UE va consolida garanțiile de securitate cibernetică pentru industrie cu noul Act privind rezistența cibernetică
Știm cu toții că amenințările cu care se confruntă societatea din cauza încălcărilor securității cibernetice sunt foarte reale. Forumul Economic Mondial (WEF) a constatat că securitatea cibernetică este unul dintre primele zece riscuri pentru întreprinderile globale în acest moment, iar UE ia foarte în serios amenințarea securității cibernetice, scrie David Harmon pe blogul Huawei.
Actul UE de securitate cibernetică din 2019 a introdus un nou cadru european de certificare a securității cibernetice, asigurând că toate statele membre ale UE înființează centre dedicate de securitate cibernetică. NIS2 – Directiva UE privind securitatea rețelelor și a informațiilor, care tocmai a fost aprobată de instituțiile UE, introduce noi procese pentru a evalua riscul lanțului de aprovizionare în Europa.
În discursul său despre starea unirii de la Strasbourg, pe 15 septembrie 2021, președintele Comisiei Europene, Ursula Von Der Leyen, a anunțat că va fi introdus un nou Act privind rezistența cibernetică (CRA) în 2022. În conformitate cu acest angajament politic, este acum se așteaptă pe scară largă ca Comisia Europeană să anunțe prevederile acestui nou Act privind rezistența cibernetică (CRA) în trimestrul IV 2022. Aceasta urmează consultării publice privind CRA care a fost instituită de Comisia Europeană și care s-a încheiat la 25 mai 2022. Multe părțile interesate din domeniul securității cibernetice, inclusiv Huawei, au răspuns la această consultare publică importantă a UE.
Multe părți interesate din domeniul securității cibernetice, inclusiv Huawei, au răspuns la această consultare publică importantă a UE.
Elemente cheie probabile ale Actului de reziliență cibernetică (CRA)
Obiectivul principal al CRA este de a introduce garanții comune de securitate cibernetică pentru produsele digitale care vor fi vândute în cele 27 de state membre ale UE. Probabilitatea mare este ca atât produsele digitale hardware, cât și software-ul să cadă sub incidența prevederilor CRA. Se anticipează că atât produsele digitale tangibile cu fir, cât și fără fir vor intra și în domeniul de aplicare al CRA. Într-un sens practic, aceasta înseamnă că routerele DSL, camerele IP conectate și smartphone-urile sunt exemple de produse care vor intra în condițiile CRA.
Multe discuții despre CRA se vor referi la ce niveluri de software încorporat, software neîncorporat și servicii auxiliare conexe vor face parte din CRA. Calculatoarele din vehicul sunt prin natura lor software încorporat, iar aplicațiile pentru telefon și software-ul de editare a telefonului sunt exemple de software neîncorporat. În esență, CRA impune obligații producătorilor și nu consumatorilor. Comisia Europeană poate include cerințe de dezvăluire a vulnerabilităților în cadrul CRA, în conformitate cu clauze similare prevăzute în directiva NIS2.
În esență, CRA impune obligații producătorilor și nu consumatorilor.
Pe parcursul următoarelor 18 luni, Comisia Europeană, Parlamentul European și Consiliul UE (reprezentând cele 27 de state membre ale UE) vor dezvălui exact detaliile finite cu privire la produsele specifice care vor fi acoperite de CRA. De exemplu, serviciile cloud auxiliare ar putea intra sub incidența prevederilor CRA. Se anticipează că componentele pasive, cum ar fi adaptoarele, hardware-ul și software-ul open source care nu sunt legate de aplicații comerciale, vor fi scutite de aplicabilitatea CRA.
CRA va face lanțurile de aprovizionare mai rezistente și va îmbunătăți securitatea cibernetică atât pentru companii, cât și pentru consumatori. Legislația UE până în prezent s-a concentrat în primul rând pe aspectele legate de siguranță ale produselor și a abordat doar problemele de securitate cibernetică într-un mod periferic. ARC va remedia acest dezechilibru în cadrul legislativ general al UE privind securitatea cibernetică.
Provocări cheie pentru viitorul CRA
Companiile doresc certitudine în afaceri. Este foarte important ca prevederile CRA să nu se suprapună cu legislația UE existentă, cum ar fi Legea privind securitatea cibernetică sau Directiva privind echipamentele radio (RED). CRA trebuie implementat în cele 27 de state membre ale UE într-o manieră transparentă, unificată și nediscriminatorie și în cooperare cu organizații internaționale de standardizare de top. Acest lucru va oferi întreprinderilor din Europa siguranța de care au nevoie pentru a se asigura că au o înțelegere clară și explicită a modului în care CRA va fi implementată într-un sens practic în UE. O astfel de abordare unificată va asigura că integritatea pieței interne a UE va fi, de asemenea, susținută și protejată în orice moment. Piața internă a UE este angajată pentru libera circulație a produselor în cele 27 de state membre ale Uniunii Europene.
Mai mult, companiile trebuie să cunoască specificațiile tehnice exacte care vor trebui respectate pentru a asigura respectarea cerințelor de conformitate CRA. Cu alte cuvinte, ce trebuie să facă o companie pentru a-și asigura o insignă de aprobare a UE care afirmă că anumite produse respectă cele mai înalte standarde de securitate cibernetică? Pentru produsele cu risc ridicat, va fi necesară evaluarea conformității de la terți sau chiar va trebui să fie asigurată o certificare din partea autorităților naționale. Aceasta este o chestiune complexă din simplul motiv că produsele se pot schimba în timpul ciclului de viață respectiv, complicând astfel problemele de răspundere și responsabilitatea utilizatorului. Vor exista cerințe de securitate cibernetică în temeiul CRA atât înainte, cât și după plasarea pe piață.
Transformarea digitală este un motor al inovației. Cadrele de reglementare și politici trebuie să asigure că cele mai inovatoare produse și servicii sunt capabile să ajungă pe piață. Textele finale convenite ale Actului de reziliență cibernetică (CRA) trebuie să garanteze că procesele de inovare pentru societate nu sunt afectate negativ. Este de așteptat ca acordul final privind prevederile CRA să fie încheiat de Parlamentul European, Consiliul UE și de Comisia Europeană în jurul trimestrului IV 2023 / T1 2024. Cele 27 de state membre ale UE vor avea apoi alte 18-24 luni pentru a transpune CRA în legislația națională respectivă.