Πράξη για την ανθεκτικότητα στον κυβερνοχώρο: τα κράτη μέλη συμφωνούν κοινή θέση σχετικά με τις απαιτήσεις ασφάλειας για ψηφιακά προϊόντα

Προκειμένου να διασφαλιστεί ότι προϊόντα με ψηφιακά στοιχεία, όπως συνδεδεμένες οικιακές κάμερες, έξυπνα ψυγεία, τηλεοράσεις και παιχνίδια, είναι ασφαλή πριν από την είσοδό τους στην αγορά, οι εκπρόσωποι των κρατών μελών (Coreper) κατέληξαν σε κοινή θέση σχετικά με την προτεινόμενη νομοθεσία σχετικά με την οριζόντια ασφάλεια στον κυβερνοχώρο απαιτήσεις για προϊόντα με ψηφιακά στοιχεία ( cyber resilience act ).

Carme Artigas Brugal

Θα γιορτάσουμε τη συμφωνία που επιτεύχθηκε σήμερα στο Συμβούλιο. Μια συμφωνία που προάγει τη δέσμευση της ΕΕ για μια ασφαλή και ασφαλή ψηφιακή ενιαία αγορά. Το IoT και άλλα συνδεδεμένα αντικείμενα πρέπει να διαθέτουν ένα βασικό επίπεδο ασφάλειας στον κυβερνοχώρο όταν πωλούνται στην ΕΕ, διασφαλίζοντας ότι οι επιχειρήσεις και οι καταναλωτές προστατεύονται αποτελεσματικά από απειλές στον κυβερνοχώρο. Αυτό είναι ένα σημαντικό ορόσημο για την ισπανική Προεδρία και ελπίζουμε να προωθήσουμε όσο το δυνατόν περισσότερο τις διαπραγματεύσεις με το Κοινοβούλιο.

Carme Artigas Brugal, Υφυπουργός ψηφιοποίησης και τεχνητής νοημοσύνης

 

Στόχοι της πρότασης

Το σχέδιο κανονισμού εισάγει υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για το σχεδιασμό, την ανάπτυξη, την παραγωγή και τη διάθεση στην αγορά προϊόντων υλικού και λογισμικού για την αποφυγή επικάλυψης απαιτήσεων που απορρέουν από διαφορετικά νομοθετήματα στα κράτη μέλη της ΕΕ.

Ο προτεινόμενος κανονισμός θα ισχύει για όλα τα προϊόντα που συνδέονται είτε άμεσα είτε έμμεσα σε άλλη συσκευή ή δίκτυο. Υπάρχουν ορισμένες εξαιρέσεις για προϊόντα, για τα οποία οι απαιτήσεις κυβερνοασφάλειας ορίζονται ήδη στους υφιστάμενους κανόνες της ΕΕ, για παράδειγμα σε ιατρικές συσκευές, αερομεταφορές ή αυτοκίνητα.

Η πρόταση στοχεύει να καλύψει τα κενά, να αποσαφηνίσει τους συνδέσμους και να καταστήσει την υφιστάμενη νομοθεσία για την ασφάλεια στον κυβερνοχώρο πιο συνεκτική, διασφαλίζοντας ότι τα προϊόντα με ψηφιακά στοιχεία, για παράδειγμα προϊόντα «Διαδίκτυο των πραγμάτων» (IoT) , καθίστανται ασφαλή σε ολόκληρη την αλυσίδα εφοδιασμού και σε ολόκληρη την ολόκληρο τον κύκλο ζωής.

Τέλος, ο προτεινόμενος κανονισμός επιτρέπει επίσης στους καταναλωτές να λαμβάνουν υπόψη την ασφάλεια στον κυβερνοχώρο κατά την επιλογή και χρήση προϊόντων που περιέχουν ψηφιακά στοιχεία, παρέχοντας στους χρήστες τη δυνατότητα να κάνουν ενημερωμένες επιλογές προϊόντων υλικού και λογισμικού με τα κατάλληλα χαρακτηριστικά ασφάλειας στον κυβερνοχώρο.

