Προκειμένου να διασφαλιστεί ότι τα προϊόντα με ψηφιακές συνιστώσες, όπως οι συνδεδεμένες οικιακές κάμερες, τα έξυπνα ψυγεία, οι τηλεοράσεις και τα παιχνίδια, είναι ασφαλή πριν από την είσοδό τους στην αγορά, οι εκπρόσωποι των κρατών μελών (ΕΜΑ) κατέληξαν σε κοινή θέση σχετικά με την προτεινόμενη νομοθεσία όσον αφορά τις οριζόντιες απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία (πράξη για την κυβερνοανθεκτικότητα).
Στόχοι της πρότασης
Το σχέδιο κανονισμού θεσπίζει υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για τον σχεδιασμό, την ανάπτυξη, την παραγωγή και τη διάθεση στην αγορά προϊόντων υλισμικού και λογισμικού, ώστε να αποφεύγονται οι αλληλεπικαλυπτόμενες απαιτήσεις που απορρέουν από διαφορετικές νομοθετικές πράξεις στα κράτη μέλη της ΕΕ.
Ο προτεινόμενος κανονισμός θα εφαρμόζεται σε όλα τα προϊόντα που συνδέονται άμεσα ή έμμεσα με άλλη συσκευή ή δίκτυο. Υπάρχουν ορισμένες εξαιρέσεις για τα προϊόντα, για τα οποία οι απαιτήσεις κυβερνοασφάλειας καθορίζονται ήδη στους υφιστάμενους κανόνες της ΕΕ, για παράδειγμα σχετικά με τα ιατροτεχνολογικά προϊόντα, την αεροπορία ή τα αυτοκίνητα.
Η πρόταση αποσκοπεί να καλύψει τα κενά, να αποσαφηνίσει τους συνδέσμους και να καταστήσει την υφιστάμενη νομοθεσία για την κυβερνοασφάλεια πιο συνεκτική, διασφαλίζοντας ότι τα προϊόντα με ψηφιακές συνιστώσες, για παράδειγμα τα προϊόντα του «διαδικτύου των πραγμάτων» (IoT), καθίστανται ασφαλή σε ολόκληρη την αλυσίδα εφοδιασμού και καθ’ όλη τη διάρκεια του κύκλου ζωής τους.
Τέλος, ο προτεινόμενος κανονισμός επιτρέπει επίσης στους καταναλωτές να λαμβάνουν υπόψη την κυβερνοασφάλεια κατά την επιλογή και τη χρήση προϊόντων που περιέχουν ψηφιακά στοιχεία, παρέχοντας στους χρήστες τη δυνατότητα να προβαίνουν σε τεκμηριωμένες επιλογές προϊόντων υλισμικού και λογισμικού με τα κατάλληλα χαρακτηριστικά κυβερνοασφάλειας.
Κυριότερα στοιχεία που διατηρούνται από την πρόταση της Επιτροπής
Η κοινή θέση του Συμβουλίου διατηρεί τη γενική κατεύθυνση της πρότασης της Επιτροπής, συγκεκριμένα όσον αφορά:
- κανόνες για την επανεξισορρόπηση της ευθύνης συμμόρφωσης των κατασκευαστών, οι οποίοι πρέπει να διασφαλίζουν τη συμμόρφωση με τις απαιτήσεις ασφάλειας των προϊόντων με ψηφιακά στοιχεία που διατίθενται στην αγορά της ΕΕ, συμπεριλαμβανομένων υποχρεώσεων όπως η εκτίμηση κινδύνου για την κυβερνοασφάλεια, η δήλωση συμμόρφωσης και η συνεργασία με τις αρμόδιες αρχές
- βασικές απαιτήσεις για τις διαδικασίες χειρισμού τρωτών σημείων για τους κατασκευαστές, ώστε να διασφαλίζεται η κυβερνοασφάλεια των ψηφιακών προϊόντων, και υποχρεώσεις για τους οικονομικούς φορείς, όπως οι εισαγωγείς ή οι διανομείς, σε σχέση με τις εν λόγω διαδικασίες
- μέτρα για τη βελτίωση της διαφάνειας όσον αφορά την ασφάλεια των προϊόντων υλισμικού και λογισμικού για τους καταναλωτές και τους επιχειρηματικούς χρήστες, καθώς και ένα πλαίσιο εποπτείας της αγοράς για την επιβολή των εν λόγω κανόνων
Οι τροποποιήσεις του Συμβουλίου
Ωστόσο, το κείμενο του Συμβουλίου τροποποιεί διάφορα μέρη της πρότασης της Επιτροπής, μεταξύ άλλων όσον αφορά τις ακόλουθες πτυχές:
