Polityka i prawo
Jest porozumienie ws. unijnego Aktu o odporności cybernetycznej
Osiągnięto porozumienie polityczne ws. unijnego Aktu o odporności cybernetycznej (Cyber Resilience Act). Celem legislacji jest wprowadzenie wspólnych wymagań dla urządzeń łączących się z internetem, takich jak np. gadżety smart home czy roboty produkcyjne.
Serwis Euractiv informuje, że 30 listopada osiągnięto porozumienie polityczne w sprawie unijnego Aktu o odporności cybernetycznej (Cyber Resilience Act). O tym, czym jest ta regulacja i dlaczego jest istotna, pisaliśmy na łamach naszego serwisu tutaj. Przypomnijmy krótko: nowe przepisy mają stwarzać wspólne wymagania dla urządzeń łączących się z internetem, zarówno tych w segmencie konsumenckim, jak i przemysłowym.
Problemy techniczne? Nie, polityczne
Problemem przy osiągnięciu porozumienia były kwestie polityczne, na poziomie technicznym było ono od dawna przygotowane, o czym wspomina serwis. Konsensus jednak finalnie udało się osiągnąć, a kwestia, której dotyczy, jest istotna, co podkreśla zaangażowana w prace nad legislacją europosłanka Nicola Danti.
Jak cytuje jej słowa Euractiv: „Akt o odporności cybernetycznej wzmocni cyberbezpieczeństwo połączonych produktów, pomagając radzić sobie z podatnościami na poziomie sprzętowym i w oprogramowaniu”. Zdaniem Danti, dzięki temu Unia Europejska stanie się miejscem bezpieczniejszym, jak i bardziej odpornym, a jej łańcuchy dostaw będą lepiej chronione. Regulacja ma wzmocnić także cyberbezpieczeństwo produktów takich, jak routery czy programy antywirusowe, traktując je jako priorytet pod kątem ochrony.
Czytaj też
Co zmieni regulacja?
Po wprowadzeniu regulacji, producenci urządzeń łączących się z internetem nie będą już mogli wypuszczać swoich produktów na rynek wiedząc, że zawierają istotne podatności bezpieczeństwa pozwalające na np. ich zhakowanie. Zamiast tego będą musieli podjąć działania na rzecz rozwiązania tych problemów tak szybko, jak tylko uzyskają informacje na ich temat, a dodatkowo zamknąć się w zdefiniowanym w ramach ustawy czasie.
Producenci, którzy uzyskają wiedzę na temat incydentu bezpieczeństwa lub podatności, która jest aktywnie wykorzystywana przez cyberprzestępców, będą zobowiązani do informowania na ten temat odpowiednich organów i podejmowania działań na rzecz mitygacji ryzyka.
Euractiv pisze, że to właśnie podatności bezpieczeństwa - stanowiące same w sobie bardzo wartościowe informacje - były łącznikiem w negocjacjach konsensusu.
Kto będzie zajmował się podatnościami?
To istotna kwestia, bo rola ta zostanie w ramach Aktu o odporności cybernetycznej zdjęta z barków agencji ENISA (odpowiedzialnej na poziomie federalnym UE za cyberbezpieczeństwo) i przeniesiona na krajowe organy odpowiedzialne za szybkie reagowanie na incydenty (zespoły CSIRT).
Euractiv zaznacza, że zespoły te już teraz mają podobne zadania ze względu na przepisy dyrektywy NIS2. ENISA ma jednak nadal czuwać nad procesem, choćby po to, aby CSIRT-y na poziomie krajowym nie zachowywały zbyt wielu informacji na temat podatności dla siebie, a dzieliły się nimi na forum unijnym.
Właśnie to stanowiło problem polityczny. Kraje członkowskie chciały bowiem móc ograniczać organizacji ENISA dostęp do informacji o podatności, powołując się przy tym na względy cyberbezpieczeństwa.
Czytaj też
Na czym stanęło?
Na tym, że CSIRT-y będą mogły ograniczać informowanie, jeśli dany produkt, w którym wykryto podatność, jest przede wszystkim obecny na rynku lokalnym, a luki nie stwarzają zagrożenia dla innych państw członkowskich.
CSIRT-y nie będą też miały obowiązku dzielenia się żadnymi informacjami, które uznają za kluczowe z punktu widzenia ochrony najważniejszych aspektów bezpieczeństwa. Euractiv zaznacza, że stanowisko takie jest zgodne z treścią unijnych traktatów.
Trzecim warunkiem, który wypracowano w ramach politycznego kompromisu, jest ten pozwalający producentowi sprzętu lub oprogramowania z podatnością na zaznaczenie, że stanowi ona duże ryzyko w razie dalszego upowszechnienia się. Informacja ta musi jednak zostać zawarta w komunikacie o luce skierowanym do odpowiednich organów.
Co z open-source?
Kwestie wykorzystania oprogramowania open-source w produktach komercyjnych były kolejnym punktem zapalnym. Wcześniejsze pomysły legislacyjne zakładały, że regulacja będzie obejmowała wyłącznie oprogramowanie rozwijane w kontekście działań komercyjnych, a same wymogi będą bardziej ograniczone, jeśli chodzi o towarzyszącą mu dokumentację i raportowanie podatności.
W ostatecznej wersji zapisów wyłączono organizacje non-profit sprzedające oprogramowanie open-source na rynku komercyjnym, ale reinwestujące wszystkie zyski z tej sprzedaży w działania non-for-profit.
Bezpieczeństwo narodowe
Wyjątkiem w obowiązywaniu przepisów opracowywanej regulacji są także wszystkie produkty, które rozwijane są wyłącznie dla potrzeb bezpieczeństwa narodowego lub obronności. O wyjątek taki wnosiły państwa członkowskie - pisze Euractiv.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].