Європейська комісія - посилення кібербезпеки бездротових пристроїв та продуктів

Комісія стурбована тим, що конструкція бездротових пристроїв, що продаються в Європейському союзі, не гарантує достатнього рівня кібербезпеки, захисту особистих даних і конфіденційності їх користувачів. В останні роки на ринку ЄС були виявлені продукти, які використовують слабкий рівень безпеки певних категорій бездротових пристроїв і вразливі для атак або крадіжки особистих даних.

Відповідно до прийнятих вимог виробники бездротових пристроїв повинні будуть включати технічні функції для підвищення рівня кібербезпеки таких пристроїв перед їх розміщенням на європейському ринку.

Пропоноване законодавство встановлює зобов'язання для виробників щодо підвищення рівня кібербезпеки продуктів, що розміщуються на ринку ЄС. Ці зобов'язання діють в інтересах споживачів. Це також дозволить державам-членам вживати коригувальних заходів у разі виявлення на ринку небезпечних продуктів.

Ініціатива Комісії спрямована на досягнення таких цілей:

·         Підвищення стійкості мереж, обладнання повинно включати функції, що дозволяють уникнути неправильного використання мереж зв'язку.

·         Поліпшення захисту особистих даних і конфіденційності споживачів, обладнання буде включати функції, що гарантують захист особистих даних і конфіденційності.

·         Зниження ризику грошового шахрайства, обладнання повинно включати функції, що дозволяють мінімізувати ризик шахрайства при використанні обладнання для електронних платежів.

Сьогодні бездротове обладнання є метою понад 80% атак кібербезпеки в порівнянні з дротовими пристроями.

Таким чином, дана ініціатива охоплює певні категорії бездротових пристроїв, що використовують радіотехнологію. Рішення про те, які пристрої покриваються, було прийнято на основі підходу, заснованого на оцінці ризику, і відповідно до результатів аналізу витрат і вигод.

Зокрема, законодавство поширюється на таке обладнання:

·         Пристрої, здатні обмінюватися даними через Інтернет, приклади такого обладнання включають електронні пристрої, такі як смартфони, планшети, електронні фотоапарати, телекомунікаційне обладнання, а також обладнання для Інтернету. Через недостатню безпеку такі пристрої становлять ризик того, що треті сторони можуть неналежним чином отримати доступ до особистих даних і поділитися ними, в тому числі з метою шахрайства, або що таке обладнання буде неправильно використано для завдання шкоди мережі.

·         Іграшки та обладнання для догляду за дітьми, іграшки та радіоняні можуть бути вразливими до загроз кібербезпеки, які відстежують або збирають інформацію про дітей. Таким чином, захист прав дітей є важливим елементом цього законодавства.

·         Носимі пристрої, такі як розумні годинники та фітнес-трекери, все більше і більше присутні в нашому житті і збирають біометричні дані.

У законодавчому акті перераховані категорії товарів, на які не поширюються деякі або всі істотні вимоги.

Автомобілі, електронні системи стягнення плати за проїзд, обладнання для дистанційного керування безпілотними літальними апаратами, а також спеціальне радіообладнання, не призначене для бортових систем, яке може бути встановлено на літаках, звільняються від вимог щодо захисту особистих даних та захисту від шахрайства. Крім того, жодна з вимог не поширюється на медичні вироби та медичні вироби in vitro.

Кібербезпека цих категорій продуктів гарантується існуючими частинами спеціального законодавства ЄС.

Комісія прийняла делегований акт відповідно до Директиви про радіообладнання 2014/53/EU. Законодавці уповноважили його визначати деякі істотні вимоги щодо певних класів і категорій радіообладнання.

Цей делегований закон, а також Директива щодо радіообладнання узгоджені з принципами технічної гармонізації, встановленими Новою законодавчою базою (NLF), яка застосовується з 2008 року. Очікується, що галузь зможе безперешкодно впровадити нові вимоги з урахуванням їх ознайомлення із загальною моделлю.

Делегований акт встановлює основні вимоги, сформульовані в загальних рисах як цілі, які повинні бути досягнуті, які вважаються необхідними для забезпечення належного рівня кібербезпеки, захисту особистих даних і конфіденційності. Виробники матимуть можливість вибрати конкретні технічні рішення для реалізації цих цілей.

