Δεν υπάρχουν συγκρούσεις που δεν μπορούν να διευθετηθούν, εκτός αν ο υπαίτιος παραμένει κρυμμένος - L.Ron Hubbard

ΕΕ: Πολιτική συμφωνία για τον κανονισμό για την την ανθεκτικότητα στον κυβερνοχώρο

1 Δεκεμβρίου, 2023

Την ικανοποίησή της για την πολιτική συμφωνία, που επετεύχθη χθες το βράδυ μεταξύ του Ευρωκοινοβουλίου και του Συμβουλίου της ΕΕ για τον νέο κανονισμό για τις υποχρεωτικές απαιτήσεις κυβερνοασφάλειας σε «υλισμικό (hardware) και λογισμικό (software)», που χρησιμοποιείται σε συσκευές παρακολούθησης βρεφών, έξυπνα ρολόγια, βιντεοπαιχνίδια κ.λπ., εκφράζει η Ευρωπαϊκή Επιτροπή.

Ο κανονισμός για την κυβερνοανθεκτικότητα, όπως αποκαλείται, αποτελεί την πρώτη νομοθεσία αυτού του είδους στον κόσμο και είχε προταθεί από την Ευρωπαϊκή Επιτροπή τον Σεπτέμβριο του 2022. Για την εφαρμογή του σε όλα τα κράτη, μετά τη χθεσινή συμφωνία, απομένει η επίσημη έγκριση από τα δύο θεσμικά όργανα της ΕΕ και η δημοσίευση του κανονισμού στην Επίσημη Εφημερίδα της ΕΕ.

Ο κανονισμός, όπως αναφέρεται στη σχετική ανακοίνωση, «θα βελτιώσει το επίπεδο κυβερνοασφάλειας των ψηφιακών προϊόντων προς όφελος των καταναλωτών και των επιχειρήσεων σε όλη την ΕΕ», καθώς θεσπίζει «αναλογικές υποχρεωτικές απαιτήσεις κυβερνοασφάλειας» για κάθε είδους hardware και software, από τις συσκευές παρακολούθησης βρεφών και τα έξυπνα ρολόγια ως τα βιντεοπαιχνίδια, τα τείχη προστασίας και τους δρομολογητές. Ανάλογα, δε, με το επίπεδο κινδύνου, το κάθε προϊόν θα υπόκειται σε διαφορετικές απαιτήσεις ασφάλειας, ενώ λιγότερο από το 10% των προϊόντων θα υπόκειται σε αξιολογήσεις από τρίτους.

Βάσει του κανονισμού, οι κατασκευαστές hardware και software θα πρέπει να εφαρμόσουν μέτρα κυβερνοασφάλειας σε ολόκληρο τον κύκλο ζωής του προϊόντος, από το σχεδιασμό και την ανάπτυξη έως τη διάθεση του προϊόντος στην αγορά, ενώ τα προϊόντα αυτά «θα φέρουν τη σήμανση CE για να υποδεικνύουν ότι συμμορφώνονται με τις απαιτήσεις του Κανονισμού και επομένως μπορούν να πωληθούν στην ΕΕ».

Ο κανονισμός θα εισάγει επίσης τη νομική υποχρέωση για τους κατασκευαστές να παρέχουν στους καταναλωτές «έγκαιρες ενημερώσεις ασφαλείας για αρκετά χρόνια μετά την αγορά» και η περίοδος αυτή «πρέπει να αντικατοπτρίζει τον χρόνο που αναμένεται να χρησιμοποιηθούν τα προϊόντα».

Με την έναρξη ισχύος του κανονισμού, οι κατασκευαστές, οι εισαγωγείς και οι διανομείς προϊόντων hardware και software θα έχουν στη διάθεσή τους 36 μήνες για να προσαρμοστούν στις νέες απαιτήσεις, με εξαίρεση μια πιο περιορισμένη περίοδο χάριτος 21 μηνών σε σχέση με την υποχρέωση αναφοράς των κατασκευαστών για «περιστατικά και τρωτά σημεία».

Τριπλασιάστηκε ο αριθμός των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού

Σύμφωνα με την ανακοίνωση, «τον τελευταίο χρόνο, ο αριθμός των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού έχει τριπλασιαστεί και καθημερινά, μικρές επιχειρήσεις και κρίσιμα ιδρύματα όπως τα νοσοκομεία, γίνονται στόχος εγκληματιών στον κυβερνοχώρο». Εκτιμάται, δε, ότι «κάθε 11 δευτερόλεπτα, ένας οργανισμός πλήττεται από επίθεση ransomware, με κόστος περίπου 20 δισεκατομμύρια ευρώ ετησίως», ενώ, μόνο το 2021, «οι εγκληματίες του κυβερνοχώρου μπόρεσαν να χακάρουν συσκευές και να εξαπολύσουν περίπου 10 εκατομμύρια κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS) παγκοσμίως, καθιστώντας τους ιστότοπους και τις διαδικτυακές υπηρεσίες απρόσιτες στους χρήστες τους».

Ο νέος κανονισμός βασίζεται στη Στρατηγική της ΕΕ για την Κυβερνοασφάλεια του 2020 και στη Στρατηγική της Ένωσης Ασφάλειας της ΕΕ για το 2020 και ανακοινώθηκε στην ομιλία για την Κατάσταση της Ευρωπαϊκής Ένωσης το 2021 ως μέρος του σχεδίου για την οικοδόμηση μιας Ευρώπης κατάλληλης για την ψηφιακή εποχή. Θα συμπληρώσει, δε, την υφιστάμενη νομοθεσία, και συγκεκριμένα το πλαίσιο NIS2, που εγκρίθηκε το 2022.

Μ. Σχοινάς: «Οι νέοι κανόνες απαιτούν κάθε διασυνδεδεμένο προϊόν που πωλείται στην ΕΕ να είναι ασφαλές στον κυβερνοχώρο και να διασφαλίζει ότι οι επιχειρήσεις και τα σπίτια μας γίνονται πιο ασφαλή»

«Η ασφάλεια όλων των προϊόντων που κυκλοφορούν στην ΕΕ ήταν πάντα προτεραιότητα και success story», τόνισε ο αντιπρόεδρος για την Προώθηση του Ευρωπαϊκού Τρόπου Ζωής μας, Μαργαρίτης Σχινάς, σε δήλωσή του με αφορμή την επίτευξη της πολιτικής συμφωνίας, προσθέτοντας ότι «με τον νόμο για την ανθεκτικότητα στον κυβερνοχώρο (Cyber Resilience Act), καλύπτουμε ένα κενό, συμπληρώνοντας τους κανόνες ασφαλείας, έτσι ώστε η ασφάλεια από το σχεδιασμό να ισχύει για όλα τα προϊόντα που φτάνουν σε καταναλωτές και χρήστες της ΕΕ», καθώς «οι νέοι κανόνες απαιτούν κάθε διασυνδεδεμένο προϊόν που πωλείται στην ΕΕ να είναι ασφαλές στον κυβερνοχώρο και να διασφαλίζει ότι οι επιχειρήσεις και τα σπίτια μας γίνονται πιο ασφαλή».

Την πολιτική συμφωνία για τον νέο κανονισμό χαιρέτισαν και η αντιπρόεδρος για τις Αξίες και τη Διαφάνεια, Βέρα Γιούροβα, και ο επίτροπος για την Εσωτερική Αγορά, Τιερί Μπρετόν.

Χρυσόστομος Μπίκατζικ