Recent, reprezentanții statelor membre au ajuns la o poziție comună privind Propunerea de Regulament al Parlamentului European și al Consiliului privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale și de modificare a Regulamentului (UE) 2019/1020 (“Actul de reziliență cibernetică” sau “Propunerea de regulament”), publicat pe 22 septembrie 2022.
- Necesitatea adoptării acestei propuneri de regulament
Pe fondul faptului că produsele hardware și software sunt din ce în ce mai mult supuse unor atacuri cibernetice, ceea ce duce la un cost anual global al criminalității cibernetice estimat la 5,5 trilioane de euro până în 2021, astfel de produse suferă de două probleme majore care adaugă costuri pentru utilizatori și pentru societate:
- un nivel scăzut de securitate cibernetică, reflectat de vulnerabilitățile larg răspândite și de furnizarea insuficientă și inconsecventă de actualizări de securitate pentru a le soluționa, și
- o înțelegere și un acces insuficient la informații din partea utilizatorilor, ceea ce îi împiedică să aleagă produse cu proprietăți de securitate cibernetică adecvate sau să le utilizeze într-un mod sigur.
Regulamentul propus impune standarde de securitate cibernetică pentru proiectarea, dezvoltarea, producerea și punerea în circulație a produselor hardware și software, cu scopul de a preveni dublarea cerințelor impuse de diferite legislații din statele membre ale UE. Propunerea de regulament vizează în principiu acoperirea golurilor, clarificarea legăturilor și coerența mai mare a legislației existente privind securitatea cibernetică, asigurând că produsele cu componente digitale, cum ar fi produsele „Internet of Things” (IoT), devin sigure pe întregul lanț de aprovizionare și pe întreaga lor durată de viață.
Cerințele orizontale de securitate cibernetică își propun, de asemenea, să contribuie la securitatea datelor cu caracter personal prin protejarea confidențialității, integrității și disponibilității informațiilor din produsele cu elemente digitale.
Respectarea acestor cerințe va facilita respectarea securității prelucrării datelor cu caracter personal în temeiul Regulamentului (UE) 2016/679 privind Regulamentul general privind protecția datelor (RGPD) și informarea utilizatorilor, inclusiv a celor care ar putea fi mai puțin dotați cu competențe în materie de securitate cibernetică. De asemenea, utilizatorii ar fi mai bine informați cu privire la riscurile, capacitățile și limitările produselor cu elemente digitale, ceea ce i-ar plasa într-o poziție mai bună pentru a lua măsurile de măsurile preventive și de atenuare necesare pentru a reduce riscurile reziduale.
- În sarcina cui revin noile obligații impuse de această propunere de regulament?
Actul de reziliență cibernetică impune cerințe esențiale pentru proiectarea, dezvoltarea și producția de produse cu elemente digitale și obligații pentru operatorii economici în legătură cu aceste produse în ceea ce privește securitatea cibernetică. Prin „operator economic” în sensul propunerii de regulament se înțelege producătorul, reprezentantul autorizat, importatorul, distribuitorul sau orice altă persoană fizică sau juridică la care face referire regulamentul.
De asemenea, se impun cerințe esențiale pentru procesele de tratare a vulnerabilităților ce trebuie puse în aplicare în mod specific de producători pentru a asigura securitatea cibernetică a produselor cu elemente digitale pe parcursul întregului ciclu de viață, precum și obligații pentru operatorii economici în legătură cu aceste procese.
- Categoria de produse vizate
Propunerea vizează “produsele cu elemente digitale” prin care, în sensul propunerii de regulament se înțelege “orice produs software sau hardware și soluțiile sale de procesare a datelor la distanță, inclusiv componentele software sau hardware care urmează să fie introduse pe piață separat”. Definiția trebuie interpretată în sensul că toate produsele conectate direct sau indirect la un alt dispozitiv sau la o rețea fac obiectul acestei propuneri de regulament (câteva exemple prezentate în expunerea de motive sunt: televizoare inteligente, smartphone-uri, camere foto, difuzoare, roboți de curățenie ș.a., inclusiv produsele de consum cu elemente digitale destinate consumatorilor vulnerabili, cum ar fi jucăriile și monitoarele pentru copii).
Nu fac obiectul de reglementare al Actului de reziliență cibernetică produsele care fac deja obiectul standardelor de securitate cibernetică din regulamentele UE existente, cum ar fi dispozitivele medicale, industria aviatică sau automobilele. Propunerea de regulament nu vizează, de asemenea, serviciile, cum ar fi Software-as-a-Service (SaaS), cu excepția soluțiilor de procesare a datelor la distanță referitoare la un produs cu elemente digitale.
Regulamentul împarte produsele cu elemente digitale in 2 categorii:
- Produsele cu risc scăzut, care acoperă 90% din piață, inclusiv jucării inteligente, televizoare sau frigidere, și ar impune companiilor să efectueze o autoevaluare pentru a se asigura că un produs îndeplinește standardele de securitate cibernetică.
- Produsele critice sunt, la rândul lor, împărțite în două categorii în funcție de criterii precum: funcționalitatea legată de securitatea cibernetică a produsului, utilizarea în medii sensibile, amploarea potențială a unui impact negativ sau istoricul de pierderi sau perturbări legate de acel tip de produse.
- Prima clasă include browserele, password managers, antivirușii, firewall-urile, rețelele private virtuale (VPN), sistemele de management al rețelelor, interfețele fizice de rețea, routerele și cipurile utilizate pentru entitățile care intră sub incidența Directivei NIS2. În plus, aceasta include, de asemenea, toate sistemele de operare, microprocesoarele și IoT-ul industrial care nu sunt incluse în clasa II.
- Cea de-a doua clasă include produse cu risc mai ridicat, cum ar fi dispozitivele desktop și mobile, sistemele de operare virtualizate, emițătorii de certificate digitale, microprocesoarele de uz general, cititoarele de carduri, senzorii robotici, contoarele inteligente și toate produsele IoT, routerele și firewall-urile pentru uz industrial.
- Noi cerințe impuse prin regulament
Regulamentul impune cerințe importante, printre care se numără:
- interdicția de a vinde produse cu vulnerabilități cunoscute;
- securitatea prin configurație implicită (security by default configuration);
- protecția împotriva accesului neautorizat;
- limitarea suprafețelor de atac și reducerea la minimum a impactului incidentelor;
- obligația pentru statele membre care ar trebui să instituie organisme de supraveghere a pieței, în locul agenției UE pentru securitate cibernetică (ENISA), aceasta din urmă urmând să creeze o platformă unică de raportare;
- obligația organizațiilor de raportare a vulnerabilităților sau a incidentelor descoperite către autoritățile naționale competente;
- Sancțiuni
Sancțiunile pentru nerespectarea cerințelor se pot ridica la 15 milioane de euro sau la 2,5% din cifra de afaceri anuală.
- Concluzii
În concluzie, propunerea de regulament este un răspuns necesar la creșterea explozivă a dispozitivelor interconectate și subliniază imperativul securității în fiecare etapă a dezvoltării și utilizării acestor produse. Această inițiativă vizează să transforme produsele digitale, inclusiv cele din IoT, în entități mai sigure, rezistente la amenințările cibernetice, protejând astfel viața privată, datele și integritatea utilizatorilor. Cu toate acestea, adaptarea și inovarea continuă a reglementărilor sunt esențiale pentru a ține pasul cu provocările și inovațiile tehnologice.
Ioan Dumitrașcu (partener Filip & Company), Christiana Bouleanu (associate Filip & Company)