Comisia a prezentat astăzi o propunere de nou act legislativ privind reziliența cibernetică prin care urmărește să protejeze consumatorii și întreprinderile împotriva produselor cu caracteristici de securitate necorespunzătoare, potrivit unui comunicat al instituției. Această legislație, prima de acest tip de la nivelul UE, introduce cerințe obligatorii de securitate cibernetică pentru produsele care au componente digitale, pe parcursul întregului ciclu de viață al acestora.
Actul legislativ, care a fost anunțat de președinta Ursula von der Leyen în septembrie 2021 în discursul privind starea Uniunii Europene și se bazează pe Strategia de securitate cibernetică a UE din 2020 și pe Strategia UE privind o uniune a securității din 2020, va oferi asigurarea că produsele digitale, cum ar fi produsele și software-urile cu sau fără fir, sunt mai securizate pentru consumatorii din întreaga UE: actul legislativ prevede că fabricanții vor avea obligații mai stricte în materie de responsabilitate, aceștia trebuind să furnizeze sprijin în materie de securitate și actualizări de software pentru a aborda vulnerabilitățile identificate, și, în plus, le va permite consumatorilor să dispună de suficiente informații cu privire la securitatea cibernetică a produselor pe care le cumpără și le utilizează.
„Actul european privind reziliența cibernetică va oferi asigurarea că obiectele și software-ul conectate pe care le cumpărăm oferă garanții solide în materie de securitate cibernetică. Acest act legislativ îi va trage la răspundere pe cei care sunt cu adevărat răspunzători, prin faptul că introduc produsele pe piață”, a declarat Margrethe Vestager, vicepreședinta executivă pentru o Europă pregătită pentru era digitală.
Recomandări Video
Articolul continuă mai jos
Potrivit comunicatului, măsurile propuse astăzi se bazează pe noul cadru legislativ pentru legislația UE privind produsele și vor stabili:
(a) norme privind introducerea pe piață a produselor cu componente digitale, menite să asigure securitatea cibernetică a acestor produse;
(b) cerințe esențiale pentru proiectarea, dezvoltarea și fabricarea produselor cu componente digitale și obligații pentru operatorii economici în ceea ce privește aceste produse;
(c) cerințe esențiale pentru procesele de gestionare a vulnerabilităților introduse de producători pentru a asigura securitatea cibernetică a produselor cu componente digitale pe parcursul întregului ciclu de viață, precum și obligații pentru operatorii economici în legătură cu aceste procese. Producătorii vor trebui, de asemenea, să raporteze vulnerabilitățile exploatate în mod activ și incidentele;
(d) norme privind monitorizarea pieței și asigurarea respectării normelor.
Noile norme vor reechilibra situația în ceea ce privește responsabilitatea, în sensul că aceasta va trebui să fie asumată într-o mai mare măsură de către producători. Aceștia vor trebui să asigure conformitatea cu cerințele de securitate a produselor cu componente digitale care sunt puse la dispoziție pe piața UE. Astfel, aceste norme vor fi benefice pentru consumatori și cetățeni, precum și pentru întreprinderile care utilizează produse digitale, deoarece vor crește transparența proprietăților de securitate și vor promova încrederea în produsele cu componente digitale și vor asigura o mai bună protecție a drepturilor lor fundamentale, cum ar fi protecția vieții private și a datelor.
Și în alte țări din întreaga lume legiuitorii au în vedere abordarea acestor aspecte, fiind astfel probabil ca Actul legislativ privind reziliența cibernetică să devină un reper internațional, dincolo de piața internă a UE. Standardele UE bazate pe Actul legislativ privind reziliența cibernetică vor facilita punerea sa în aplicare și vor constitui un avantaj pentru industria securității cibernetice a UE pe piețele mondiale.
Propunerea de regulament se va aplica tuturor produselor care sunt conectate direct sau indirect la un alt dispozitiv sau la o rețea. Se prevăd o serie de excepții pentru produsele cărora li se aplică deja cerințe de securitate cibernetică stabilite în normele UE existente, de exemplu în ceea ce privește dispozitivele medicale, aviația sau automobilele.
Etapele următoare
Acum este rândul Parlamentului European și al Consiliului să examineze proiectul de act legislativ privind reziliența cibernetică. Odată ce acesta va fi adoptat, operatorii economici și statele membre vor avea la dispoziție doi ani pentru a se adapta la noile cerințe. De la această regulă va face excepție obligația de raportare care le va reveni producătorilor pentru vulnerabilitățile exploatate în mod activ și pentru incidente, care ar urma să se aplice deja la un an de la data intrării în vigoare, deoarece această obligație necesită mai puține ajustări organizaționale decât celelalte obligații noi. Comisia va revizui periodic Actul european privind reziliența cibernetică și va prezenta un raport cu privire la funcționarea acestuia.
Context
Securitatea cibernetică este una dintre principalele priorități ale Comisiei și una dintre pietrele de temelie ale Europei digitale și conectate. Creșterea numărului de atacuri cibernetice pe durata crizei provocate de coronavirus a demonstrat cât de importantă este protejarea spitalelor, a centrelor de cercetare și a altor infrastructuri. Sunt necesare acțiuni ferme în acest domeniu pentru a adapta economia și societatea UE la exigențele viitorului. Potrivit estimărilor, costurile anuale ale încălcărilor securității datelor sunt de cel puțin 10 miliarde euro, iar costurile anuale ale încercărilor răuvoitoare de a perturba traficul pe internet sunt estimate la cel puțin 65 de miliarde euro (Raportul de evaluare a impactului care însoțește documentul Regulamentul delegat al Comisiei de completare a Directivei privind echipamentele radio).
Noua strategie de securitate cibernetică, prezentată în decembrie 2020, a propus integrarea securității cibernetice în fiecare element al lanțului de aprovizionare și corelarea într-o mai mare măsură a activităților și a resurselor UE în cadrul celor patru comunități ale securității cibernetice – piața internă, asigurarea respectării legii, sectorul diplomației și cel al apărării. Aceasta are ca punct de plecare abordarea UE privind conturarea viitorului digital al Europei și Strategia UE privind o uniune a securității și se bazează pe o serie de acte legislative, acțiuni și inițiative pe care UE le-a pus în aplicare pentru a consolida capacitățile în materie de securitate cibernetică și pentru a asigura o Europă mai rezilientă din punct de vedere cibernetic.
Noul Act privind reziliența cibernetică va completa cadrul UE în materie de securitate cibernetică: Directiva privind securitatea rețelelor și a sistemelor informatice (Directiva NIS), Directiva privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS 2), care a fost aprobată recent de Parlamentul European și de Consiliu, și Regulamentul UE privind securitatea cibernetică.