Η Προεδρία του Ευρωπαϊκού Συμβουλίου και οι διαπραγματευτές του Ευρωπαϊκού Κοινοβουλίου κατέληξαν σε προσωρινή συμφωνία επί της προτεινόμενης νομοθεσίας σχετικά με τις απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία, η οποία επιδιώκει, όπως αναφέρεται σε σχετική ανακοίνωση, «να διασφαλίσει ότι προϊόντα όπως οι συνδεδεμένες οικιακές κάμερες, τα ψυγεία, οι τηλεοράσεις και τα παιχνίδια είναι ασφαλή πριν διατεθούν στην αγορά».
Η συγκεκριμένη νομοθεσία είναι η πρώτη του είδους της σε ολόκληρη την ΕΕ. Εισάγει κοινούς κανόνες κυβερνοασφάλειας για κατασκευαστές και προγραμματιστές προϊόντων με ψηφιακά στοιχεία, που καλύπτουν τόσο το υλικό όσο και το λογισμικό. Ο νόμος διασφαλίζει ότι τα ενσύρματα και ασύρματα προϊόντα που είναι συνδεδεμένα στο διαδίκτυο και το λογισμικό που διατίθεται στην αγορά της ΕΕ είναι πιο ασφαλή, ότι οι κατασκευαστές παραμένουν υπεύθυνοι για την κυβερνοαασφάλεια ενός προϊόντος καθ’ όλη τη διάρκεια του κύκλου ζωής του και ότι οι καταναλωτές ενημερώνονται σωστά για την κυβερνοασφάλεια των προϊόντων που αγοράζουν και χρησιμοποιούν.
Ειδικότερα, «η νέα πράξη θεσπίζει, για όλη την ΕΕ, απαιτήσεις κυβερνοασφάλειας για τον σχεδιασμό, την ανάπτυξη, την παραγωγή και τη διάθεση στην αγορά προϊόντων υλισμικού και λογισμικού, ώστε να αποφεύγονται οι επικαλυπτόμενες απαιτήσεις που απορρέουν από διαφορετικές νομοθετικές πράξεις στα κράτη μέλη της ΕΕ. Ο κανονισμός θα εφαρμόζεται σε όλα τα προϊόντα που συνδέονται άμεσα ή έμμεσα με άλλη συσκευή ή δίκτυο. Ορισμένες εξαιρέσεις υπάρχουν για εκείνα τα προϊόντα για τα οποία οι απαιτήσεις κυβερνοασφάλειας έχουν ήδη καθοριστεί σε υφιστάμενους κανόνες της ΕΕ, όπως είναι, για παράδειγμα, τα ιατροτεχνολογικά προϊόντα, τα αεροναυτικά προϊόντα και τα αυτοκίνητα.
Η πρόταση αποσκοπεί να καλύψει τα κενά, να αποσαφηνίσει τους συνδέσμους και να καταστήσει την υφιστάμενη νομοθεσία για την κυβερνοασφάλεια πιο συνεκτική, διασφαλίζοντας ότι τα προϊόντα με ψηφιακές συνιστώσες, για παράδειγμα τα προϊόντα του «διαδικτύου των πραγμάτων» (IoT), καθίστανται ασφαλή σε ολόκληρη την αλυσίδα εφοδιασμού και καθ’ όλη τη διάρκεια του κύκλου ζωής τους. Τέλος, ο κανονισμός θα επιτρέψει στους καταναλωτές να λαμβάνουν υπόψη την κυβερνοασφάλεια όταν διαλέγουν και χρησιμοποιούν προϊόντα που περιέχουν ψηφιακά στοιχεία, διότι θα τους διευκολύνει να εντοπίζουν προϊόντα υλισμικού και λογισμικού με τα κατάλληλα χαρακτηριστικά κυβερνοασφάλειας».
Οι συννομοθέτες συμφώνησαν να τροποποιήσουν διάφορα μέρη της πρότασης της Επιτροπής, μεταξύ άλλων όσον αφορά στο πεδίο εφαρμογής της προτεινόμενης νομοθεσίας (με απλούστερη μεθοδολογία για την ταξινόμηση των ψηφιακών προϊόντων που θα καλύπτονται από τον νέο κανονισμό), τον προσδιορισμό της αναμενόμενης διάρκειας ζωής του προϊόντος από τους κατασκευαστές (αναφέρεται ενδεικτικά περίοδος στήριξης τουλάχιστον πέντε ετών, με εξαίρεση τα προϊόντα που αναμένεται να χρησιμοποιηθούν για μικρότερο χρονικό διάστημα), τις υποχρεώσεις αναφοράς σχετικά με τα τρωτά σημεία και τα συμβάντα που αποτελούν αντικείμενο ενεργού εκμετάλλευσης (όπου ενισχύεται ο ρόλος του ENISA), τη θέση σε εφαρμογή των νέων κανόνων τρία έτη μετά την έναρξη ισχύος του νόμου και την επίτευξη συμφωνίας για πρόσθετα μέτρα στήριξης για μικρές και πολύ μικρές επιχειρήσεις.
