Komisja Europejska przedstawiła w czwartek (15.09.22) tzw. akt o cyberodporności, czyli nowe przepisy o bezpieczeństwie produktów cyfrowych. Regulacje m.in. zobowiążą producentów do lepszego zabezpieczania produktów cyfrowych trafiających na unijny rynek. Mowa tu zarówno o smartfonach, sprzęcie komputerowym, kamerach internetowych, zabawkach połączonych z siecią, jak i inteligentnych sprzętach AGD, bo coraz częściej europejscy konsumenci inwestują w lodówki, pralki, piekarniki czy ekspresy do kawy, którymi można sterować zdalnie np. za pomocą telefonu.

Przestarzałe regulacje

Dotychczas unijne przepisy nie nakładały na producentów obowiązku specjalnego zabezpieczania tego typu sprzętów. Co prawda w UE obowiązuje dyrektywa o ogólnym bezpieczeństwie produktów (aktualnie trwają prace nad jej nowelizacją), ale przyjęte 21 lat temu przepisy nie wzięły pod uwagę tempa transformacji cyfrowej, toteż są już zwyczajnie przestarzałe. – W dyrektywie nie ma przepisów dotyczących produktów cyfrowych. Tymczasem w erze Internetu rzeczy niemal wszyscy jesteśmy połączeni w sieci, a to w przypadku np. ataków hakerskich niesie za sobą poważne ryzyko. Nowe regulacje zamkną tę lukę – mówił podczas czwartkowej konferencji prasowej wiceprzewodniczący KE Margaritis Schinas.

– Wykradanie danych z sieci odbywa się dzisiaj na ogromną skalę – wtórował mu komisarz UE ds. rynku wewnętrznego Thierry Breton. – Czy mamy pewność, że producenci sprzętów chronią nas przed tym zagrożeniem? Spójrzmy choćby na domowe kamery cyfrowe, które są często wykorzystywane np. do monitorowania tego, co pod naszą nieobecność robią w domu dzieci czy zwierzęta. Czy faktycznie mamy pewność, że zgromadzone na nich dane nie trafią w niepowołane ręce? – przekonywał Breton.

Bezpieczne już na etapie projektu

Teraz to ma się zmienić. Zgodnie z nowymi przepisami wszystkie towary cyfrowe trafiające do sklepów w UE będą musiały spełniać obowiązkowe wymogi cyberbezpieczeństwa, w przeciwnym wypadku nie będą mogły trafić do sprzedaży. Producenci i projektanci będą musieli spełnić wymogi dotyczące cyberbezpieczeństwa już na etapie planowania, projektowania, produkcji, dystrybucji, jak i serwisowania urządzeń cyfrowych. Wszystkie podatności urządzenia na ataki będą musiały być dokumentowane, producenci będą musieli również na bieżąco informować o wszelkich próbach czy przypadkach zhakowania produktów. Będą również zobowiązani do tego, żeby zapewnić bezpieczeństwo danego produktu przez cały okres jego żywotności lub przez okres pięciu lat (w zależności od tego, który upłynie szybciej) np. za pomocą stosownego oprogramowania, aktywnego usuwania podatności lub luk w systemie bezpieczeństwa i udostępnienia aktualizacji zabezpieczeń przez okres minimum pięciu lat. Konsumenci będą musieli także zostać wyposażeni w wyraźne instrukcje dotyczące użytkowania produktów cyfrowych.

Nowe regulacje zobowiążą producentów do lepszego zabezpieczania produktów cyfrowych trafiających na unijny rynek

Regulacje obejmą niemal wszystkie sprzęty łączone z siecią, zarówno bezpośrednio, jak i za pomocą innego urządzenia. Z przepisów wyłączone zostały te produkty, wobec których w unijnej legislacji istnieją już odpowiednie przepisy dotyczące cyberbezpieczeństwa. Mowa tu m.in. o aparaturze medycznej, samolotach czy samochodach.

Atak co 11 sekund

Szacuje się, że na świecie co 11 sekund dochodzi o ataku ransomware - to złośliwe oprogramowanie, które blokuje dostęp do urządzenia lub znajdujących się na nim danych, te są zwykle odblokowywane dopiero po opłaceniu przez zaatakowanego okupu. W 2021 r. aż 77 proc. polskich firm miało paść ofiarą tego typu ataku. Straty spowodowane przez hakerów wyceniono w zeszłym roku na 20 mld euro; walka cyberprzestępczością jako taką kosztowała globalnie aż 5,5 bilionów euro. Tymczasem, jak ostrzegają unijni urzędnicy, fala cyberataków rośnie. – Pandemia COVID-19 zintensyfikowała to zjawisko, zwłaszcza że wiele usług przeniosło się do sieci, np. zdalne nauczanie. Odnotowaliśmy w UE wiele przypadków ataków na instytucje finansowe i ośrodki zdrowia, gdzie zgromadzone zostały ogromne bazy danych obywateli.

Komisja Europejska nie ukrywa, że ma nadzieję na pozycję światowego lidera w zakresie cyberbezpieczeństwa produktów. – Podczas gdy inne jurysdykcje na całym świecie analizują możliwości rozwiązania kwestii bezpieczeństwa produktów cyfrowych, nasze przepisy odpowiadają na te pytania. Unijne regulacje mają szansę stać się punktem odniesienia, wykraczającym poza rynek wewnętrzny UE – zapewniał komisarz Schinas.

Przepisy będą musiały teraz zostać formalnie zaakceptowane przez Parlament Europejski i Radę, ale KE już teraz zapewnia, że to jedynie formalność. – Jest wola ze strony pozostałych ustawodawców – mówił w czwartek Thierry Breton.