Европейская комиссия - усиление кибер безопасности беспроводных устройств и продуктов

Европейская комиссия - усиление кибер безопасности беспроводных устройств и продуктов

Комиссия обеспокоена тем, что конструкция беспроводных устройств, продаваемых в Европейском союзе, не гарантирует достаточного уровня кибербезопасности, защиты личных данных и конфиденциальности их пользователей. В последние годы на рынке ЕС были обнаружены продукты, которые используют слабый уровень безопасности определенных категорий беспроводных устройств и уязвимы для атак или кражи личных данных.

В соответствии с принятыми требованиями производители беспроводных устройств должны будут включать технические функции для повышения уровня кибербезопасности таких устройств перед их размещением на европейском рынке.

Предлагаемое законодательство устанавливает обязательства для производителей по повышению уровня кибербезопасности продуктов, размещаемых на рынке ЕС. Эти обязательства действуют в интересах потребителей. Это также позволит государствам-членам принимать корректирующие меры в случае обнаружения на рынке небезопасных продуктов.

Инициатива Комиссии направлена ​​на достижение следующих целей:

    Повышение устойчивости сетей, оборудование должно включать функции, позволяющие избежать неправильного использования сетей связи.

    Улучшение защиты личных данных и конфиденциальности потребителей, оборудование будет включать функции, гарантирующие защиту личных данных и конфиденциальности.

    Снижение риска денежного мошенничества, оборудование должно включать функции, позволяющие минимизировать риск мошенничества при использовании оборудования для электронных платежей.

Сегодня беспроводное оборудование является целью более 80% атак кибербезопасности по сравнению с проводными устройствами.

Таким образом, данная инициатива охватывает определенные категории беспроводных устройств, использующих радио технологию. Решение о том, какие устройства покрываются, было принято на основе подхода, основанного на оценке риска, и в соответствии с результатами анализа затрат и выгод.

В частности, законодательство распространяется на следующее оборудование:

    Устройства, способные обмениваться данными через Интернет, примеры такого оборудования включают электронные устройства, такие как смартфоны, планшеты, электронные фотоаппараты, телекоммуникационное оборудование, а также оборудование для интернета. Из-за недостаточной безопасности такие устройства представляют собой риск того, что третьи стороны могут ненадлежащим образом получить доступ к личным данным и поделиться ими, в том числе в целях мошенничества, или что такое оборудование будет неправильно использовано для нанесения вреда сети.

Игрушки и оборудование для ухода за детьми, игрушки и радионяни могут быть уязвимы для угроз кибербезопасности, которые отслеживают или собирают информацию о детях. Таким образом, защита прав детей является важным элементом этого законодательства.

Носимые устройства, такие устройства, как умные часы и фитнес-трекеры, все больше и больше присутствуют в нашей жизни и собирают биометрические данные.

В законодательном акте перечислены категории товаров, на которые не распространяются некоторые или все существенные требования.

Автомобили, электронные системы взимания платы за проезд, оборудование для дистанционного управления беспилотными летательными аппаратами, а также специальное радиооборудование, не предназначенное для бортовых систем, которое может быть установлено на самолетах, освобождаются от требований, касающихся защиты личных данных и защиты от мошенничества. Кроме того, ни одно из требований не распространяется на медицинские изделия и медицинские изделия in vitro.

Кибербезопасность этих категорий продуктов гарантируется существующими частями специального законодательства ЕС.

Комиссия приняла делегированный акт в соответствии с Директивой по радиооборудованию 2014/53/EU. Законодатели уполномочили его определять некоторые существенные требования в отношении определенных классов и категорий радиооборудования.

Этот делегированный закон, а также Директива по радиооборудованию согласованы с принципами технической гармонизации, установленными Новой законодательной базой (NLF), которая применяется с 2008 года. Ожидается, что отрасль сможет беспрепятственно внедрить новые требования с учетом их знакомство с общей моделью.

Делегированный акт устанавливает основные требования, сформулированные в общих чертах как цели, которые должны быть достигнуты, которые считаются необходимыми для обеспечения надлежащего уровня кибербезопасности, защиты личных данных и конфиденциальности. У производителей будет возможность выбрать конкретные технические решения для реализации этих целей.

