Europos Komisija pateikė pasiūlymą dėl naujo Kibernetinio atsparumo akto, kuriuo siekiama vartotojus ir įmones apsaugoti nuo produktų, kuriuose neįdiegtos tinkamos apsaugos priemonės. Šiuo pirmuoju tokiu ES masto teisės aktu nustatomi skaitmeninių elementų turinčių produktų kibernetinio saugumo reikalavimai, kuriuos privaloma tenkinti visą tų produktų gyvavimo ciklą.
Pasaulyje kas 11 sekundžių prieš vieną ar kitą organizaciją yra įvykdomas išpuolis naudojant išpirkos reikalavimo programinę įrangą, o pasaulinės metinės su kibernetiniais nusikaltimais susijusios išlaidos 2021 m. pasiekė 5,5 trln. EUR (Jungtinio tyrimų centro ataskaita „Cybersecurity – Our Digital Anchor, a European perspective“, 2020). Todėl dabar kaip niekad svarbu užtikrinti aukštą kibernetinio saugumo lygį ir sumažinti skaitmeninių produktų pažeidžiamumą, kuris yra vienas iš pagrindinių sėkmingų išpuolių veiksnių. Daugėjant išmaniųjų ir susietųjų produktų, su kuriuo nors vienu iš jų susijęs kibernetinis incidentas gali paveikti visą tiekimo grandinę – tai gali smarkiai sutrikdyti ekonominę ir socialinę veiklą visoje vidaus rinkoje, pakenkti saugumui ar net sukelti pavojų gyvybei.
Šiandien pasiūlytomis priemonėmis, parengtomis remiantis ES gaminius reglamentuojančia naująja teisės aktų sistema, bus nustatyta:
- skaitmeninių elementų turinčių produktų pateikimo rinkai taisyklės, kuriomis siekiama užtikrinti jų kibernetinį saugumą;
- esminiai reikalavimai, vykdytini projektuojant, kuriant ir gaminant skaitmeninių elementų turinčius produktus, ir su tais produktais susijusios ekonominės veiklos vykdytojų pareigos;
- esminiai reikalavimai, susiję su pažeidžiamumo problemų sprendimo procesais, kuriuos turi nustatyti gamintojai, kad užtikrintų skaitmeninių elementų turinčių produktų kibernetinį saugumą visu jų gyvavimo ciklu, ir su tais procesais susijusios ekonominės veiklos vykdytojų pareigos. Gamintojai taip pat turės pranešti apie saugumo spragas, kuriomis aktyviai naudojamasi, ir incidentus;
- rinkos priežiūros ir vykdymo užtikrinimo taisyklės.
Naujosiomis taisyklėmis bus padidinta gamintojų atsakomybė – jie turės užtikrinti ES rinkai teikiamų skaitmeninių elementų turinčių produktų atitiktį saugumo reikalavimams. Todėl jos bus naudingos vartotojams, piliečiams ir skaitmeninius produktus naudojančioms įmonėms, nes padės užtikrinti skaidresnį informavimą apie saugumo savybes, didinti pasitikėjimą skaitmeninių elementų turinčiais produktais ir geriau apsaugoti pagrindines jų teises, kaip antai teisę į privatumą ir duomenų apsaugą.
Nors kiti jurisdikciją turintys viso pasaulio subjektai taip pat svarsto, kaip spręsti šiuos klausimus, tikėtina, kad Kibernetinio atsparumo aktas taps tarptautiniu atskaitos tašku ir bus svarbus ne tik ES vidaus rinkoje. Pagal Kibernetinio atsparumo aktą parengti ES standartai padės jį įgyvendinti ir bus naudingi ES kibernetinio saugumo pramonei pasaulinėse rinkose.
Siūlomas reglamentas bus taikomas visiems produktams, tiesiogiai ar netiesiogiai susietiems su kitais įrenginiais ar tinklu. Numatyta ir tam tikrų išimčių, susijusių su produktais, kurių kibernetinio saugumo reikalavimai jau nustatyti galiojančiose ES taisyklėse (pavyzdžiai – medicinos priemonės, aviacijos produktai, automobiliai).