Κύρια στοιχεία που διατηρούνται από την πρόταση της Επιτροπής

Η κοινή θέση του Συμβουλίου διατηρεί τη γενική ιδέα της πρότασης της Επιτροπής, συγκεκριμένα όσον αφορά:

  • κανόνες για την εξισορρόπηση της ευθύνης για τη συμμόρφωση έναντι των κατασκευαστών, οι οποίοι πρέπει να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις ασφαλείας των προϊόντων με ψηφιακά στοιχεία που διατίθενται στην αγορά της ΕΕ, συμπεριλαμβανομένων των υποχρεώσεων όπως η αξιολόγηση κινδύνου για την ασφάλεια στον κυβερνοχώρο, η δήλωση συμμόρφωσης και η συνεργασία με τις αρμόδιες αρχές
  • βασικές απαιτήσεις για τις διαδικασίες χειρισμού ευπάθειας για τους κατασκευαστές για τη διασφάλιση της κυβερνοασφάλειας των ψηφιακών προϊόντων και υποχρεώσεις για τους οικονομικούς φορείς, όπως εισαγωγείς ή διανομείς, σε σχέση με αυτές τις διαδικασίες
  • μέτρα για τη βελτίωση της διαφάνειας όσον αφορά την ασφάλεια των προϊόντων υλικού και λογισμικού για τους καταναλωτές και τους επιχειρησιακούς χρήστες και ένα πλαίσιο εποπτείας της αγοράς για την επιβολή αυτών των κανόνων

Τροπολογίες του Συμβουλίου

Ωστόσο, το κείμενο του Συμβουλίου τροποποιεί διάφορα μέρη της πρότασης της Επιτροπής, συμπεριλαμβανομένων των ακόλουθων πτυχών:

  • το πεδίο εφαρμογής της προτεινόμενης νομοθεσίας, μεταξύ άλλων όσον αφορά τις συγκεκριμένες κατηγορίες προϊόντων που θα πρέπει να συμμορφώνονται με τις απαιτήσεις του κανονισμού
  • Υποχρεώσεις αναφοράς ευάλωτων σημείων ή συμβάντων που έχουν εκμεταλλευτεί ενεργά στις αρμόδιες εθνικές αρχές («ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών» – CSIRT) αντί στον οργανισμό της ΕΕ για την ασφάλεια στον κυβερνοχώρο (ENISA) με τον τελευταίο να δημιουργεί μια ενιαία πλατφόρμα αναφοράς
  • στοιχεία για τον προσδιορισμό της αναμενόμενης διάρκειας ζωής του προϊόντος από τους κατασκευαστές
  • μέτρα στήριξης για μικρές και πολύ μικρές επιχειρήσεις
  • απλουστευμένη δήλωση συμμόρφωσης

Επόμενα βήματα

Η σημερινή συμφωνία για την κοινή θέση του Συμβουλίου («διαπραγματευτική εντολή») θα επιτρέψει στην ισπανική Προεδρία να αρχίσει διαπραγματεύσεις με το Ευρωπαϊκό Κοινοβούλιο (« τριμερείς διάλογοι» ) για την τελική έκδοση της προτεινόμενης νομοθεσίας.

Ιστορικό

Στα συμπεράσματά του της 2ας Δεκεμβρίου 2020 σχετικά με την ασφάλεια στον κυβερνοχώρο των συνδεδεμένων συσκευών, το Συμβούλιο υπογράμμισε τη σημασία της αξιολόγησης της ανάγκης για οριζόντια νομοθεσία μακροπρόθεσμα για την αντιμετώπιση όλων των σχετικών πτυχών της κυβερνοασφάλειας των συνδεδεμένων συσκευών, όπως η διαθεσιμότητα, η ακεραιότητα και η εμπιστευτικότητα. συμπεριλαμβανομένου του καθορισμού των όρων για τη διάθεση στην αγορά.

Ανακοινώθηκε για πρώτη φορά από την Πρόεδρο της Επιτροπής Von der Leyen στην ομιλία της για την κατάσταση της Ένωσης τον Σεπτέμβριο του 2021, η ιδέα αντικατοπτρίστηκε στα συμπεράσματα του Συμβουλίου της 23ης Μαΐου 2022 σχετικά με την ανάπτυξη της στάσης της Ευρωπαϊκής Ένωσης στον κυβερνοχώρο, τα οποία καλούσαν την Επιτροπή να προτείνει κοινή κυβερνοασφάλεια απαιτήσεις για συνδεδεμένες συσκευές έως το τέλος του 2022.

Στις 15 Σεπτεμβρίου 2022, η Επιτροπή ενέκρινε την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις οριζόντιες απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία και την τροποποίηση του κανονισμού (ΕΕ) 2019/1020 («πράξη για την ανθεκτικότητα στον κυβερνοχώρο»), ο οποίος θα συμπληρώσει το πλαίσιο της ΕΕ για την ασφάλεια στον κυβερνοχώρο: η οδηγία για την ασφάλεια των συστημάτων δικτύων και πληροφοριών (οδηγία NIS), η οδηγία για τα μέτρα για υψηλό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS 2) και ο νόμος της ΕΕ για την ασφάλεια στον κυβερνοχώρο.

19.7.2023