Комісія направить запит на стандартизацію до Європейських організацій зі стандартизації з метою розробки гармонізованих стандартів на підтримку цього законодавства. Стандарти будуть розроблені за участю промисловості і будуть оцінюватися Комісією на предмет відповідності основним вимогам, встановленим правовою базою ЄС.

Як тільки буде встановлено, що конкретні технічні рішення, описані в цих стандартах, відповідають застосовним законодавчим вимогам, ці стандарти можуть забезпечувати презумпцію відповідності делегованому акту. Конкретно це означатиме, що для того, щоб скористатися презумпцією того, що їхня продукція відповідає застосовним законодавчим вимогам, виробники повинні прийняти конкретне технічне рішення, описане в гармонізованому стандарті.

Виробники при виконанні процедур оцінки відповідності перед розміщенням своєї продукції на ринку ЄС матимуть вибір між двома можливостями:

·         Проведення самооцінки, якщо продукт розроблений відповідно до гармонізованих стандартів.

·         Оцінка третьою стороною, виконана незалежним інспекційним органом, незалежно від того, чи використовувався гармонізований стандарт чи ні.

Делегований акт застосовується не тільки до європейської промисловості, але і до будь-якого виробника, який має намір розмістити продукт на ринку ЄС.

У делегованому акті викладені тільки основні вимоги. Виробники можуть вибирати технічні характеристики відповідно до вимог законодавства. Крім того, виробники можуть використовувати гармонізовані стандарти, якщо такі є. Виробники можуть вибрати процедуру оцінки відповідності. Зокрема, після публікації гармонізованих стандартів виробники можуть самостійно оцінювати відповідність своєї продукції без необхідності залучати сторонні органи оцінки.

Щодо МСП вимоги не вищі, ніж для інших типів підприємств. Зокрема, МСП ЄС у секторі електроніки зазвичай займаються складанням компонентів. Отже, малі та середні підприємства, що інтегрують компоненти (наприклад, бездротові набори мікросхем) від різних постачальників, можуть покладатися на продемонстровану безпеку в ланцюжку створення вартості і, як очікується, матимуть можливості для збереження продемонстрованої безпеки при складанні різних компонентів. Перевага цього підходу полягає в тому, що необхідні тести на відповідність і, отже, витрати пропорційно розподіляються між відповідними виробниками, що знижує навантаження на збирачів.

Після затвердження Комісією у Європейському парламенті та Раді буде два місяці для ретельного вивчення пропозиції. Якщо не буде заперечень, делегований акт буде опублікований в OJEU, і почнеться 30-місячний перехідний період, щоб виробник плавно адаптувався до нього. Цей період забезпечує правильний баланс між необхідністю підвищення поточного рівня кібербезпеки і дотриманням термінів промислового процесу.

Делегований акт буде застосовуватися до всіх пристроїв, розміщених на ринку, як тільки він стане чинним. Старі пристрої, які вже були розміщені на ринку ЄС, можуть продовжувати використовуватися без необхідності спеціальної адаптації до кінця їх життєвого циклу.

Делегований акт, що приймає форму Регламенту, безпосередньо застосовується у всіх державах-членах без необхідності транспонування в національне законодавство.

Держави-члени несуть відповідальність за нагляд за ринком. Відповідно до Директиви про радіообладнання кожна держава-член заснувала національний орган з нагляду за ринком, який забезпечує розміщення на ринку тільки безпечних і сумісних продуктів. Ці національні органи з нагляду за ринком також повинні будуть гарантувати, що всі такі продукти відповідають новим вимогам. Органи з нагляду за ринком можуть, наприклад, вимагати інформацію від економічних операторів, вживати обмежувальних заходів, таких як заборони на продаж або відкликання, або накладати санкції. Органи з нагляду за ринком в ЄС обмінюються інформацією та співпрацюють у спеціальній мережі, координованій Комісією.

Делегований акт відповідно до Директиви про радіообладнання є значним кроком до підвищення рівня кібербезпеки бездротових пристроїв, які широко використовуються споживачами. Він буде доповнений майбутнім Законом про кіберстійкість, який буде спрямований на охоплення більшої кількості продуктів з урахуванням всього їх життєвого циклу. Про цю ініціативу було оголошено в Стратегії кібербезпеки ЄС, представленій в грудні 2020 року.

Хоча точний зміст і обсяг оголошеного Закону про кіберстійкість на даний час все ще обговорюються, Комісія забезпечить узгодженість і взаємодоповнюваність всіх відповідних структур ЄС, що стосуються аспектів кібербезпеки.