Produkty uważane za stwarzające wysokie ryzyko będą miały pierwszeństwo, powiedział dziś urzędnik UE.
Komisja Europejska będzie pracować nad wnioskami o standaryzację cyberbezpieczeństwa w przypadku produktów połączonych wysokiego ryzyka, gdy tylko ustawa o odporności cybernetycznej (CRA) zostanie w pełni przyjęta, oznajmił dziś (21 marca) urzędnik Komisji.
„Mamy już jeden wniosek do konsultacji i wyślemy oficjalny (do organów normalizacyjnych) zaraz po zatwierdzeniu agencji ratingowej” – powiedziała Christiane Kirketerp de Viron, kierownik jednostki ds. cyberbezpieczeństwa i polityki prywatności cyfrowej w DG Connect, powiedziała podczas konferencji wydarzenie organizowane przez Koalicję Cyberbezpieczeństwa.
Celem agencji ratingowej, zaproponowanej przez Komisję w 2022 r., jest zapewnienie, aby produkty wyposażone w funkcje cyfrowe, w tym produkty codziennego użytku związane z Internetem rzeczy, takie jak podłączone dzwonki do drzwi i nianie elektroniczne, a także maszyny przemysłowe, były bezpieczne w użyciu, odporne na zagrożenia cybernetyczne i zapewniały wystarczające informacje o ich właściwościach bezpieczeństwa.
Tak zwane produkty krytyczne będą bardziej rygorystycznie badane przez organ nadzorczy, natomiast produkty obarczone większym ryzykiem będą zarządzane wewnętrznie przez producentów.
„Musimy mądrze formułować wnioski, nie będziemy w stanie od razu mieć standardów dla wszystkiego, co obejmuje agencja ratingowa. Musimy ustalić priorytety i najpierw przyjrzeć się tym, które zapewniają zgodność krytycznym produktom” – dodała.
Jutro (22 marca) organ wykonawczy UE zorganizuje warsztaty z państwami członkowskimi dotyczące norm.
Agencja ratingowa została zatwierdzona w Parlamencie Europejskim na początku tego miesiąca (12 marca) po porozumieniu politycznym pod koniec ubiegłego roku i obecnie oczekuje na formalne przyjęcie przez państwa członkowskie UE, zanim wejdzie w życie.
Oprócz standardów komisja przygotuje w tym roku także akty wykonawcze i delegowane – prawodawstwo wtórne, a także wyda wytyczne dla firm.
Zgodnie z przepisami producenci urządzeń IoT mogą wprowadzać produkty na rynek UE jedynie wtedy, gdy wiedzą, że nie zawierają one żadnych istotnych luk, które mogłyby zostać zhakowane. Ilekroć dowiedzą się o incydentach lub włamaniach, będą musieli zgłosić to odpowiednim władzom.
