A kiberrezilienciáról szóló törvényre vonatkozó javaslatait nyilvánosságra hozta az Európai Bizottság. A törvényjavaslat célja, hogy az EU-ban értékesített hardver- és szoftvertermékek kiberbiztonságát megerősítsék. A gyártóknak kell majd felelősséget vállalniuk a termékeik sérülékenységeiért, azok teljes életciklusa alatt.
Illusztráció: Pixabay
Szeptember 15-én publikálta az Európai Bizottság a kiberrezilienciáról szóló jogszabályt, a Cyber Resilience Actot. A javaslat kimondja, hogy a jövőben minden internetes csatlakozásra képes eszköz, digitális hardver- és szoftvertermék kiberbiztonsági kockázatainak, sérülékenységeinek felméréséért, valamint azok javításáért a gyártó lesz a felelős. A jogszabály kiterjed minden okoseszközre, legyen szó akár hűtőről, vagy mobiltelefonról. Abban az esetben, ha mulasztás történik akár 15 millió eurós, vagy a globális forgalom 2,5 százalékáig terjedő pénzbírsággal sújthatják a gyártókat.
Az intézkedés azért jött létre, hogy ne legyen lehetősége a zsarolócsoportoknak az operációs rendszerekben, hálózati berendezésekben és szoftverekben rejlő biztonsági réseket kihasználva súlyos összegekkel, egyre meredekebb váltságdíjakkal megkárosítania a vállalkozásokat, szervezeteket.
Míg a digitális termékek gyártóinak sok esetben csak reputációvesztést okoz az elhanyagolt biztonság, addig a professzionális felhasználókat és fogyasztókat terheli a költségek túlnyomó része.
A törvény azokra helyezi a felelősséget, akik a termékeket piacra viszik – fogalmazta a közleményben Margrethe Vestager, az EU digitális ügyekért felelős biztosa.
A több százmillió internetre csatlakozó eszköz, tehát a telefonok, számítógépek, háztartási gépek, virtuális asszisztens eszközök, autók, játékok, mind potenciális belépési pontot jelenthetnek a kibertámadásokhoz – Emelte ki Thierry Breton, az EU belső piacért felelős biztosa.
Az Európai Bizottság adatai szerint világszerte minden 11 másodpercben zsarolóvírus-támadás ér valamilyen szervezetet. A 2021-es adatok szerint ez a világgazdaságnak 5,5 milliárd eurójába került.
A jövőben muszáj lesz a gyártóknak felmérni a kiberbiztonsági kockázatokat, valamint felelősséget vállalni a termék iránt, annak teljes élettartama alatt. Továbbá a támadási incidenseket 24 órán belül jelenteni kell az EU kiberbiztonsági ügynökségének (ENISA), illetve megtenni a szükséges intézkedéseket azok megoldására.
Az importőröknek és forgalmazóknak a kívülről behozott termékeket lesz kötelező ellenőrizniük, hogy megfelelnek-e az EU-s szabályoknak. Amennyiben nem tesznek eleget a feltételeknek, a nemzeti felügyeleti hatóságok korlátozhatják, vagy akár meg is tilthatják a termék forgalmazását.
Az Európai Parlament és a Tanács vizsgálatára vár a jogszabálytervezet. Abban az esetben, ha elfogadásra kerül, két éve lesz a tagállamoknak, hogy alkalmazkodjanak az új követelményekhez. A gyártók kötelezettségei, azonban már egy éven belül életbe lépnének.
Margarítisz Szhinász, az Európai Bizottság alelnöke szerint, az EU kiberbiztonsági úttörő szerepköre a Cyber Resilience Acttel teljesedne ki.