Comisia a propus joi, 15 septembrie un nou act legislativ privind securitatea cibernetică la nivelul UE. Fabricanții vor avea obligații mai stricte în materie de responsabilitate, aceștia trebuind să furnizeze sprijin în materie de securitate și actualizări de software pentru a aborda vulnerabilitățile identificate.
Actul legislativ, care a fost anunțat de președinta Comisiei Europene, Ursula von der Leyen, în septembrie 2021, prevede obligații mai stricte pentru producătorii de echipamente digitale și o mai bună informare a consumatorilor cu privire la securitatea cibernetică a produselor pe care le cumpără și le utilizează.
- „La fiecare 11 secunde, undeva în lume, o organizație este ținta atacurilor de tip ransomware; se estimează că, la nivel mondial, costul anual al criminalității informatice s-a ridicat la 5,5 mii de miliarde euro în 2021. În aceste condiții, este mai important ca niciodată să se asigure un nivel ridicat de securitate cibernetică și să se reducă vulnerabilitățile produselor digitale, care constituie una dintre principalele căi prin care pot reuși atacurile.”, spune Comisia Europeană.
Ransomware-ul este un malware (software malițios) ce împiedică accesul la fișiere, sau chiar la întregul sistem informatic infectat, până la plata unei „recompense” (ransom).
Măsurile propuse astăzi vor stabili:
- (a) norme privind introducerea pe piață a produselor cu componente digitale, menite să asigure securitatea cibernetică a acestor produse;
- (b) cerințe esențiale pentru proiectarea, dezvoltarea și fabricarea produselor cu componente digitale și obligații pentru operatorii economici în ceea ce privește aceste produse;
- (c) cerințe esențiale pentru procesele de gestionare a vulnerabilităților introduse de producători pentru a asigura securitatea cibernetică a produselor cu componente digitale pe parcursul întregului ciclu de viață, precum și obligații pentru operatorii economici în legătură cu aceste procese. Producătorii vor trebui, de asemenea, să raporteze vulnerabilitățile exploatate în mod activ și incidentele;
- (d) norme privind monitorizarea pieței și asigurarea respectării normelor.
Propunerea de regulament se va aplica tuturor produselor care sunt conectate direct sau indirect la un alt dispozitiv sau la o rețea. Se prevăd o serie de excepții pentru produsele cărora li se aplică deja cerințe de securitate cibernetică stabilite în normele UE existente, de exemplu în ceea ce privește dispozitivele medicale, aviația sau automobilele.
- Etapele următoare
Acum este rândul Parlamentului European și al Consiliului să examineze proiectul de act legislativ privind reziliența cibernetică. Odată ce acesta va fi adoptat, operatorii economici și statele membre vor avea la dispoziție doi ani pentru a se adapta la noile cerințe.
De la această regulă va face excepție obligația de raportare care le va reveni producătorilor pentru vulnerabilitățile exploatate în mod activ și pentru incidente, care ar urma să se aplice deja la un an de la data intrării în vigoare, deoarece această obligație necesită mai puține ajustări organizaționale decât celelalte obligații noi.
Comisia va revizui periodic Actul european privind reziliența cibernetică și va prezenta un raport cu privire la funcționarea acestuia.
