Закон ЕС о киберустойчивости: что вам нужно знать

Закон ЕС о киберустойчивости вступил в силу 10 декабря. Этот закон распространяется на всех производителей, дистрибьюторов и импортеров технологий, которые подключаются к другим устройствам или сетям, работающим в блоке.

Примерами применимых продуктов являются умные дверные звонки, радионяни, системы сигнализации, маршрутизаторы, мобильные приложения, колонки, игрушки и фитнес-трекеры. Те, которые соответствуют законодательству, будут иметь маркировку CE, которая указывает на то, что устройство соответствует стандартам ЕС по охране здоровья, безопасности и защите окружающей среды, что позволяет потребителям учитывать безопасность при принятии решений о покупке.

Целью Акта является прояснение и согласованное применение существующих правил кибербезопасности, чтобы все устройства, продаваемые в ЕС, соответствовали базовому уровню защиты. Он обязывает производителей, импортеров и дистрибьюторов технологий предоставлять поддержку безопасности и обновления.

«Цифровые аппаратные и программные продукты представляют собой один из основных путей для успешных кибератак», — говорится на официальном сайте Акта. «В связанной среде инцидент кибербезопасности в одном продукте может повлиять на всю организацию или всю цепочку поставок, часто распространяясь через границы внутреннего рынка в течение нескольких минут».

Примерами инцидентов, в которых была нарушена безопасность продуктов с цифровыми элементами, являются вирус-вымогатель WannaCry, шпионское ПО для мобильных телефонов Pegasus и атака на цепочку поставок Kaseya VSA.

«До принятия Европейского закона о киберустойчивости различные акты и инициативы, принятые на уровне Союза и на национальном уровне, лишь частично решали выявленные проблемы и риски, связанные с кибербезопасностью, создавая законодательную неразбериху на внутреннем рынке», — говорится на веб-сайте закона.

Законодательство включает требования безопасности для всех этапов жизненного цикла продукта, от его проектирования и разработки до производства, развертывания, обслуживания и окончательной утилизации. Хотя Акт уже вступил в силу, многие обязательства будут применяться поэтапно, причем большинство из них должны быть выполнены к 11 декабря 2027 года.

СМ.: Наступил крайний срок для соответствия требованиям NIS 2: что вам нужно знать

Закон о безопасности продукции и телекоммуникационной инфраструктуре, вступивший в силу в апреле, требует от производителей, импортеров и дистрибьюторов устройств Интернета вещей в Великобритании соблюдения аналогичного стандарта. В стране каждое устройство должно иметь уникальный пароль, срок действия поддержки безопасности и способ сообщения о проблемах безопасности, как минимум.

Кто должен соблюдать Закон о киберустойчивости?

Любая компания, которая производит, распространяет или импортирует продукцию с цифровыми компонентами, должна соблюдать Акт. К ним относятся:

Системы безопасности и управления доступом: программное обеспечение и оборудование для управления привилегированным доступом, менеджеры паролей, биометрические считыватели и т. д. Программные приложения: браузеры, VPN и т. д. Сетевые и системы безопасности: брандмауэры, информация о безопасности, системы управления событиями и т. д. Основное оборудование и компоненты: маршрутизаторы, модемы, микропроцессоры и т. д. Операционные системы и виртуализация: операционные системы, менеджеры загрузки, гипервизоры и т. д. Управление открытыми ключами и сертификатами: инфраструктура открытых ключей, программное обеспечение для выпуска цифровых сертификатов и т. д. Умные устройства и продукты IoT: умные помощники, умные дверные замки, радионяни, системы сигнализации, подключенные к Интернету игрушки с интерактивными функциями, такими как отслеживание местоположения или съемка, носимые устройства для детей, мониторинг здоровья и т. д. Оборудование с расширенными функциями безопасности: оборудование с защитными ящиками, шлюзы интеллектуальных счетчиков, смарт-карты и т. д. Они считаются «критическими» продуктами, поэтому они будут подвергаться более частым обновлениям безопасности и улучшенным мерам управления уязвимостями. Они также должны иметь европейский сертификат кибербезопасности с уровнем надежности не ниже «существенного».

Исключения могут быть сделаны для устройств, которые подпадают под требования кибербезопасности в других законодательствах, таких как медицинские устройства, авиационные устройства и автомобили. Полный список см. в Приложениях III и IV Закона.

