Akt o cyberodporności

Rada i Parlament Unii Europejskiej osiągają porozumienie w sprawie wymogów bezpieczeństwa produktów cyfrowych.

Prezydencja Rady i negocjatorzy z ramienia Parlamentu Europejskiego osiągnęli wstępne porozumienie w sprawie proponowanych przepisów o cyberbezpieczeństwie produktów z elementami cyfrowymi, które mają zapewnić bezpieczeństwo produktów takich jak podłączone do sieci kamery domowe, lodówki, telewizory i zabawki przed wprowadzeniem ich do obrotu (akt o cyberodporności).

- Dzisiejsze porozumienie jest kamieniem milowym na drodze do bezpiecznego jednolitego rynku cyfrowego w Europie. Urządzenia podłączone do internetu muszą zapewniać podstawowy poziom cyberbezpieczeństwa, gdy są sprzedawane w UE, aby zapewnić przedsiębiorstwom i konsumentom odpowiednią ochronę przed zagrożeniami cybernetycznymi. To jest dokładnie to, co osiągnie akt o odporności cybernetycznej po jego wejściu w życie - Jmówi osé Luis Escrivá, hiszpański minister transformacji cyfrowej.

Nowe przepisy wprowadzają ogólnounijne wymogi w zakresie cyberbezpieczeństwa w zakresie projektowania, opracowywania, produkcji i udostępniania na rynku sprzętu i oprogramowania, aby uniknąć nakładania się wymogów wynikających z różnych aktów prawnych w państwach członkowskich UE.

Rozporządzenie będzie miało zastosowanie do wszystkich produktów, które są podłączone bezpośrednio lub pośrednio do innego urządzenia lub do sieci. Istnieją pewne wyjątki dotyczące produktów, w odniesieniu do których wymogi w zakresie cyberbezpieczeństwa są już określone w obowiązujących przepisach UE, na przykład wyrobów medycznych, produktów lotniczych i samochodów.

Wniosek ma na celu wypełnienie luk, wyjaśnienie powiązań i zwiększenie spójności obowiązujących przepisów dotyczących cyberbezpieczeństwa, zapewniając bezpieczeństwo produktów z komponentami cyfrowymi, na przykład produktów "internetu rzeczy" (IoT), w całym łańcuchu dostaw i w całym cyklu życia.

Ponadto rozporządzenie umożliwi konsumentom uwzględnianie cyberbezpieczeństwa przy wyborze i użytkowaniu produktów zawierających elementy cyfrowe, co ułatwi im identyfikację sprzętu i oprogramowania z odpowiednimi funkcjami cyberbezpieczeństwa.

Główna myśl wniosku Komisji została zachowana

Wstępnie uzgodniony tekst podtrzymuje ogólną myśl wniosku Komisji, a mianowicie w odniesieniu do:

• przepisy mające na celu zrównoważenie odpowiedzialności za zgodność z przepisami w stosunku do producentów, którzy muszą wypełniać określone obowiązki, takie jak przeprowadzanie ocen ryzyka w cyberprzestrzeni, wydawanie deklaracji zgodności i współpraca z właściwymi organami
• procesy postępowania z podatnościami dla producentów w celu zapewnienia cyberbezpieczeństwa produktów cyfrowych oraz obowiązki podmiotów gospodarczych, takich jak importerzy lub dystrybutorzy, w odniesieniu do tych procesów
• środki mające na celu zwiększenie przejrzystości w zakresie bezpieczeństwa sprzętu komputerowego i oprogramowania dla konsumentów i użytkowników biznesowych
• ramy nadzoru rynku w celu egzekwowania przepisów.

Główne poprawki współprawodawców

Współprawodawcy proponują jednak różne zmiany w częściach wniosku Komisji, głównie w odniesieniu do:

• zakres proponowanego prawodawstwa, z prostszą metodyką klasyfikacji produktów cyfrowych, które mają zostać objęte nowym rozporządzeniem.
• określenie oczekiwanego cyklu życia produktu przez producentów: chociaż nadal obowiązuje zasada, że okres wsparcia dla produktu cyfrowego odpowiada jego oczekiwanemu cyklowi życia, wskazuje się okres wsparcia wynoszący co najmniej pięć lat, z wyjątkiem produktów, co do których oczekuje się, że będą używane przez krótszy okres
• obowiązki sprawozdawcze dotyczące aktywnie wykorzystywanych podatności i incydentów: pierwszymi odbiorcami takich zgłoszeń będą właściwe organy krajowe, ale rola Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) zostanie wzmocniona
• Nowe przepisy będą obowiązywać trzy lata po wejściu w życie ustawy, co powinno dać producentom wystarczająco dużo czasu na dostosowanie się do nowych wymogów
• Uzgodniono dodatkowe środki wsparcia dla małych przedsiębiorstw i mikroprzedsiębiorstw, w tym konkretne działania w zakresie podnoszenia świadomości i szkolenia, a także wsparcie dla procedur badań i oceny zgodności.

Następne kroki

Po dzisiejszym wstępnym porozumieniu w najbliższych tygodniach kontynuowane będą prace na szczeblu technicznym, aby sfinalizować szczegóły nowego rozporządzenia. Po zakończeniu prac prezydencja hiszpańska przedłoży kompromisowy tekst przedstawicielom państw członkowskich (Coreperowi) do zatwierdzenia.

Cały tekst będzie musiał zostać zatwierdzony przez obie instytucje i poddany weryfikacji prawno-językowej przed formalnym przyjęciem przez współprawodawców.

Tło

W konkluzjach z 2 grudnia 2020 r. w sprawie cyberbezpieczeństwa urządzeń podłączonych do internetu Rada podkreśliła, jak ważne jest, by ocenić, czy w perspektywie długoterminowej potrzebne są przepisy horyzontalne, które uwzględnią wszystkie istotne aspekty cyberbezpieczeństwa urządzeń podłączonych do internetu, takie jak dostępność, integralność i poufność, w tym określą warunki wprowadzania do obrotu.

Akt o cyberodporności, zapowiedziany po raz pierwszy przez przewodniczącą Komisji Ursulę von der Leyen w orędziu o stanie Unii we wrześniu 2021 r., został wspomniany w konkluzjach Rady z 23 maja 2022 r. w sprawie rozwoju cyberpostawy Unii Europejskiej, w których wezwano Komisję do przedłożenia wniosku do końca 2022 r.

15 września 2022 r. Komisja przedłożyła wniosek dotyczący aktu w sprawie cyberodporności, który uzupełni istniejące unijne ramy cyberbezpieczeństwa: dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji), dyrektywę w sprawie środków na rzecz wysokiego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2) oraz unijny akt o cyberbezpieczeństwie.

• Akt o cyberodporności (mandat negocjacyjny Rady) (19 lipca 2023)
• Rozporządzenie o zharmonizowanych wymogach w zakresie cyberbezpieczeństwa produktów z elementami cyfrowymi (akt o cyberodporności) (wniosek Komisji z 15 września 2022)
• Twoje życie online

oprac, e-mk ppr.pl; źródło: