Po wakacjach projekt unijnych przepisów ustalających wymogi cyberbezpieczeństwa dla produktów z elementami cyfrowymi trafi na posiedzenie plenarne Parlamentu Europejskiego. Po jego przyjęciu hiszpańska prezydencja będzie mogła w trilogu sfinalizować prace nad projektem rozporządzenia – Akt o cyberodporności (Cyber Resilience Act).
Regulacja, zaproponowana przez Komisję Europejską we wrześniu ub.r., ma zapewnić wdrożenie odpowiednich do ryzyka środków cyberbezpieczeństwa w produktach z elementami cyfrowymi. Będzie miała zastosowanie do wszystkich artykułów, które są pośrednio lub bezpośrednio podłączone do innego urządzenia lub sieci – np. smartfonów, podłączonych do internetu kamer i zabawek, inteligentnych lodówek itp. – z wyjątkiem tych, dla których odrębnymi przepisami wprowadzono już w Unii Europejskiej wymogi cyberbezpieczeństwa (jak urządzenia medyczne czy samochody).
Wprowadzane aktem o cyberodporności obowiązki w sferze cyberbezpieczeństwa dotyczą etapu projektowania, rozwoju, produkcji i wprowadzania do obrotu. Ustanawiając wymogi informacyjne dotyczące cyberzabezpieczeń, rozporządzenie umożliwi też konsumentom uwzględnianie tego aspektu przy wyborze i użytkowaniu produktów zawierających elementy cyfrowe.
Projekt przewiduje m.in. przeniesienie odpowiedzialności za przestrzeganie cyberbezpieczeństwa na producentów, którzy muszą zapewnić zgodność objętych zakresem aktu urządzeń z określonymi wymogami. Regulacja określa też obowiązki dotyczące oceny ryzyka produktów dla cyberbezpieczeństwa i współpracy z właściwymi organami w tej dziedzinie.
Rada UE jest już gotowa do trilogu na temat ostatecznej wersji aktu. Swój mandat negocjacyjny przedstawiciele państw członkowskich (Coreper) przyjęli w ubiegłym tygodniu.
– To dla prezydencji hiszpańskiej ważne osiągnięcie i mamy nadzieję, że pozwoli jak najbardziej przyspieszyć negocjacje z parlamentem – podkreśliła Carme Artigas Brugal, hiszpańska sekretarz stanu ds. cyfryzacji i sztucznej inteligencji.
Rada wprowadziła do projektu kilka zmian, m.in. uproszczoną deklarację zgodności produktu z wymogami cyberbezpieczeństwa oraz środki wsparcia dla małych przedsiębiorstw i mikroprzedsiębiorstw. Zmieniła też organ, któremu należy zgłaszać podatności i cyberincydenty – mają to być zespoły reagowania na incydenty bezpieczeństwa komputerowego w państwach członkowskich (tzw. CSIRT-y) zamiast Agencji UE ds. Cyberbezpieczeństwa (ENISA).
Z kolei w Parlamencie Euro pejskim aktem o cyberodpor ności zajmuje się komisja przemysłu, badań naukowych i energii (ITRE). Przyjmując projekt, wprowadziła ona poprawki, które mają zwiększyć skuteczność nowych przepisów. Europosłowie proponują rozszerzenie listy urządzeń, które mają być objęte regulacją, m.in. o czytniki biometryczne czy inteligentne zegarki.
Komisja ITRE dodała również przepis o automatycznym instalowaniu aktualizacji zabezpieczeń – przeprowadzanych oddzielnie od aktualizacji funkcjonalnych. ©℗
Podstawa prawna
Etap legislacyjny
Projekt rozporządzenia przed głosowaniem plenarnym w PE