СМ.: Законопроект об использовании и доступе к данным: что это такое и как он влияет на британский бизнес?

Каковы требования Закона о киберустойчивости?

Для производителей

Устраняйте уязвимости в продукте не менее чем на пять лет или на весь срок его службы, в зависимости от того, что короче. Ведите технические файлы, подтверждающие соответствие на каждом этапе, включая проекты (безопасность должна быть «по умолчанию»), производственные данные и оценки соответствия. Прикрепляйте маркировку CE к соответствующим продуктам и обеспечьте наличие точных инструкций на языках целевых рынков. Об эксплуатируемых уязвимостях необходимо сообщать в Агентство Европейского союза по кибербезопасности (ENISA) и назначенную Группу реагирования на инциденты в течение 24 часов с момента обнаружения. Уведомление об уязвимости также должно быть отправлено в течение 72 часов, а окончательный отчет — в течение 14 дней или месяца. Уведомляйте пользователей и органы надзора за рынком, если компания прекращает свою деятельность.

Для импортеров

Обеспечьте соответствие продукции нормативным требованиям, проверив документацию производителя. Сохраняйте техническую документацию и декларации соответствия доступными в течение как минимум десяти лет после выпуска продукта. Сообщайте о несоответствующих или опасных продуктах производителям или соответствующим органам.

Для дистрибьюторов

Проверьте документацию производителя или импортера перед выпуском продукции на рынок, чтобы убедиться в ее соответствии правилам. Убедитесь, что условия хранения и транспортировки не ставят под угрозу соответствие продукции. Ведите учет поставщиков и клиентов, чтобы облегчить отзыв или другие действия по обеспечению безопасности. Сообщайте о несоответствующих или опасных продуктах производителю или импортеру.

Если импортеры или дистрибьюторы размещают продукт на рынке под своим собственным именем или торговой маркой или если какое-либо лицо вносит существенные изменения, а затем выпускает его на рынок, на них также распространяются обязательства на уровне производителя.

Как будет осуществляться реализация Закона о киберустойчивости?

Закон ЕС о киберустойчивости будет в первую очередь обеспечиваться посредством оценки соответствия и надзора за рынком. Большинство оценок могут быть выполнены внутри компании, в то время как критически важные продукты должны оцениваться аккредитованными третьими лицами. Процедуры также различаются в зависимости от уровня риска продукта. Национальные органы надзора за рынком будут контролировать соблюдение требований посредством инспекций, испытаний и проверки документации.

Каковы санкции за несоблюдение?

Производители, не соблюдающие положения Закона, подлежат административным штрафам в размере до 15 000 000 евро или до 2,5% от их общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма больше.

Импортеры и дистрибьюторы, не соблюдающие Закон, подлежат административным штрафам в размере до €10 000 000 или до 2% от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше. Отзыв и запрет также могут использоваться в качестве корректирующих мер.

Критика Закона о киберустойчивости

Не все довольны Законом о киберустойчивости. В 2023 году 34% руководителей служб информационной безопасности и кибербезопасности во всем мире заявили, что законодательство является для них главным фактором стресса, в частности, упомянув Закон ЕС о киберустойчивости.

Харли Гейгер, консультант и специалист по защите данных в Venable LLP, говорит, что законодательство сделает ЕС таким же влиятельным в сфере кибербезопасности, каким «GDPR был в сфере конфиденциальности». Однако его беспокоит требование, согласно которому компании должны раскрывать информацию об использованных уязвимостях в течение 24 часов с момента их обнаружения.

Гейгер сказал TechRepublic в 2023 году: «Проблема в том, что в течение 24 часов уязвимость вряд ли будет исправлена ​​или смягчена на тот момент. Тогда у вас может быть скользящий список программных пакетов с неснижаемыми уязвимостями, которые будут предоставлены потенциально десяткам правительственных агентств ЕС».

Другими словами, он пояснил, что ENISA поделится ею с группами готовности к обеспечению компьютерной безопасности государств-членов и органами надзора.

«Если это программное обеспечение, распространяющееся на весь ЕС, вы смотрите на более чем 50 правительственных агентств, которые потенциально могут быть вовлечены. Количество поступающих отчетов может быть огромным», — сказал он TechRepublic. «Это опасно и несет риски того, что эта информация будет раскрыта противникам или использована в разведывательных целях».