Przewodnicząca Komisji Europejskiej Ursula von der Leyen ogłosiła w środę (15 września) ustawę Cyber Resilience Act, której celem jest ustanowienie wspólnych standardów cyberbezpieczeństwa dla urządzeń podłączonych do sieci.

„Nie możemy mówić o obronie, nie mówiąc o cyber”, powiedziała von der Leyen w swoim dorocznym przemówieniu o stanie Unii w Parlamencie. „Jeśli wszystko jest połączone, wszystko może zostać zhakowane” - dodała zauważając, że rosnąca liczba połączonych urządzeń zwiększa również podatność na cyberataki. Według von der Leyen, szybkie rozprzestrzenianie się technologii cyfrowych ułatwiło nadużywanie kontroli i władzy „przez nieuczciwe państwa lub grupy niepaństwowe” w celu zakłócenia infrastruktury krytycznej, takiej jak administracja publiczna i szpitale. „A biorąc pod uwagę, że zasoby są ograniczone, musimy łączyć nasze siły. I nie powinniśmy być zadowoleni tylko z tego, że zajmujemy się zagrożeniem cybernetycznym, powinniśmy również dążyć do tego, aby stać się liderem w dziedzinie cyberbezpieczeństwa” - powiedziała von der Leyen.

Proponowane przepisy zwiększyłyby normy dotyczące zasad cyberbezpieczeństwa i promowałyby „bardziej bezpieczny sprzęt i oprogramowanie”. Ustawa ma na celu wyeliminowanie podatności na cyberbezpieczeństwo w produktach i lepsze informowanie użytkowników o właściwych produktach w celu zwiększenia bezpieczeństwa. Po wprowadzeniu akt prawny wprowadzi dla producentów oprogramowania i sprzętu wymóg poprawy bezpieczeństwa ich produktów od fazy projektowania poprzez cykl życia. Producenci muszą zapewnić, że przez przewidywany okres użytkowania produktu lub przez pięć lat po wprowadzeniu na rynek, w zależności od tego, który z tych okresów jest krótszy, podatności są skutecznie obsługiwane. Producenci będą musieli powiadomić Agencję UE ds. Bezpieczeństwa Cybernetycznego (ENISA) w ciągu 24 godzin, jeśli dowiedzą się o jakiejkolwiek aktywnie wykorzystywanej luce w produkcie lub o jakimkolwiek incydencie mającym wpływ na bezpieczeństwo.

Inicjatywa Komisji stanowi uzupełnienie istniejącego wniosku dotyczącego dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych, znanej powszechnie jako dyrektywa NIS2. NIS2 rozszerza zakres poprzedniej dyrektywy, podnosząc wymogi cyberbezpieczeństwa dla usług cyfrowych wykorzystywanych w krytycznych sektorach gospodarki i społeczeństwa. Tak więc oba akty prawne są komplementarne. Podczas gdy NIS2 zajmuje się bezpieczeństwem krytycznych łańcuchów dostaw, urządzenia podłączone do internetu (zwłaszcza IoT) są ślepym punktem w arsenale cyberbezpieczeństwa UE. Nie ma europejskiego standardu dotyczącego zabezpieczeń urządzeń IT. Wiele osób chciałoby mieć inteligentny dom, najchętniej bez ponoszenia dużych kosztów, tymczasem im urządzenie tańsze, tym zwykle trudniej je odpowiednio zabezpieczyć przed atakiem hakerskim. Każda inteligenta lodówka czy pralka to potencjalna uchylona furtka dla cyberprzestępców.

Z danych unijnej Agencji Bezpieczeństwa Cybernetycznego (ENISA) wynika, że w 2021 r. globalne ransomware osiągnęło szkody o wartości około 20 mld euro. O pilności problemu świadczy również fakt, że w 2021 r. atak ransomware w przedsiębiorstwach miał miejsce mniej więcej co 11 sekund.

Właśnie te zagrożenia zostały pokazane w Hackable Home, projekcie prowadzonym przez grupę kampanijną o nazwie Euroconsumers, która zilustrowała poprzez etyczne hakowanie, jak większość inteligentnych urządzeń domowych nie posiada nawet podstawowych standardów cyberbezpieczeństwa.

Wcześniej przed takim niebezpieczeństwem ostrzegały organizacje konsumenckie w UE, np. Euroconsumers i DigitalEurope podnosząc m.in. kwestię, że istniejące przepisy dotyczące bezpieczeństwa produktów nie określiły obowiązków w zakresie cyberbezpieczeństwa dla urządzeń podłączonych do sieci.

Oprogramowanie jako usługa (SaaS), objęte dyrektywą NIS2, nie będzie podlegać CRA, podobnie jak wolne i otwarte oprogramowanie, jeśli nie jest tworzone lub dostarczane do użytku komercyjnego.

Po przyjęciu rozporządzenia podmioty gospodarcze i państwa członkowskie będą miały dwa lata na dostosowanie się do nowych wymogów. Obowiązek zgłaszania aktywnie wykorzystywanych podatności i incydentów będzie obowiązywał już po 12 miesiącach.

W swojej strategii cyberbezpieczeństwa Komisja stwierdziła, że zamierza opracować europejską usługę resolwera DNS, DNS4EU, ale propozycja ta nie została jeszcze zdefiniowana.

UE liczy, że dzięki rozporządzeniu CRA konsumenci będą mogli bardziej zaufać produktom, a samo rozporządzenie stanie się punktem odniesienia dla innych tego typu aktów prawnych na całym świecie. Jak to ujęła Margrethe Vestager, Europejska Komisarz ds. Konkurencji, „Zasługujemy na to, aby czuć się bezpiecznie z produktami, które kupujemy na jednolitym rynku. Tak jak możemy zaufać zabawce lub lodówce z oznakowaniem CE, tak ustawa o odporności cybernetycznej zagwarantuje, że kupowane przez nas przedmioty i oprogramowanie podłączone do sieci będą spełniały rygorystyczne zabezpieczenia w zakresie bezpieczeństwa cybernetycznego. Dzięki niej odpowiedzialność będzie spoczywać tam, gdzie należy - na tych, którzy wprowadzają produkty na rynek”.