Služby

utorok 20. septembra 2022

EU: Nové pravidlá kybernetickej bezpečnosti

Návrh nového aktu Európskej komisie o kybernetickej bezpečnosti na ochranu spotrebiteľov a podnikov pred produktmi s nedostatočnými ochrannými prvkami je prvým právnym predpisom tohto druhu na úrovni Európskej únie, ktorým sa zavádzajú povinné požiadavky na kybernetickú bezpečnosť výrobkov s digitálnymi prvkami počas ich celého životného cyklu. Digitálne produkty, akými sú bezkáblové aj káblové výrobky a softvér, by tak mali byť pre spotrebiteľov v EÚ bezpečnejšie. Z sa má tiež zodpovednosť výrobcov, nakoľko budú povinní poskytovať podporu pri zabezpečení a softvérovej aktualizácii na riešenie zraniteľností, a spotrebiteľom tak zaručia dostatok informácií o kybernetickej bezpečnosti produktov, ktoré si kupujú a používajú.

Každých 11 sekúnd zasiahnu niektorú organizáciu na svete ransomvérové útoky. Odhadované celosvetové ročné náklady v dôsledku kyberkriminality dosiahli v roku 2021 5,5 bilióna eur (podľa Cybersecurity Ventures v správe Spoločného výskumného centra 2020: „Kybernetická bezpečnosť – naša digitálna opora, európska perspektíva“). Zabezpečenie vysokej úrovne kybernetickej bezpečnosti a zníženie zraniteľnosti digitálnych produktov, ktorá je jednou z hlavných príčin úspešnosti útokov, sú dôležitejšie než kedykoľvek predtým. Pretože máme stále viac inteligentných a prepojených produktov, kybernetický incident v jednom produkte môže ovplyvniť celý dodávateľský reťazec, čo môže vážne narušiť hospodárske a sociálne aktivity na celom vnútornom trhu, ohroziť bezpečnosť či dokonca aj životy.

Opatrenia v dnešnom návrhu vychádzajú z nového legislatívneho rámca pre právne predpisy EÚ o výrobkoch a stanovujú:
a) pravidlá uvádzania produktov s digitálnymi prvkami na trh s cieľom zaručiť ich kybernetickú bezpečnosť;
b) základné požiadavky na navrhovanie, vývoj a výrobu produktov s digitálnymi prvkami a povinnosti hospodárskych subjektov v súvislosti s týmito produktmi;
c) základné požiadavky na procesy riešenia zraniteľnosti zavedené výrobcami s cieľom zaručiť kybernetickú bezpečnosť produktov s digitálnymi prvkami počas celého životného cyklu a povinnosti hospodárskych subjektov v súvislosti s týmito procesmi. Výrobcovia budú takisto musieť nahlasovať aktívne využívané zraniteľné miesta a incidenty;
d) pravidlá dohľadu nad trhom a ich presadzovanie.

Zodpovednosť sa má presunúť na výrobcov, ktorí musia zaručiť súlad produktov s digitálnymi prvkami na trhu EÚ s bezpečnostnými požiadavkami. Pravidlá tak majú byť prínosom pre spotrebiteľov a občanov aj pre podniky využívajúce digitálne produkty, pretože sa vďaka nim zvýši transparentnosť bezpečnostných vlastností, podporí dôvera v produkty s digitálnymi prvkami a zaručí lepšia ochrana základných práv ako ochrana súkromia a údajov. Navrhované nariadenie sa bude vzťahovať na všetky produkty, ktoré sú priamo alebo nepriamo pripojené k inému zariadeniu alebo sieti. Existujú určité výnimky pre produkty, u ktorých sú už požiadavky na kybernetickú bezpečnosť stanovené v platných pravidlách EÚ týkajúcich sa napr. zdravotníckych pomôcok, letectva alebo automobilov.

Návrh aktu o kybernetickej bezpečnosti teraz preskúmajú Európsky parlament a Rada. Keď sa prijme, hospodárske subjekty a členské štáty budú mať dva roky, aby sa prispôsobili novým požiadavkám. Výnimkou z tohto pravidla je povinnosť výrobcov nahlasovať aktívne využívané zraniteľné miesta a incidenty, ktorá by sa uplatňovala už jeden rok od dátumu nadobudnutia účinnosti, pretože si vyžaduje menej organizačných úprav než ostatné nové povinnosti. Komisia bude akt o kybernetickej bezpečnosti pravidelne revidovať a informovať o jeho uplatňovaní.