Комиссия направит запрос на стандартизацию в Европейские организации по стандартизации с целью разработки гармонизированных стандартов в поддержку этого законодательства. Стандарты будут разработаны с участием промышленности и будут оцениваться Комиссией на предмет соответствия основным требованиям, установленным правовой базой ЕС. Как только будет установлено, что конкретные технические решения, описанные в этих стандартах, соответствуют применимым законодательным требованиям, эти стандарты могут обеспечивать презумпцию соответствия делегированному акту. Конкретно это будет означать, что для того, чтобы воспользоваться презумпцией того, что их продукция соответствует применимым законодательным требованиям, производители должны принять конкретное техническое решение, описанное в гармонизированном стандарте.

Производители при выполнении процедур оценки соответствия перед размещением своей продукции на рынке ЕС будут иметь выбор между двумя возможностями:

    Проведение самооценки, если продукт разработан в соответствии с гармонизированными стандартами.

    Оценка третьей стороной, выполненную независимым инспекционным органом, независимо от того, использовался ли гармонизированный стандарт или нет.

Делегированный акт применим не только к европейской промышленности, но и к любому производителю, который намеревается разместить продукт на рынке ЕС.

В делегированном акте изложены только основные требования. Производители могут выбирать технические характеристики в соответствии с требованиями законодательства. Кроме того, производители могут использовать гармонизированные стандарты, если таковые имеются. Производители могут выбрать процедуру оценки соответствия. В частности, после публикации гармонизированных стандартов производители могут самостоятельно оценивать соответствие своей продукции без необходимости привлекать сторонние органы оценки.

В отношении МСП требования не выше, чем для других типов предприятий. В частности, МСП ЕС в секторе электроники обычно занимаются сборкой компонентов. Следовательно, малые и средние предприятия, интегрирующие компоненты (например, беспроводные наборы микросхем) от разных поставщиков, могут полагаться на продемонстрированную безопасность в цепочке создания стоимости и, как ожидается, будут иметь возможности для сохранения продемонстрированной безопасности при сборке различных компонентов. Преимущество этого подхода состоит в том, что необходимые тесты на соответствие и, следовательно, затраты пропорционально распределяются между соответствующими производителями, что снижает нагрузку на сборщиков.

После утверждения Комиссией у Европейского парламента и Совета будет два месяца для тщательного изучения предложения. Если не будет возражений, делегированный акт будет опубликован в OJEU, и начнется 30-месячный переходный период, чтобы производитель плавно адаптировался к нему. Этот период обеспечивает правильный баланс между необходимостью повышения текущего уровня кибербезопасности и соблюдением сроков промышленного процесса.

Переданный акт будет применяться ко всем устройствам, размещенным на рынке, как только он станет применимым. Старые устройства, которые уже были размещены на рынке ЕС, могут продолжать использоваться без необходимости специальной адаптации до конца их жизненного цикла.

Делегированный акт, принимающий форму Регламента, напрямую применим во всех государствах-членах без необходимости транспонирования в национальное законодательство.

Государства-члены несут ответственность за надзор за рынком. В соответствии с Директивой по радиооборудованию каждое государство-член учредило национальный орган по надзору за рынком, который обеспечивает размещение на рынке только безопасных и совместимых продуктов. Эти национальные органы по надзору за рынком также должны будут гарантировать, что все такие продукты соответствуют новым требованиям. Органы по надзору за рынком могут, например, требовать информацию от экономических операторов, принимать ограничительные меры, такие как запреты на продажу или отзыв, или налагать санкции. Органы по надзору за рынком в ЕС обмениваются информацией и сотрудничают в специальной сети, координируемой Комиссией.

Делегированный акт в соответствии с Директивой по радиооборудованию представляет собой значительный шаг к повышению уровня кибербезопасности беспроводных устройств, которые широко используются потребителями. Он будет дополнен будущим Законом о киберустойчивости, который будет направлен на охват большего количества продуктов с учетом всего их жизненного цикла. Об этой инициативе было объявлено в Стратегии кибербезопасности ЕС, представленной в декабре 2020 года.

Хотя точное содержание и объем объявленного Закона о киберустойчивости в настоящее время все еще обсуждаются, Комиссия обеспечит согласованность и взаимодополняемость всех соответствующих структур ЕС, касающихся аспектов кибербезопасности.