Produkty gospodarstwa domowego podłączone do Internetu wkrótce będą musiały być lepiej chronione przed zagrożeniami cybernetycznymi po tym, jak kraje Unii Europejskiej i prawodawcy uzgodnili w czwartek nowe przepisy.
Okrzyknięta pierwszą na świecie ustawą o odporności cybernetycznej (Cyber Resilience Act) będzie ona miała zastosowanie do urządzeń i oprogramowania codziennego użytku, w tym elektronicznych niań, inteligentnych zegarków, telewizorów i gier wideo, w celu ochrony europejskich konsumentów przed atakami cybernetycznymi i oprogramowaniem ransomware.
Wszystkie firmy wprowadzające sprzęt lub oprogramowanie na rynek UE będą musiały uwzględnić cyberbezpieczeństwo już na wczesnym etapie projektowania produktu i pozostaną odpowiedzialne za odpieranie zagrożeń cybernetycznych przez cały cykl jego życia poprzez udostępnianie użytkownikom aktualizacji zabezpieczeń.
Firmy będą również zobowiązane do zapewnienia klientom przejrzystych informacji na temat cyberzabezpieczeń produktu. Jeśli nie zastosują się do tych wymogów, władze krajowe będą mogły nałożyć wysokie kary lub wycofać produkty z rynku UE.
„Akt o odporności cybernetycznej gwarantuje solidne cyberbezpieczeństwo urządzeń cyfrowych w UE od momentu ich powstania przez cały cykl życia” – Thierry Breton, unijny komisarz ds. rynku wewnętrznego powiedział na platformie mediów społecznościowych X.
Zasady zostały po raz pierwszy przedstawione przez Komisję Europejską w październiku 2022 r. w obliczu gwałtownego wzrostu liczby cyberataków i obaw związanych ze zwiększoną bezbronnością po inwazji Rosji na Ukrainę.
Według danych UE liczba ataków na łańcuch dostaw oprogramowania wzrosła trzykrotnie w ciągu ostatniego roku, a atak ransomware ma miejsce na całym świecie co 11 sekund.
Przepisy umożliwią klientom łatwiejsze określenie, czy produkty – od zabawek po lodówki i pralki – spełniają wysokie unijne standardy cyberbezpieczeństwa. Produkty spełniające wymogi będą opatrzone tzw. „oznakowaniem CE”, natomiast produkty uważane za stwarzające wysokie ryzyko podatności na zagrożenia będą sprawdzane przez strony trzecie.
Jeżeli przedsiębiorstwo zidentyfikuje incydent taki jak złośliwa interwencja, będzie musiało powiadomić odpowiednie organy krajowe w ciągu 24 godzin i przedstawić bardziej kompleksowy raport o zdarzeniu w ciągu 72 godzin.
Odczują to przedsiębiorstwa produkujące w UE oraz te importujące swoje produkty z zewnątrz, ponieważ blok dąży do rozprawienia się z zagrożeniami stwarzanymi przez złośliwe podmioty zagraniczne.
W kręgach UE rosną obawy, że chińskie firmy technologiczne pomagają rządowi w Pekinie gromadzić ogromne ilości wrażliwych danych na całym świecie, a jego służby wywiadowcze skupiają się na celach politycznych, w tym w Brukseli.
Chociaż obawy bloku dotyczą głównie usług cyfrowych i krytycznych, wrażliwych technologii, takich jak zaawansowane półprzewodniki i obliczenia kwantowe, rosnący udział inteligentnych urządzeń produkowanych w Chinach na rynku UE również wzbudził obawy dotyczące podatności na zagrożenia.
Ustawa Cyber Resilience Act nie będzie miała zastosowania do oprogramowania udostępnianego jako usługa, takiego jak aplikacje do edycji tekstu w chmurze, w tym Dokumenty Google.