- το πεδίο εφαρμογής της προτεινόμενης νομοθεσίας, μεταξύ άλλων όσον αφορά τις ειδικές κατηγορίες προϊόντων που θα πρέπει να συμμορφώνονται με τις απαιτήσεις του κανονισμού
- υποχρεώσεις αναφοράς των τρωτών σημείων ή συμβάντων που αποτελούν αντικείμενο ενεργούς εκμετάλλευσης στις αρμόδιες εθνικές αρχές («ομάδες αντιμετώπισης συμβάντων ασφάλειας υπολογιστών» — CSIRT) αντί του οργανισμού της ΕΕ για την ασφάλεια στον κυβερνοχώρο (ENISA), με τον τελευταίο να δημιουργεί ενιαία πλατφόρμα αναφοράς
- στοιχεία για τον προσδιορισμό της αναμενόμενης διάρκειας ζωής του προϊόντος από τους κατασκευαστές
- μέτρα στήριξης των μικρών και πολύ μικρών επιχειρήσεων
- απλουστευμένη δήλωση συμμόρφωσης
Επόμενα βήματα
Η σημερινή συμφωνία επί της κοινής θέσης του Συμβουλίου («εντολή διαπραγμάτευσης») θα δώσει τη δυνατότητα στην ισπανική Προεδρία να αρχίσει διαπραγματεύσεις με το Ευρωπαϊκό Κοινοβούλιο («τριμερείς διαλόγους») σχετικά με το τελικό κείμενο της προτεινόμενης νομοθεσίας.
Γενικές πληροφορίες
Το Συμβούλιο, στα συμπεράσματά του, της 2ας Δεκεμβρίου 2020, σχετικά με την κυβερνοασφάλεια των συνδεδεμένων συσκευών, υπογράμμισε ότι είναι σημαντικό να εξεταστεί η ανάγκη θέσπισης οριζόντιας νομοθετικής πράξης σε μακροπρόθεσμο επίπεδο, με την οποία θα ορίζονται επίσης οι αναγκαίοι όροι διάθεσης στην αγορά, για την κάλυψη όλων των συναφών πτυχών της κυβερνοασφάλειας των συνδεδεμένων συσκευών, όπως η διαθεσιμότητα, η ακεραιότητα και η εμπιστευτικότητα.
Η ιδέα, που ανακοινώθηκε για πρώτη φορά από την Πρόεδρο της Επιτροπής κα von der Leyen στην ομιλία της για την κατάσταση της Ένωσης τον Σεπτέμβριο του 2021, αποτυπώθηκε στα συμπεράσματα του Συμβουλίου, της 23ης Μαΐου 2022, σχετικά με τη διαμόρφωση της στάσης της Ευρωπαϊκής Ένωσης στον κυβερνοχώρο, βάσει των οποίων η Επιτροπή κλήθηκε να προτείνει κοινές απαιτήσεις κυβερνοασφάλειας για τις συνδεδεμένες συσκευές έως το τέλος του 2022.
Στις 15 Σεπτεμβρίου 2022 η Επιτροπή ενέκρινε την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με οριζόντιες απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία και με την τροποποίηση του κανονισμού (ΕΕ) 2019/1020 («πράξη για την κυβερνοανθεκτικότητα»), η οποία θα συμπληρώσει το πλαίσιο κυβερνοασφάλειας της ΕΕ: την οδηγία για την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία NIS), την οδηγία σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS 2) και την πράξη της ΕΕ για την κυβερνοασφάλεια.
Χρήσιμες πηγές και πληροφορίες:
- Πράξη για την κυβερνοανθεκτικότητα, διαπραγματευτική εντολή του Συμβουλίου, 19 Ιουλίου 2023
- Κανονισμός σχετικά με οριζόντιες απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία (πράξη για την κυβερνοανθεκτικότητα), πρόταση της Επιτροπής, 15 Σεπτεμβρίου 2022
- Οδηγία σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS 2), 27 Δεκεμβρίου 2022
- Πράξη για την κυβερνοασφάλεια, 7 Ιουνίου 2019
- Οδηγία για την ασφάλεια συστημάτων δικτύου και πληροφοριών (οδηγία NIS), 19 Ιουλίου 2016
