Европейская Комиссия обнародовала текст Закона о киберзащите, который потребует от производителей подключенных устройств обеспечивать их надежную защиту перед выпуском на рынок, своевременно и оперативно выявлять и устранять уязвимости, а также гарантировать выпуск обновлений в течение пяти лет после начала продаж.
«Компьютеры, телефоны, бытовая техника, виртуальные помощники, автомобили, игрушки… каждое из сотен миллионов подключенных устройств является потенциальной точкой входа для кибернетических атак, – пояснил еврокомиссар по вопросам внутреннего рынка Тьерри Бретон. – И, тем не менее, сегодня большинство аппаратных и программных устройств не подпадают под какие-либо обязательства по кибербезопасности».
Беспокойство членов Комиссии выходит за рамки взлома самого устройства и влияния, которое один такой инцидент может иметь на всю цепочку поставок. Организация видит возможные последствия такими, что способны повлечь за собой «серьезные нарушения экономической и социальной деятельности на внутреннем рынке, которые подрывают безопасность или даже могут нести в себе опасность для жизни».
Да, в Комиссии указывают на то, что кибер-атаки могут привести к смерти.
Законопроект, разрабатываемый с сентября 2021 года, «вводит обязательные требования по кибербезопасности для продуктов с цифровыми элементами на протяжении всего их жизненного цикла».
Закон содержит требования к информационной безопасности, которые необходимо соблюдать для того, чтобы продукты могли попасть на европейские рынки. Некоторые из этих требований касаются их проектирования, разработки и производства.
Подписывайтесь на Mediasat в Telegram: здесь самые интересные новости из мира технологий
После того как тот или иной продукт поступит в продажу, Закон будет обязывать его производителей расследовать все инциденты, связанные с кибератаками, в течение 24 часов после того, как они будут иметь место, а также ликвидировать уязвимости путём оказания поддержки и выпуска обновления программного обеспечения. Производители обязаны решать проблемы кибербезопасности в течение пяти лет или ожидаемого срока службы продукта.
«Новые правила переложат ответственность на производителей», – отмечают в Комиссии.
После принятия закона производителям дадут два года на адаптацию к новым правилам, в течение которых они не будут наказываться за мелкие нарушения. Для обнародования информации об уязвимости и инцидентах льготный период составляет всего один год.
Предложенные нормы предусматривают некоторые исключения таких продуктов, как медицинские приборы, самолеты и автомобили, поскольку они уже подпадают под действие других норм.
Несоблюдение норм нового закона может привести к наложению на нарушителя штрафных санкций в размере до 15 миллионов евро или 2.5 процента от общего мирового годового оборота нарушителя за предыдущий финансовый год.
И если кто-то думает, что новые законодательные нормы будут распространяться только на Европу, то следует отметить, что в Комиссии уже сообщили о том, что имеют все возможности для установления новых стандартов на глобальном уровне.
В Комиссии не будут возражать, если это произойдет, поскольку она уже обеспечила введение на глобальном уровне Общего регламента защиты данных (GDPR), а также открытия исков против технических гигантов из-за их бизнес-практики и использования данных.