Η Επιτροπή χαιρετίζει την πολιτική συμφωνία
Η Ευρωπαϊκή Επιτροπή, χαιρετίζοντας τη συμφωνία, αναφέρει πως το Cyber Resilience Act είναι η πρώτη νομοθεσία αυτού του είδους στον κόσμο. «Θα βελτιώσει το επίπεδο κυβερνοασφάλειας των ψηφιακών προϊόντων προς όφελος των καταναλωτών και των επιχειρήσεων σε ολόκληρη την ΕΕ, καθώς εισάγει αναλογικές υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για όλο το υλικό και το λογισμικό, που κυμαίνονται από οθόνες για μωρά, έξυπνα ρολόγια και παιχνίδια υπολογιστή έως firewalls και routers. Τα προϊόντα με διαφορετικά επίπεδα κινδύνου θα έχουν διαφορετικές απαιτήσεις ασφαλείας. Λιγότερο από το 10% των προϊόντων θα υπόκεινται σε αξιολογήσεις τρίτων».
«Μόλις θεσπιστεί ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο, οι κατασκευαστές υλικού και λογισμικού θα πρέπει να εφαρμόσουν μέτρα κυβερνοασφάλειας σε ολόκληρο τον κύκλο ζωής του προϊόντος, από το σχεδιασμό και την ανάπτυξη έως τη διάθεση του προϊόντος στην αγορά. Τα προϊόντα λογισμικού και υλικού θα φέρουν τη σήμανση CE για να υποδεικνύουν ότι συμμορφώνονται με τις απαιτήσεις του κανονισμού και, επομένως, μπορούν να πωληθούν στην ΕΕ».
«Ο νόμος θα εισάγει επίσης μια νομική υποχρέωση για τους κατασκευαστές να παρέχουν στους καταναλωτές έγκαιρες ενημερώσεις ασφαλείας για αρκετά χρόνια μετά την αγορά. Αυτή η περίοδος πρέπει να αντικατοπτρίζει το χρόνο που αναμένεται να χρησιμοποιηθούν τα προϊόντα. Μέσω αυτών των μέτρων, ο νέος νόμος θα δώσει τη δυνατότητα στους χρήστες να κάνουν καλύτερα ενημερωμένες και πιο ασφαλείς επιλογές, καθώς οι κατασκευαστές θα πρέπει να γίνουν πιο διαφανείς και υπεύθυνοι για την ασφάλεια των προϊόντων τους» καταλήγει η Κομισιόν.
Τα επόμενα βήματα
Μετά τη σημερινή προσωρινή συμφωνία, οι εργασίες θα συνεχιστούν κατά τις προσεχείς εβδομάδες σε τεχνικό επίπεδο προκειμένου να οριστικοποιηθούν οι λεπτομέρειες του νέου κανονισμού. Η ισπανική Προεδρία θα υποβάλει το συμβιβαστικό κείμενο στους αντιπροσώπους των κρατών μελών (ΕΜΑ) προς έγκριση μόλις ολοκληρωθούν οι εργασίες αυτές. Το κείμενο της συμφωνίας θα πρέπει να επιβεβαιωθεί στο σύνολό του από τα δύο θεσμικά όργανα και να ελεγχθεί από τους γλωσσομαθείς νομικούς προτού εκδοθεί και τυπικά από τους συννομοθέτες.
Σημειώνεται πως, το Συμβούλιο, στα συμπεράσματά του, της 2ας Δεκεμβρίου 2020, σχετικά με την κυβερνοασφάλεια των συνδεδεμένων συσκευών, υπογράμμισε ότι είναι σημαντικό να εξεταστεί η ανάγκη θέσπισης οριζόντιας νομοθετικής πράξης σε μακροπρόθεσμο επίπεδο, με την οποία θα ορίζονται επίσης οι αναγκαίοι όροι διάθεσης στην αγορά, για την κάλυψη όλων των συναφών πτυχών της κυβερνοασφάλειας των συνδεδεμένων συσκευών, όπως η διαθεσιμότητα, η ακεραιότητα και η εμπιστευτικότητα.
