Zákon o kybernetickej odolnosti

Vydané: 5 minút čítania

Predsedníctvo Rady a vyjednávači Európskeho parlamentu dosiahli predbežnú dohodu o navrhovaných právnych predpisoch týkajúcich sa požiadaviek na kybernetickú bezpečnosť pre výrobky s digitálnymi prvkami, ktorej cieľom je zabezpečiť, aby výrobky, ako sú pripojené domáce kamery, chladničky, televízory a hračky, boli pred umiestnením bezpečné. trhu (zákon o kybernetickej odolnosti). 

"Dnešná dohoda je míľnikom smerom k bezpečnému a zabezpečenému jednotnému digitálnemu trhu v Európe. Prepojené zariadenia potrebujú pri predaji v EÚ základnú úroveň kybernetickej bezpečnosti, ktorá zabezpečí, že podniky a spotrebitelia budú náležite chránení pred kybernetickými hrozbami. To je presne to, čo zákon o kybernetickej odolnosti dosiahne, keď vstúpi do platnosti." (José Luis Escrivá, španielsky minister pre digitálnu transformáciu)

Hlavné ciele nového nariadenia

Nový zákon zavádza celoeurópske požiadavky na kybernetickú bezpečnosť na návrh, vývoj, výrobu a sprístupnenie hardvérových a softvérových produktov na trhu, aby sa predišlo prekrývaniu požiadaviek vyplývajúcich z rôznych právnych predpisov v členských štátoch EÚ.

Nariadenie sa bude vzťahovať na všetky produkty, ktoré sú priamo alebo nepriamo pripojené k inému zariadeniu alebo k sieti. Existuje niekoľko výnimiek pre produkty, pre ktoré sú požiadavky na kybernetickú bezpečnosť už stanovené v existujúcich pravidlách EÚ, napríklad zdravotnícke pomôcky, letecké produkty a autá.

Cieľom návrhu je vyplniť medzery, objasniť prepojenia a zosúladiť existujúce právne predpisy v oblasti kybernetickej bezpečnosti, čím sa zabezpečí, že produkty s digitálnymi komponentmi, napríklad produkty „internetu vecí“ (IoT), budú zabezpečené v celom dodávateľskom reťazci a v celom svojom životný cyklus.

Nakoniec, nariadenie umožní spotrebiteľom vziať do úvahy kybernetickú bezpečnosť pri výbere a používaní produktov, ktoré obsahujú digitálne prvky, čo im uľahčí identifikáciu hardvérových a softvérových produktov s náležitými funkciami kybernetickej bezpečnosti.

Hlavná myšlienka návrhu Komisie sa zachovala

Predbežne dohodnuté znenie zachováva všeobecnú podstatu návrhu Komisie, konkrétne pokiaľ ide o:

  • pravidlá na opätovné vyváženie zodpovednosti za súlad smerom k výrobcom, ktorí musia spĺňať určité povinnosti, ako je poskytovanie hodnotení rizík kybernetickej bezpečnosti, vydávanie vyhlásení o zhode a spolupráca s príslušnými orgánmi
  • procesy spracovania zraniteľnosti pre výrobcov s cieľom zabezpečiť kybernetickú bezpečnosť digitálnych produktov a povinnosti pre hospodárske subjekty, ako sú dovozcovia alebo distribútori, v súvislosti s týmito procesmi
  • opatrenia na zlepšenie transparentnosti bezpečnosti hardvérových a softvérových produktov pre spotrebiteľov a podnikových používateľov
  • rámec trhového dohľadu na presadzovanie pravidiel.

Hlavné pozmeňujúce a doplňujúce návrhy spoluzákonodarcov

Spoluzákonodarcovia však navrhujú rôzne úpravy častí návrhu Komisie, najmä pokiaľ ide o:

  • rozsah navrhovaných právnych predpisov s jednoduchšou metodikou klasifikácie digitálnych produktov, na ktorú sa má vzťahovať nové nariadenie
  • určenie očakávanej životnosti produktu výrobcami: zatiaľ čo platí zásada, že doba podpory pre digitálny produkt zodpovedá jeho očakávanej životnosti, je uvedená doba podpory najmenej päť rokov , s výnimkou produktov, pri ktorých sa očakáva, že sa budú používať kratšie časové obdobie
  • povinnosti podávať správy týkajúce sa aktívne využívaných zraniteľných miest a incidentov: príslušné vnútroštátne orgány budú prvými príjemcami takýchto správ, ale posilňuje sa úloha Agentúry EÚ pre kybernetickú bezpečnosť (ENISA),
  • nové pravidlá budú platiť tri roky po nadobudnutí účinnosti zákona, čo by malo výrobcom poskytnúť dostatok času na prispôsobenie sa novým požiadavkám
  • boli dohodnuté dodatočné podporné opatrenia pre malé podniky a mikropodniky vrátane osobitných činností na zvyšovanie informovanosti a odbornej prípravy, ako aj na podporu testovania a postupov posudzovania zhody.

Ďalšie kroky

Po dnešnej predbežnej dohode budú v najbližších týždňoch pokračovať práce na technickej úrovni, aby sa dokončili podrobnosti nového nariadenia. Španielske predsedníctvo predloží kompromisné znenie zástupcom členských štátov (Coreper) na schválenie po ukončení tejto práce.

Celé znenie budú musieť potvrdiť obe inštitúcie a pred formálnym prijatím spoluzákonodarcami prejsť právnicko-lingvistickou revíziou.

Pozadie

Rada vo svojich záveroch z 2. decembra 2020 o kybernetickej bezpečnosti prepojených zariadení zdôraznila, že je dôležité posúdiť potrebu horizontálnej legislatívy z dlhodobého hľadiska na riešenie všetkých relevantných aspektov kybernetickej bezpečnosti prepojených zariadení, ako sú dostupnosť, integrita a dôvernosť vrátane upresňujúce podmienky uvedenia na trh.

Prvýkrát, ktorý predsedníčka Komisie von der Leyenová oznámila vo svojom prejave o stave Únie v septembri 2021, bol zákon o kybernetickej odolnosti spomenutý v záveroch Rady z 23. mája 2022 o rozvoji kybernetického postoja Európskej únie, v ktorých sa Komisia vyzvala, aby predložila jeho návrh do konca roku 2022.

Komisia 15. septembra 2022 predložila návrh zákona o kybernetickej odolnosti, ktorý doplní existujúci rámec kybernetickej bezpečnosti EÚ: smernicu o bezpečnosti sietí a informačných systémov (smernica NIS), smernicu o opatreniach na dosiahnutie vysokej úrovne kybernetickej bezpečnosti v celej Únii (smernica NIS 2) a zákon EÚ o kybernetickej bezpečnosti.