• Comisia a propus joi, 15 septembrie un nou act legislativ privind securitatea cibernetică la nivelul UE. 
  • Fabricanții vor avea obligații mai stricte în materie de responsabilitate, aceștia trebuind să furnizeze sprijin în materie de securitate și actualizări de software pentru a aborda vulnerabilitățile identificate.
  • La fiecare 11 secunde, undeva în lume, o organizaţie este ţinta atacurilor de tip ransomware.

Comisia Europeană a prezentat miercuri o propunere de nou act legislativ privind rezilienţa cibernetică prin care urmăreşte să protejeze consumatorii şi întreprinderile împotriva produselor cu caracteristici de securitate necorespunzătoare.

Această legislaţie, prima de acest tip de la nivelul UE, introduce cerinţe obligatorii de securitate cibernetică pentru produsele care au componente digitale, pe parcursul întregului ciclu de viaţă al acestora.

Actul legislativ, care a fost anunţat de preşedinta Ursula von der Leyen în septembrie 2021 în discursul privind starea Uniunii şi se bazează pe Strategia de securitate cibernetică a UE din 2020 şi pe Strategia UE privind o uniune a securităţii din 2020, va oferi asigurarea că produsele digitale, cum ar fi produsele şi software-urile cu sau fără fir, sunt mai securizate pentru consumatorii din întreaga UE: actul legislativ prevede că fabricanţii vor avea obligaţii mai stricte în materie de responsabilitate, aceştia trebuind să furnizeze sprijin în materie de securitate şi actualizări de software pentru a aborda vulnerabilităţile identificate, şi, în plus, le va permite consumatorilor să dispună de suficiente informaţii cu privire la securitatea cibernetică a produselor pe care le cumpără şi le utilizează.

Recomandări

CE DEVINE LUMEA?
PLANUL ARMATEI GERMANE
ROMÂNII SE TEM DE EȘEC
GATA DE RĂZBOI?
A ATINS O COARDĂ SENSIBILĂ
MANDAT DE ARESTARE

Margrethe Vestager, vicepreşedinta executivă pentru o Europă pregătită pentru era digitală, a declarat: „Merităm să ne simţim în siguranţă atunci când utilizăm produse cumpărate pe piaţa unică. La fel cum putem avea încredere într-o jucărie sau într-un frigider cu marcaj CE, Actul european privind rezilienţa cibernetică va oferi asigurarea că obiectele şi software-ul conectate pe care le cumpărăm oferă garanţii solide în materie de securitate cibernetică. Acest act legislativ îi va trage la răspundere pe cei care sunt cu adevărat răspunzători, prin faptul că introduc produsele pe piaţă.”

La fiecare 11 secunde, undeva în lume, o organizaţie este ţinta atacurilor de tip ransomware; se estimează că, la nivel mondial, costul anual al criminalităţii informatice s-a ridicat la 5,5 mii de miliarde EUR în 2021 [raportul Centrului Comun de Cercetare (2020): ,,Cybersecurity – Our Digital Anchor, a European perspective („Securitatea cibernetică – ancora noastră digitală, o perspectivă europeană”)]. În aceste condiţii, este mai important ca niciodată să se asigure un nivel ridicat de securitate cibernetică şi să se reducă vulnerabilităţile produselor digitale, care constituie una dintre principalele căi prin care pot reuşi atacurile. Un incident de securitate cibernetică care afectează un produs are un posibil impact asupra întregului lanţ de aprovizionare, putând duce la perturbări grave ale activităţilor economice şi sociale de pe piaţa internă, submina securitatea sau chiar pune în pericol vieţi omeneşti.

Măsurile propuse astăzi

Măsurile propuse astăzi se bazează pe noul cadru legislativ pentru legislaţia UE privind produsele şi vor stabili: norme privind introducerea pe piaţă a produselor cu componente digitale, menite să asigure securitatea cibernetică a acestor produse; cerinţe esenţiale pentru proiectarea, dezvoltarea şi fabricarea produselor cu componente digitale şi obligaţii pentru operatorii economici în ceea ce priveşte aceste produse; cerinţe esenţiale pentru procesele de gestionare a vulnerabilităţilor introduse de producători pentru a asigura securitatea cibernetică a produselor cu componente digitale pe parcursul întregului ciclu de viaţă, precum şi obligaţii pentru operatorii economici în legătură cu aceste procese. Producătorii vor trebui, de asemenea, să raporteze vulnerabilităţile exploatate în mod activ şi incidentele; norme privind monitorizarea pieţei şi asigurarea respectării normelor.

Noile norme vor reechilibra situaţia în ceea ce priveşte responsabilitatea, în sensul că aceasta va trebui să fie asumată într-o mai mare măsură de către producători. Aceştia vor trebui să asigure conformitatea cu cerinţele de securitate a produselor cu componente digitale care sunt puse la dispoziţie pe piaţa UE.

Etapele următoare

Astfel, aceste norme vor fi benefice pentru consumatori şi cetăţeni, precum şi pentru întreprinderile care utilizează produse digitale, deoarece vor creşte transparenţa proprietăţilor de securitate şi vor promova încrederea în produsele cu componente digitale şi vor asigura o mai bună protecţie a drepturilor lor fundamentale, cum ar fi protecţia vieţii private şi a datelor.

Şi în alte ţări din întreaga lume legiuitorii au în vedere abordarea acestor aspecte, fiind astfel probabil ca Actul legislativ privind rezilienţa cibernetică să devină un reper internaţional, dincolo de piaţa internă a UE. Standardele UE bazate pe Actul legislativ privind rezilienţa cibernetică vor facilita punerea sa în aplicare şi vor constitui un avantaj pentru industria securităţii cibernetice a UE pe pieţele mondiale.

Propunerea de regulament se va aplica tuturor produselor care sunt conectate direct sau indirect la un alt dispozitiv sau la o reţea. Se prevăd o serie de excepţii pentru produsele cărora li se aplică deja cerinţe de securitate cibernetică stabilite în normele UE existente, de exemplu în ceea ce priveşte dispozitivele medicale, aviaţia sau automobilele.

Parlamentul European şi Consiliul vor examina proiectul de act legislativ privind rezilienţa cibernetică. Odată ce acesta va fi adoptat, operatorii economici şi statele membre vor avea la dispoziţie doi ani pentru a se adapta la noile cerinţe. De la această regulă va face excepţie obligaţia de raportare care le va reveni producătorilor pentru vulnerabilităţile exploatate în mod activ şi pentru incidente, care ar urma să se aplice deja la un an de la data intrării în vigoare, deoarece această obligaţie necesită mai puţine ajustări organizaţionale decât celelalte obligaţii noi. Comisia va revizui periodic Actul european privind rezilienţa cibernetică şi va prezenta un raport cu privire la funcţionarea acestuia.