подобри прозрачността на свързаните със сигурността свойства и ще се повиши доверието в продуктите с цифрови елементи, както и ще се осигури по-добра защита на основните права, като например неприкосновеността на личния живот и защитата на данните.

Въпреки че други юрисдикции по света се стремят да разглеждат тези въпроси, законодателният акт за киберустойчивост вероятно ще се превърне в международен еталон извън рамките на вътрешния пазар на ЕС. Стандартите на ЕС, основани на законодателния акт за киберустойчивост, ще улеснят неговото прилагане и ще бъдат предимство на световните пазари за свързаната с киберсигурността промишленост на ЕС.

Предложеният регламент ще се прилага за всички продукти, които са свързани пряко или косвено с друго устройство или мрежа. Съществуват някои изключения за продукти, за които изискванията за киберсигурност вече са определени в съществуващите правила на ЕС, например относно медицинските изделия, въздухоплаването или автомобилите.

Предстои ЕП и Съветът ще разгледат новия законодателен акт за киберустойчивост

Сега Европейският парламент и Съветът трябва да разгледат проекта за законодателен акт за киберустойчивост. След като той бъде приет стопанските субекти и държавите членки ще разполагат с 2 години, за да се адаптират към новите изисквания. Изключение от това правило е задължението на производителите да докладват за активно използвани уязвими места и инциденти, което ще се прилага още от една година след датата на влизане в сила, тъй като това изисква по-малко организационни нагаждания в сравнение с другите нови задължения. Комисията редовно ще прави преглед на законодателния акт за киберустойчивост и ще докладва за неговото функциониране.

Контекст
Киберсигурността е един от основните приоритети на Комисията и крайъгълен камък на цифровата и свързана Европа. Увеличаването на броя на кибератаките по време на кризата с коронавируса показа колко е важно да се защитят болниците, научноизследователските центрове и другите видове инфраструктура. В тази област са необходими решителни действия, за да се осигури съобразена с бъдещето защита на икономиката и обществото на ЕС. Оценява се, че стойността на нарушенията на сигурността на данните възлиза на най-малко 10 милиарда евро годишно, а загубите от злонамерени опити за прекъсване на трафика в интернет се оценяват на най-малко 65 милиарда евро годишно (Доклад за оценка на въздействието, придружаващ Делегирания регламент на Комисията за допълване на Делегирания регламент за радиосъоръженията).

В стратегията за киберсигурност, представена през декември 2020 г., се предлага киберсигурността да бъде интегрирана във всеки елемент от веригата на доставки и да се обединят дейностите и ресурсите на ЕС в четирите общности на киберсигурността – вътрешния пазар, правоприлагането, дипломацията и отбраната. Тази стратегия се основава на виждането за Изграждане на цифровото бъдеще на Европа и на Стратегията на ЕС за Съюза на сигурност и се опира на редица законодателни актове, действия и инициативи, които ЕС е приложил с цел да заздрави капацитета си в областта на киберсигурността и да гарантира по-устойчива в кибернетичен план Европа.

Новият законодателен акт за киберустойчивост ще допълни рамката на ЕС за киберсигурност: Директивата относно сигурността на мрежите и информационните системи (Директивата за МИС), Директивата относно мерки за високо общо ниво на киберсигурност в Съюза (Директивата за МИС 2), която наскоро беше одобрена от Европейския парламент и Съвета, и Акта на ЕС за киберсигурността.