Europos Komisijos narių citatos:
Už prie skaitmeninio amžiaus prisitaikiusią Europą atsakinga vykdomoji Europos Komisijos pirmininkės pavaduotoja Margrethe Vestager sakė: „Nusipelnome jaustis saugūs dėl bendrojoje rinkoje perkamų produktų. Lygiai taip, kaip CE ženklu garantuojamas žaislo ar šaldytuvo patikimumas, Kibernetinio atsparumo aktu bus užtikrinta, kad mūsų perkami susietieji daiktai ir programinė įranga būtų apsaugoti griežtomis kibernetinio saugumo priemonėmis. Šiuo aktu atsakomybė bus priskirta tiems, kurie ir turi ją prisiimti, – pateikiantiesiems produktus rinkai.“
Už europinės gyvensenos propagavimą atsakingas Europos Komisijos pirmininkės pavaduotojas Margaritis Schinas kalbėjo: „Kibernetinio atsparumo aktas – mūsų atsakas į šiuolaikines mūsų skaitmeninėje visuomenėje tarpstančias grėsmes saugumui. ES pirmoji sukūrė kibernetinio saugumo ekosistemą nustatydama taisykles, susijusias su ypatingos svarbos infrastruktūra, pasirengimu kibernetinėms grėsmėms bei reagavimu į jas ir kibernetinio saugumo produktų sertifikavimu. Šiandien šią ekosistemą papildome trūkstamu elementu – aktu, kuriuo bus užtikrinta, kad visi saugiai jaustumėmės namuose, kad saugios jaustųsi įmonės ir kad saugus būtų kiekvienas susietasis produktas. Kibernetinis saugumas jau nebe pramonės, o visuomenės reikalas.“
Už vidaus rinką atsakingas Europos Komisijos narys Thierry Bretonas teigė: „Kibernetinio saugumo srityje Europa stipri tik tiek, kiek stipri jos silpniausia grandis, nesvarbu ar tai būtų pažeidžiama valstybė narė, ar nesaugus į tiekimo grandinę patekęs produktas. Kompiuteriai, telefonai, buitiniai prietaisai, virtualiosios pagalbos įrenginiai, automobiliai, žaislai – bet kuris iš šių šimtų milijonų susietųjų produktų yra potencialus įsilaužimo per kibernetinį išpuolį taškas. Nepaisant to, daugumai aparatinės ir programinės įrangos produktų šiuo metu netaikomi jokie kibernetinio saugumo įpareigojimai. Kibernetinio atsparumo akte nustatyti integruotojo kibernetinio saugumo reikalavimai padės apsaugoti Europos ekonomiką ir užtikrinti mūsų kolektyvinį saugumą.“
Tolesni veiksmai
Dabar Kibernetinio atsparumo akto projektą turi išnagrinėti Europos Parlamentas ir ES Taryba. Kai šis aktas bus priimtas, ekonominės veiklos vykdytojai ir ES valstybės narės prie naujųjų reikalavimų turės prisitaikyti per dvejus metus. Išimtis – gamintojams nustatyta pareiga pranešti apie saugumo spragas, kuriomis aktyviai naudojamasi, ir incidentus; ji bus pradėta taikyti anksčiau, praėjus vieniems metams nuo akto įsigaliojimo dienos, nes tam, kad būtų galima ją vykdyti, reikės mažiau organizacinių pakeitimų, palyginti su kitomis naujomis pareigomis. Europos Komisija reguliariai peržiūrės Kibernetinio atsparumo aktą ir teiks jo veikimo ataskaitas.
Daugiau informacijos
Išsamūs duomenys
- Paskelbimo data
- 2022 m. rugsėjo 15 d.
- Autorius
- Atstovybė Lietuvoje