Euractiv: Институциите на ЕС финализират споразумение по законодателството за киберсигурност за свързани продукти
Политиците на Европейския съюз постигнаха политическо споразумение относно Закона за устойчивост на киберпространството, преодолявайки различията си по нерешените въпроси, предаде Euractiv.
Cyber Resilience Act е законодателно предложение за въвеждане на изисквания за сигурност за свързани устройства - от умни играчки до индустриални машини. Комисията, Парламентът и Съветът на ЕС уредиха окончателното разпореждане на закона на така наречената среща „триалог“, която се състоя на 30 ноември.
Както Euractiv очакваше, споразумението беше до голяма степен предварително подготвено на техническо ниво, като много аспекти на предложението бяха одобрени по време на политическата среща. Преговарящите от ЕС обаче разрешиха последните политически препятствия след няколко интензивни дискусии.
„Законът за устойчивост на киберпространството ще засили киберсигурността на свързаните продукти, като ще се справи с уязвимостите в хардуера и софтуера, превръщайки ЕС в по-безопасен и по-устойчив континент. Парламентът е защитил веригите за доставки, като гарантира, че ключови продукти като рутери и антивируси са идентифицирани като приоритет за киберсигурността“, каза водещият евродепутат Никола Данти пред Euractiv.
Обработка на уязвимости
Производителите на свързани устройства вече няма да могат да пускат продукти на пазара, ако знаят за значителни уязвимости, които могат да бъдат хакнати. Вместо това те ще трябва да се справят с тези потенциални входни точки веднага щом разберат за тях през предварително определен период на поддръжка.
Всеки път, когато производителите научат за инцидент със сигурността или за активно използване на уязвимост, те трябва да докладват за това и да информират компетентните органи за своите действия за намаляване на риска за сигурността.
Активно използваните уязвимости са изключително чувствителен тип разузнаване за киберзаплахи, тъй като входната точка за хакерите все още предстои да бъде коригирана. Следователно въпросът кой трябва да борави с тази чувствителна информация беше пречка точка в преговорите.
Съветът на министрите на ЕС премести тази задача от ENISA, агенцията на ЕС за киберсигурност, към националния екип за реагиране при инциденти с компютърната сигурност (CSIRTs), които имат подобна задача съгласно ревизираната Директива за мрежите и информационните системи (NIS2).
В същото време Европейският парламент настоя ENISA да бъде в течение и да се избягва предоставянето на твърде голяма свобода на преценка на националните органи при запазването на тази изключително чувствителна информация за себе си.
Компромисът беше открит в уведомлението, изпратено едновременно от производителите до компетентните CSIRT и ENISA чрез единна платформа за докладване. Страните от ЕС обаче прокараха идеята, че трябва да могат да ограничават информацията, изпращана до ENISA, от съображения за киберсигурност.
Условията за такива ограничения бяха обект на интензивни дискусии, в резултат на които се стигна до доста тесни условия. По-специално, CSIRT ще може да ограничи нотификацията, когато съответният продукт присъства предимно на местния пазар и не носи риск за други страни от ЕС.
Освен това националните органи няма да бъдат задължени да разкриват каквато и да е информация, която считат за необходима за защита на основните интереси на сигурността. Това предупреждение е в съответствие с договорите на ЕС.
Третото условие се прилага, ако самият производител вижда непосредствен риск в случай на по-нататъшно разпространение и го посочва в уведомлението.
На свой ред евродепутатите се сдобиха с това, че ENISA все пак ще получи известна информация, за да наблюдава всеки системен риск за единния пазар. Агенцията на ЕС ще бъде уведомена за съответния производител и продукт, заедно с обща информация за експлоатацията.
Друга точка, за която настояха парламентаристите, е формулировката, че ENISA трябва да получи достатъчно ресурси, за да се справи с новите задачи. Въпреки че това не влезе в закона, то ще бъде част от съвместна декларация на основните институции на ЕС.
Оригиналната статия е достъпна ТУК.