- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
17 października zakończyły się konsultacje publiczne projektu rozporządzenia Cyber Resilience Act – informuje Kancelaria Prezesa Rady Ministrów. Akt dotyczący cyberodporności ma na celu ustanowienie wspólnych standardów cyberbezpieczeństwa dla urządzeń podłączonych do sieci. Dokument jest odpowiedzią UE na rosnące wyzwania związane z rosnącą liczbą cyberataków i związanych z nimi strat.
Kwestie cyberbezpieczeństwa nie są niczym nowym w UE. Już w 2021 roku normalizacje prawne w tym zakresie zapowiedziała przewodnicząca KE Ursula von der Leyen. Punktem wyjścia do zaostrzenia polityki bezpieczeństwa w sieci był raport o stanie Unii, który jasno wskazał, iż liczba cyberataków na terenie UE rośnie. Straty z tego tytułu w 2020 roku wynosiły już 5,5 bln euro, czyli – jak podaje JRC, Wspólne Centrum Badawcze Cybersecurity – dwa razy więcej, niż jeszcze w 2015 roku.
Dlaczego bezpieczeństwo urządzeń cyfrowych ma dziś takie znaczenie? Ze względu na wzajemność połączeń każdy incydent w jednym urządzeniu wpływa na pozostałe, powodując zakłócenia w całym łańcuchu dostaw. Z kolei producenci sprzętu nie dbają o odpowiednie zabezpieczenia z wielu powodów – chęci obniżenia kosztów produkcji, braku wykwalifikowanej kadry odpowiedzialnej za kwestie cyberbezpieczeństwa, wreszcie chęci jak najszybszego oddania produktu na rynek. To wszystko sprawia, że większość producentów wydatki na cybersecurity swoich produktów uznają za zbyteczny wydatek dopóki nie dojdzie do jakiegoś incydentu. Ciągle także nie istnieje wśród konsumentów nawyk analizy produktów pod kątem ich bezpieczeństwa, m.in. ze względu na brak monitorowania tego rodzaju podatności przez producentów i braku wypuszczania na rynek informacji na temat efektów tych analiz.
Na czym tak naprawdę ma polegać cyberodporność urządzeń, które łączą się z internetem? Chodzi o ustanowienie wspólnych standardów dla producentów oprogramowania i sprzętu cyfrowego. Priorytety regulacji mają zostać osiągnięte m.in. poprzez wyeliminowanie luk w zabezpieczeniach produktów cyfrowych i usług pomocniczych oraz lepsze informowanie użytkowników o dobrych praktykach w celu zwiększenia ich bezpieczeństwa. Wymogi, które ma wprowadzić omawiane rozporządzenie mają obejmować:
– zapewnienie, że przez przewidywany okres użytkowania produktu lub przez pięć lat po wprowadzeniu na rynek podatności na zagrożenia będą skutecznie usuwane;
– powiadamianie Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o zidentyfikowanych lukach w produkcie lub usłudze w ciągu 24 godzin;
– uwzględnienie przez producentów sprzętów elektronicznych zasad cyberbezpieczeństwa już na etapie projektowania swoich towarów i usług.
Transformacja cyfrowa obejmuje coraz większy obszar naszego życia – zarówno pod kątem dostępnych usług cyfrowych, zdalnej pracy jak i korzystania z Internetu Rzeczy – nikt już się nie dziwi, że zdalnie włączasz odkurzanie domu czy koszenie trawnika w ogrodzie – mówi Anna Kokoszczyńska ekspertka Krajowego Instytutu Cyberbezpieczeństwa.
– Problemem jest zabezpieczenie tych urządzeń, ponieważ są one wyjątkowo podatne na ataki, a niejednokrotnie podłączamy je do wspólnej sieci, w której znajdują się nasze kluczowe zasoby – dodaje.
Aby, zrozumieć cel, należy najpierw odpowiedzieć sobie kto odpowiada za cyberbezpieczeństwo? Są to 3 główne grupy:
Producent
Instalator
Użytkownik
Tylko przy współpracy i zaangażowaniu wszystkich 3 grup możemy mówić o bezpieczeństwie. Standardy unijne będą regulować cyberodporność urządzeń, czyli odnoszą się do pierwszej grupy jaką są producenci. Należy pamiętać, że w dzisiejszych czasach to nie wystarczy i należy wdrażać dodatkowe zabezpieczenia i procedury na poziomie dwóch kolejnych grup, lecz niewątpliwie regulacja unijna jest pierwszym i bardzo znaczącym krokiem do poprawy bezpieczeństwa związanego z IOT w cyberprzestrzeni.
Cyber Resilience Act (CRA) jest uzupełnieniem Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS2). Podczas gdy ten pierwszy dokument obejmuje kwestie bezpieczeństwa krytycznych łańcuchów dostaw, akt dotyczący cyberodporności jest uzupełnieniem bezpieczeństwa urządzeń podłączonych do internetu (zwłaszcza IoT). Nie da się zatem ukryć, iż szczególnie dokument CRA będzie istotny dla użytkowników końcowych, czyli nas, którzy na co dzień coraz częściej z takich urządzeń korzystają. Co stanie się po przyjęciu rozporządzenia? Kraje UE będą miały 2 lata na dostosowanie się do nowych przepisów. Warto dodać, iż obowiązek zgłaszania podatności i incydentów będzie obowiązywał już po roku od wejścia w życie tych przepisów. Zobacz także: Wciągniki linowe
Najnowsze komentarze