Από τους baby-monitors μέχρι τα έξυπνα ρολόγια, τα προϊόντα και το λογισμικό που περιέχουν ένα ψηφιακό στοιχείο είναι πανταχού παρόντα στην καθημερινή μας ζωή. Λιγότερο εμφανής σε πολλούς χρήστες είναι ο κίνδυνος ασφάλειας που ενδέχεται να παρουσιάζουν τέτοια προϊόντα και λογισμικό.
Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο (CRA) αποσκοπεί στη διαφύλαξη των καταναλωτών και των επιχειρήσεων που αγοράζουν ή χρησιμοποιούν προϊόντα ή λογισμικό με ψηφιακή συνιστώσα. Σύμφωνα με τον νόμο, τα ανεπαρκή χαρακτηριστικά ασφαλείας θα καταστούν παρελθόν με τη θέσπιση υποχρεωτικών απαιτήσεων κυβερνοασφάλειας για τους κατασκευαστές και τους εμπόρους λιανικής πώλησης τέτοιων προϊόντων, με την προστασία αυτή να επεκτείνεται καθ’ όλη τη διάρκεια του κύκλου ζωής του προϊόντος.
Το πρόβλημα που αντιμετωπίζει ο κανονισμός είναι διττό.
Πρώτον, το ανεπαρκές επίπεδο ασφάλειας στον κυβερνοχώρο που είναι εγγενές σε πολλά προϊόντα ή οι ανεπαρκείς ενημερώσεις ασφαλείας σε τέτοια προϊόντα και λογισμικό.
Δεύτερον, η αδυναμία των καταναλωτών και των επιχειρήσεων να καθορίσουν επί του παρόντος ποια προϊόντα είναι ασφαλή στον κυβερνοχώρο ή να τα δημιουργήσουν κατά τρόπο που να διασφαλίζει την προστασία της κυβερνοασφάλειας τους.
Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο θα εγγυηθεί:
- εναρμονισμένους κανόνες κατά τη διάθεση στην αγορά προϊόντων ή λογισμικού με ψηφιακό στοιχείο·
- πλαίσιο απαιτήσεων κυβερνοασφάλειας που διέπουν τον σχεδιασμό, τον σχεδιασμό, την ανάπτυξη και τη συντήρηση των εν λόγω προϊόντων, με υποχρεώσεις που πρέπει να τηρούνται σε κάθε στάδιο της αξιακής αλυσίδας·
- υποχρέωση παροχής του καθήκοντος μέριμνας για ολόκληρο τον κύκλο ζωής των εν λόγω προϊόντων.
Κατά την έναρξη ισχύος του κανονισμού, το λογισμικό και τα προϊόντα που είναι συνδεδεμένα στο διαδίκτυο θα φέρουν τη σήμανση CE που θα δηλώνει ότι συμμορφώνονται με τα νέα πρότυπα. Απαιτώντας από τους κατασκευαστές και τους εμπόρους λιανικής να δώσουν προτεραιότητα στην ασφάλεια στον κυβερνοχώρο, οι πελάτες και οι επιχειρήσεις θα έχουν τη δυνατότητα να κάνουν καλύτερα ενημερωμένες επιλογές, με αυτοπεποίθηση για τα διαπιστευτήρια κυβερνοασφάλειας των προϊόντων που φέρουν τη σήμανση CE.
Ο κανονισμός ανακοινώθηκε στη στρατηγική της ΕΕ για την ασφάλεια στον κυβερνοχώρο του 2020 και συμπληρώνει άλλες νομοθετικές πράξεις στον τομέα αυτό, ιδίως το πλαίσιο NIS2.
Θα εφαρμόζεται σε όλα τα προϊόντα που συνδέονται άμεσα ή έμμεσα με άλλη συσκευή ή δίκτυο, εκτός από συγκεκριμένες εξαιρέσεις, όπως λογισμικό ανοικτού κώδικα ή υπηρεσίες που καλύπτονται ήδη από τους υφιστάμενους κανόνες, πράγμα που ισχύει για τα ιατροτεχνολογικά προϊόντα, την αεροπορία και τα αυτοκίνητα.
Ο κανονισμός αναμένεται να τεθεί σε ισχύ στις αρχές του 2024. Οικατασκευαστές θα πρέπει να εφαρμόσουν τους κανόνες 36 μήνες μετά την έναρξη ισχύος τους. Στη συνέχεια, η Επιτροπή θα επανεξετάζει περιοδικά την πράξη και θα υποβάλλει έκθεση σχετικά με τη λειτουργία της.
Σχετικό περιεχόμενο
Ευρύτερο πλαίσιο
Η Ευρωπαϊκή Ένωση εργάζεται σε διάφορα μέτωπα για την προώθηση της ανθεκτικότητας στον κυβερνοχώρο, τη διαφύλαξη της επικοινωνίας και των δεδομένων μας και τη διατήρηση της διαδικτυακής κοινωνίας και οικονομίας.
Βλ. επίσης
Η πράξη της ΕΕ για την αλληλεγγύη στον κυβερνοχώρο θα βελτιώσει την ετοιμότητα, τον εντοπισμό και την αντιμετώπιση συμβάντων κυβερνοασφάλειας σε ολόκληρη την ΕΕ.
Οι φορείς εκμετάλλευσης βασικών υπηρεσιών (OES), οι εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας (NCCA) και οι εθνικές αρμόδιες αρχές (ΕΑΑ) για την ασφάλεια στον κυβερνοχώρο συγκαταλέγονται μεταξύ των επιλεγμένων αιτούντων που θα λάβουν χρηματοδότηση ύψους 11 εκατ. ευρώ από...
Το ευρωπαϊκό δίκτυο κυβερνοασφάλειας και το κέντρο ικανοτήτων στον τομέα της κυβερνοασφάλειας βοηθούν την ΕΕ να διατηρήσει και να αναπτύξει τεχνολογικές και βιομηχανικές ικανότητες στον τομέα της κυβερνοασφάλειας.
Η ομάδα πιστοποίησης της ασφάλειας στον κυβερνοχώρο συστάθηκε για να παρέχει συμβουλές σχετικά με στρατηγικά ζητήματα που αφορούν την πιστοποίηση της κυβερνοασφάλειας.
Η πράξη για την ασφάλεια στον κυβερνοχώρο ενισχύει τον Οργανισμό της ΕΕ για την κυβερνοασφάλεια (ENISA) και θεσπίζει ένα πλαίσιο πιστοποίησης της κυβερνοασφάλειας για προϊόντα και υπηρεσίες.
Το ενωσιακό πλαίσιο πιστοποίησης της κυβερνοασφάλειας για τα προϊόντα ΤΠΕ επιτρέπει τη δημιουργία προσαρμοσμένων και βασιζόμενων στον κίνδυνο συστημάτων πιστοποίησης της ΕΕ.
Η οδηγία NIS2 είναι η νομοθεσία για την ασφάλεια στον κυβερνοχώρο σε επίπεδο ΕΕ. Προβλέπει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου κυβερνοασφάλειας στην ΕΕ.