Нов законодателен акт на ЕС ще гарантира базово ниво на киберсигурност

Нов законодателен акт на ЕС ще гарантира базово ниво на киберсигурност

Тиери Бретон в X: Another deal! ✅2️⃣5️⃣
Thirdverse
Тиери Бретон в X: Another deal! ✅2️⃣5️⃣
Съветът на Европейския съюз и Европейският парламент постигнаха споразумение относно изискванията за сигурност за цифровите продукти на Законодателния акт за киберустойчивост. Същевременно съзаконодателите договориха различни корекции на части от предложението на комисията, основно във връзка със:
  • обхвата на предложения законодателен акт, който предвижда опростена методика за класифициране на цифровите продукти, които ще бъдат обхванати от новия регламент
  • определянето на очаквания експлоатационен срок на продукта от производителите: посочва се минимален петгодишен срок за поддръжка, освен за продуктите, които се очаква да се ползват за по-кратък срок
  • задълженията за докладване за активно използвани уязвимости и инциденти: ролята на Агенцията на ЕС за киберсигурност се засилва, макар че компетентните национални органи първи ще получават този вид доклади
  • срока на прилагането на новите правила: три години след влизането в сила на законодателния акт, за да имат производителите достатъчно време да се адаптират към новите изисквания
  • договарянето на допълнителни мерки за подкрепа на малките предприятия и микропредприятията, включително специални дейности за повишаване на осведомеността и обучение, както и подкрепата за процедурите за изпитване и оценяване на съответствието.
Въпреки че действащото законодателство в областта на вътрешния пазар се прилага към някои продукти с цифрови елементи, повечето хардуерни и софтуерни продукти понастоящем не са обхванати от никакво законодателство на ЕС, занимаващо се с тяхната киберсигурност.
Регламентът ще се прилага за всички продукти, които са свързани пряко или непряко с друго устройство или с мрежа. Предвидени са някои изключения за продукти, за които вече са установени изисквания за киберсигурност в съществуващите правила на ЕС, например относно медицинските изделия, въздухоплавателните продукти и автомобилите.
След постигането на днешното предварително споразумение през следващите седмици ще продължи работата на техническо равнище за финализиране на подробностите по новия регламент. След това Испанското председателство (на Съвета на ЕС, което приключва в края на 2023 г.) ще представи компромисния текст на представителите на държавите членки за одобрение - целият текст ще трябва да бъде утвърден от двете институции.
The #CyberResilienceAct guarantees robust cybersecurity of digital devices in the EU from their conception throughout their lifecycle.
Cybersecurity "by design" for the security of both consumers and society at large! pic.twitter.com/hz717h3Y0h
- Thierry Breton (@ThierryBreton) November 30, 2023
Още едно споразумение!
#CyberResilienceAct гарантира стабилна киберсигурност на цифровите устройства в ЕС от тяхното замисляне през целия им жизнен цикъл.
Киберсигурност "по дизайн" за сигурността както на потребителите, така и на обществото като цяло! - написа еврокомисарят по вътрешния пазар Тиери Бретон в X на първи декември.
Първоначално обявен от председателя Фон дер Лайен в речта ѝ за състоянието на съюза през септември 2021 г., Законодателният акт за киберустойчивост бе представен от комисията на 15 септември 2022 г. като допълващ действащата рамката на ЕС за киберсигурност. В обхвата ѝ влизат още Директивата за мрежова и информационна сигурност (МИС), Директивата относно мерки за високо ниво на киберсигурност в съюза (МИС 2) и Актът на ЕС за киберсигурността.
Точно преди три години Съветът на ЕС публикува заключения по темата, в които отбелязва, че е важно да се оцени необходимостта от хоризонтално законодателство в дългосрочен план, което да обхваща всички съответни аспекти на киберсигурността на свързаните устройства, като например наличност, интегритет и поверителност, включително уточняване на условията за пускане на пазара.
В обяснителния меморандум на ЕК към предложението за законодателен акт са изтъкнати многобройните примери за кибератаки в резултат на неоптимална защита на продуктите, като например
  • криптовирусът червей WannaCry, който използва уязвимост на Windows, засегна 200 хил. компютъра в 150 държави през 2017 г. и нанесе щети за милиарди долари;
  • атаката на веригата за доставки Kaseya VSA, при която чрез софтуера за мрежово администриране на Kaseya бяха атакувани над 1000 дружества и верига супермаркети беше принудена да затвори всичките си 500 магазина в Швеция;
  • многобройните инциденти, при които банкови приложения стават обект на хакерска атака с цел да бъдат откраднати пари от нищо неподозиращи потребители.
В предложението на ЕК са предложени следните финансови санкции:
  • Неспазването на съществените изисквания за киберсигурност подлежи на административни глоби в размер до 15 млн. евро или ако нарушителят е дружество, до 2.5% от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по-висока.
  • Неспазването на всякакви други изисквания съгласно регламента подлежи на административни глоби в размер до 10 млн. евро или, ако нарушителят е дружество, до 2% от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по- висока.
  • Предоставянето на неправилна, непълна или подвеждаща информация в отговор на искане от нотифицираните органи и органите за надзор на пазара подлежи на административни глоби в размер до 5 млн. евро или, ако нарушителят е дружество, до 1% от общия му годишен световен оборот за предходната финансова година, в зависимост от това коя от двете суми е по- висока.
Всяка държава членка определя правила за това дали и до каква степен могат да бъдат налагани административни глоби на публични органи и структури, установени в тази държава членка.
Законодателния акт (тъй като е регламент, а не директива) ще бъде задължителен в своята цялост и ще се прилага пряко във всички държави членки.