Європейська Комісія оприлюднила текст Закону про кіберзахист, який вимагатиме від виробників підключених пристроїв забезпечувати їх надійний захист перед випуском на ринок, вчасно та оперативно виявляти та усувати вразливості, а також гарантувати випуск оновлень протягом п’яти років після початку продажів.
«Комп’ютери, телефони, побутова техніка, віртуальні помічники, автомобілі, іграшки… кожен із сотень мільйонів підключених пристроїв є потенційною точкою входу для кібернетичних атак, – пояснив єврокомісар з питань внутрішнього ринку Тьєррі Бретон. – І, тим не менше, сьогодні більшість апаратних і програмних пристроїв не підпадають під жодні зобов’язання щодо кібербезпеки».
Занепокоєння членів Комісії виходить за рамки злому самого пристрою та впливу, який один такий інцидент може мати на весь ланцюжок постачання. Організація бачить можливі наслідки як такі, що здатні спричинити «серйозні порушення економічної та соціальної діяльності на внутрішньому ринку, що підривають безпеку або навіть можуть нести у собі небезпеку для життя».
Так, у Комісії вказують на те, що кібернетичні атаки можуть спричиняти смерть.
Законопроєкт, який розробляється з вересня 2021 року, «запроваджує обов’язкові вимоги щодо кібербезпеки для продуктів із цифровими елементами протягом усього їхнього життєвого циклу».
Закон містить вимоги до інформаційної безпеки, яких необхідно дотримуватися для того, аби продукти могли потрапити на європейські ринки. Деякі з цих вимог стосуються їх проєктування, розробки та виробництва.
Підписуйтесь на Mediasat в Telegram: тут найцікавіші новини зі світу технологій
Після того, як той чи інший продукт надійде у продаж, Закон зобов’язуватиме його виробників розслідувати всі інциденти, пов’язані з кібератаками, протягом 24-х годин після того, як вони матимуть місце, а також ліквідовувати вразливості шляхом надання підтримки та випуску оновлень програмного забезпечення. Виробники зобов’язані розв’язувати проблеми кібербезпеки протягом п’яти років або очікуваного терміну служби продукту.
«Нові правила перекладуть відповідальність на виробників», – зазначають у Комісії.
Після ухвалення закону виробникам дадуть два роки на адаптацію до нових правил, протягом яких їх не каратимуть за дрібні порушення. Для оприлюднення інформації про вразливості та інциденти пільговий період становить лише один рік.
Запропоновані норми передбачають деякі винятки для таких продуктів, як медичні прилади, літаки та автомобілі, оскільки вони вже підпадають під дію інших норм.
Невиконання норм нового закону може призвести до накладання на порушника штрафних санкцій в розмірі до 15 мільйонів євро або 2.5 відсотка від повного загальносвітового річного обороту порушника за попередній фінансовий рік.
І якщо хтось думає, що нові законодавчі норми поширюватимуться лише на Європу, то маємо відзначити, що у Комісії вже не забарилися повідомити про те, що мають всі можливості для встановлення нових стандартів на глобальному рівні, відзначивши, що, «ймовірно, це стане міжнародною точкою відліку».
У Комісії не заперечуватимуть, якщо це станеться, оскільки вона вже забезпечила запровадження на всесвітньому рівні Загального регламенту захисту даних (GDPR), а також відкриття позовів проти технічних гігантів через їх бізнес-практику та використання даних.