- της Νατάσας Φραγκούλη
Μια νέα σήμανση τύπου «CE», η οποία θα πιστοποιεί ότι όλα τα ασύρματα και ενσύρματα ψηφιακά προϊόντα, αλλά και το λογισμικό, συμμορφώνονται με ισχυρές απαιτήσεις κυβερνοασφάλειας, εισάγει η Ευρωπαϊκή Ένωση. Στο πλαίσιο αυτό, η Επιτροπή υπέβαλε πρόταση για μια νέα Πράξη για την Κυβερνοανθεκτικότητα, με σκοπό την προστασία καταναλωτών και επιχειρήσεων από προϊόντα με ανεπαρκή χαρακτηριστικά ασφάλειας.
Πρόκειται για μια -πρώτη στο είδος της πανευρωπαϊκά- νομοθεσία, η οποία θεσπίζει υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία και μάλιστα καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Μέσω της νομοθεσίας, η ευθύνη για την ψηφιακή ασφάλεια των προϊόντων και του λογισμικού σε όλη τη διάρκεια του κύκλου ζωής τους μεταφέρεται στους κατασκευαστές, που τα διαθέτουν στην αγορά.
Η νέα νομοθεσία θα διασφαλίσει ότι τα ψηφιακά προϊόντα και το λογισμικό θα είναι ασφαλέστερα για τους καταναλωτές σε ολόκληρη την ΕΕ. Επιπλέον, φιλοδοξία της Ένωσης είναι -εφόσον είναι εφικτό- να αποτελέσει διεθνές σημείο αναφοράς, πέραν της εσωτερικής αγοράς.
Όσον αφορά τα επόμενα βήματα, πλέον το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο πρέπει να εξετάσουν το σχέδιο της Πράξης για την Κυβερνοανθεκτικότητα. Μόλις εγκριθεί, οι οικονομικοί φορείς και τα κράτη-μέλη θα έχουν στη διάθεσή τους δύο έτη για να προσαρμοστούν.
Βροχή παραβάσεων
Η Ευρώπη αποδίδει τεράστια σημασία στο θέμα της κυβερνοασφάλειας και όχι άδικα: οι επιθέσεις ransomware πλήττουν μια εταιρεία ανά 11 δευτερόλεπτα σε όλο τον κόσμο. Το δε εκτιμώμενο ετήσιο κόστος του κυβερνοεγκλήματος φθάνει τα 5,5 τρισ. ευρώ (2021).
Υπό αυτά τα δεδομένα, η εγγύηση υψηλού επιπέδου κυβερνοασφάλειας και η μείωση των τρωτών σημείων των ψηφιακών προϊόντων είναι πιο σημαντική από ποτέ. «Με την ανάπτυξη των έξυπνων και συνδεδεμένων προϊόντων, ένα περιστατικό κυβερνοασφάλειας σε ένα προϊόν μπορεί να έχει αντίκτυπο σε ολόκληρη την αλυσίδα εφοδιασμού, προκαλώντας ενδεχομένως σοβαρή διαταραχή στις οικονομικές και κοινωνικές δραστηριότητες σε ολόκληρη την εσωτερική αγορά, υπονομεύοντας την ασφάλεια ή ακόμη και απειλώντας την ανθρώπινη ζωή» αναφέρει η Ευρωπαϊκή Επιτροπή.
Η ευθύνη στον κατασκευαστή
Με την Πράξη για την κυβερνοανθεκτικότητα, που ανακοινώθηκε από την Πρόεδρο, Ούρσουλα φον ντερ Λάιεν, τον Σεπτέμβριο του 2021, η ευθύνη για την ψηφιακή ασφάλεια θα μεταφερθεί στους κατασκευαστές. Αυτοί είναι που πρέπει να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις ασφάλειας των προϊόντων με ψηφιακά στοιχεία που διατίθενται στην αγορά της ΕΕ.
Εκτός από την αύξηση της ευθύνης των κατασκευαστών, με την επιβολή της υποχρέωσης παροχής υποστήριξης για ζητήματα ασφάλειας και έκδοσης ενημερώσεων του λογισμικού για την αντιμετώπιση προσδιορισμένων τρωτών σημείων, η Πράξη θα επιτρέψει στους καταναλωτές να έχουν επαρκείς πληροφορίες σχετικά με την κυβερνοασφάλεια των προϊόντων που αγοράζουν και χρησιμοποιούν.
Πού θα εφαρμόζεται
Οι υπολογιστές, τα τηλέφωνα, οι οικιακές συσκευές, οι εικονικές συσκευές υποστήριξης, τα αυτοκίνητα, τα παιχνίδια… καθένα από αυτά τα εκατοντάδες εκατομμύρια συνδεδεμένα προϊόντα αποτελεί δυνητικό σημείο εισόδου για μια κυβερνοεπίθεση. Ωστόσο, σήμερα τα περισσότερα προϊόντα υλισμικού και λογισμικού δεν υπόκεινται σε υποχρεώσεις κυβερνοασφάλειας.
Ο προτεινόμενος κανονισμός θα εφαρμόζεται σε όλα τα προϊόντα που συνδέονται άμεσα ή έμμεσα με άλλη συσκευή ή δίκτυο. Υπάρχουν ορισμένες εξαιρέσεις για προϊόντα για τα οποία οι απαιτήσεις κυβερνοασφάλειας προβλέπονται ήδη σε υφιστάμενους κανόνες της ΕΕ, για παράδειγμα για τα ιατροτεχνολογικά προϊόντα, τις αερομεταφορές ή τα αυτοκίνητα.
Νέοι κανόνες
Τα μέτρα που προτείνονται βασίζονται στο νέο νομοθετικό πλαίσιο θα θεσπίσουν:
- κανόνες για τη διάθεση στην αγορά προϊόντων με ψηφιακά στοιχεία για την εγγύηση της κυβερνοασφάλειάς τους·
- βασικές απαιτήσεις για τον σχεδιασμό, την ανάπτυξη και την παραγωγή προϊόντων με ψηφιακά στοιχεία και υποχρεώσεις για τους οικονομικούς φορείς σε σχέση με τα εν λόγω προϊόντα
- βασικές απαιτήσεις για τις διαδικασίες χειρισμού τρωτών σημείων που εφαρμόζουν οι κατασκευαστές για να εγγυηθούν την κυβερνοασφάλεια προϊόντων με ψηφιακά στοιχεία καθ’ όλη τη διάρκεια του κύκλου ζωής, και υποχρεώσεις για τους οικονομικούς φορείς σε σχέση με τις εν λόγω διαδικασίες. Οι κατασκευαστές θα πρέπει επίσης να αναφέρουν τα τρωτά σημεία που αξιοποιούνται ενεργά και τα περιστατικά.
