Akt dotyczący cyberodporności – konsultacje

Justyna Balcewicz Akt dot. cyberodporności (Cyber Resilience Act), Komisja Europejska, W toku negocjacji, Wszystkie wpisy

Trwają konsultacje publiczne Aktu dotyczącego cyberodporności. Propozycja legislacji odnosi się do cyberbezpieczeństwa produktów cyfrowych i usług pomocniczych. Akt został zapowiedziany przez KE w 2021 r., a publikacja pierwszego projektu przewidziana jest na trzeci kwartał 2022r. 

Kontekst polityczny

Akt dot. cyberodporności został zapowiedziany przez przewodniczącą KE, Ursulę von der Leyen, w orędziu o stanie Unii w 2021r. Przewodnicząca podkreśliła, że UE musi dążyć do zajęcia pozycji lidera w cyberbezpieczeństwie. Szczególnie, że ilość cyberataków wciąż rośnie, a straty nimi spowodowane w 2020 roku wynosiły 5,5 bln euro – dwukrotnie więcej niż w roku 2015[1].

Powstanie nowych przepisów zapowiedziano również w Strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę z 2020r. Przepisy miały obejmować połączone z siecią produkty i usługi towarzyszące, wprowadzane na rynek zewnętrzny. Akt dot. cyberodporności obejmuje zarówno materialne produkty cyfrowe (przewodowe i bezprzewodowe, takie jak: czujniki i kamery, karty elektroniczne, urządzenia mobilne i sieciowe: routery i przełączniki) jak i usługi pomocnicze (np. oprogramowanie niewbudowane, czyli takie, które można udostępnić bez sprzętu komputerowego) i odnosi się do całego cyklu życia produktu. 

Założenia Aktu dot. cyberodporności

Akt dot. cyberodporności ma przyczynić się do wzrostu bezpieczeństwa produktów cyfrowych i usług pomocniczych. W środowisku połączonym z siecią incydent, występujący w jednym produkcie, może zakłócić cały łańcuch dostaw. To z kolei prowadzi do utrudnień w działalności gospodarczej i społecznej. Producenci sprzętu, twórcy oprogramowania i dystrybutorzy często nie dbają o odpowiednie zabezpieczenia dla produktów i usług cyfrowych. Jest to spowodowane wieloma przyczynami. Po pierwsze, chęcią jak najszybszego wprowadzenia produktu na rynek. Po drugie, brakiem wykwalifikowanych specjalistów, którzy mogliby zaproponować rozwiązania z zakresu cyberbezpieczeństwa. A po trzecie, próbą obniżenia kosztów. Jednoczesny brak zachęt gospodarczych nie przyczynia się do zwiększenia motywacji producentów. Niestety, wydatki na cyberbezpieczeństwo wydają się być niepotrzebnymi do czasu, gdy dojdzie do cyberataku. Nie istnieje również podejście monitorowania podatności w całym cyklu życia produktu. Informacje na ten temat nie są przekazywane konsumentom, więc nie mają oni możliwości ocenić poziomu bezpieczeństwa produktów i usług, z których korzystają.

Obecne ramy prawne UE obejmują jedynie niektóre aspekty związane z cyberbezpieczeństwem produktów i usług cyfrowych. Nie dotyczą również wszystkich rodzajów produktów cyfrowych (np. sprzętów nieobjętych zakresem dyrektywy w sprawie urządzeń radiowych, czy rozporządzenia w sprawie wyrobów medycznych), a także usług (np. oprogramowania niewbudowanego).

Warianty strategiczne

KE rozważa następujące warianty strategiczne:

  1. Utrzymanie status quo.
  2. Wprowadzenie środków dobrowolnych (np. systemów certyfikacji).
  3. Interwencje doraźne – modyfikacja istniejących przepisów, np. uwzględnienie nowych rodzajów ryzyka.
  4. Podejście mieszane – horyzontalna interwencja regulacyjna w połączeniu z podejściem etapowym w postaci środków prawa miękkiego (wytyczne, zalecenia itp.).
  5. Horyzontalna interwencja regulacyjna w postaci aktu prawnego.

Wprowadzenie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów cyfrowych i usług pomocniczych poprawi poziom bezpieczeństwa w całym łańcuchu dostaw w UE. Przełoży się także na wybory konsumenckie, a obywatele będą mogli większy wybór towarów i usług o wyższej jakości pod względem cyberbezpieczeństwa. Zwiększy się więc zaufanie do gospodarki cyfrowej, przyczyni do wzrostu gospodarczego i inwestycji.  

Konsultacje publiczne

Do 25 maja 2022r. trwają konsultacje publiczne Aktu dot. cyberodporności. Zapraszamy do wzięcia udziału: TUTAJ. Pierwsza propozycja aktu prawnego zapowiadana jest na trzeci kwartał 2022r.

PODSUMOWANIE:

  • Akt dot. cyberodporności został zapowiedziany przez przewodniczącą KE, Ursulę von der Leyen, w orędziu o stanie Unii w 2021r, a także w Strategii UE w zakresie cyberbezpieczeństwa na cyfrową dekadę z 2020r.
  • Akt dot. cyberodporności obejmuje zarówno materialne produkty cyfrowe (przewodowe i bezprzewodowe, takie jak: czujniki i kamery, karty elektroniczne, urządzenia mobilne i sieciowe: routery i przełączniki) jak i usługi pomocnicze (np. oprogramowanie niewbudowane, czyli takie, które można udostępnić bez sprzętu komputerowego) i odnosi się do całego cyklu życia produktu. 
  • KE rozważa 5 wariantów strategicznych: od pozostawienia status quo do horyzontalnej interwencji regulacyjnej.
  • Pierwsza propozycja Aktu zapowiadana jest na trzeci kwartał 2022r. Do 25 maja trwają konsultacje publiczne. Zapraszamy do wzięcia udziału: TUTAJ.

[1] JRC, Wspólne Centrum Badawcze Cybersecurity – our digital Anchor 2020 [„Cyberbezpieczeństwo – nasza kotwica w cyberprzestrzeni, 2020”] https://publications.jrc.ec.europa.eu/repository/handle/JRC121051

Zobacz także: