Glavni sadržaj
Predstavništvo Europske komisije u Hrvatskoj
Informativni članak15. rujna 2022.Predstavništvo u Hrvatskoj

Stanje Unije: nova pravila EU-a o kibersigurnosti za sigurnije hardverske i softverske proizvode

Procjenjuje se da godišnji troškovi zbog povreda podataka iznose najmanje 10 milijardi eura, dok se godišnja šteta uslijed zlonamjernih pokušaja ometanja prometa na internetu procjenjuje na najmanje 65 milijardi eura.

Stanje Unije: nova pravila EU-a o kibersigurnosti za sigurnije hardverske i softverske proizvode

Komisija je danas predstavila prijedlog novog akta o kiberotpornosti koji ima za cilj potrošače i poduzeća zaštititi od proizvoda s neodgovarajućim sigurnosnim obilježjima. To je prvi zakonodavni akt te vrste na razini EU-a kojim se uvode obvezni kibersigurnosni zahtjevi za proizvode s digitalnim elementima koji će se primjenjivati tijekom njihova cijelog životnog ciklusa.

Akt je najavljen u govoru o stanju Europske unije predsjednice Ursule von der Leyen u rujnu 2021. te se nadovezuje na Strategiju EU-a za kibersigurnost iz 2020. i Strategiju EU-a za sigurnosnu uniju iz 2020., a njime će se postići da digitalni proizvodi, kao što su bežični i žičani proizvodi te softver, budu sigurniji za potrošače u cijeloj Uniji. Uz to što će povećati odgovornost proizvođača jer će ih obvezati na pružanje sigurnosne podrške i ažuriranja softvera radi uklanjanja utvrđenih ranjivosti, taj će akt omogućiti da potrošači dobiju dovoljno informacija o kibersigurnosti proizvoda koje kupuju i upotrebljavaju.

Izvršna potpredsjednica za Europu spremnu za digitalno doba Margrethe Vestager izjavila je: Zaslužujemo da proizvodi koje kupujemo na jedinstvenom tržištu ulijevaju sigurnost. Baš kao što s povjerenjem možemo upotrebljavati igračku ili hladnjak s oznakom CE, zahvaljujući Aktu o kiberotpornosti povezani predmeti i softver koje kupujemo bit će u skladu sa snažnim kibersigurnosnim zaštitnim mjerama. Njime će se odgovornost dodijeliti onima koji je i trebaju snositi, a to su subjekti koji stavljaju proizvode na tržište.

Margaritis Schinas, potpredsjednik za promicanje europskog načina života, dodao je: Akt o kiberotpornosti naš je odgovor na moderne sigurnosne prijetnje koje su danas sveprisutne u našem digitalnom društvu. Unija je pionir u izgradnji kibersigurnosnog ekosustava uvođenjem pravila o kritičnoj infrastrukturi, pripravnosti i odgovoru u području kibersigurnosti te certifikaciji kibersigurnosnih proizvoda. Danas taj ekosustav upotpunjujemo aktom koji donosi sigurnost u sve domove, sva naša poduzeća i sve međusobno povezane proizvode. Kibersigurnost više nije tema koja se tiče samo industrije već je važna za cijelo društvo.

Povjerenik za unutarnje tržište Thierry Breton izjavio je: Kad je riječ o kibersigurnosti, Europa je snažna tek kao njezina najslabija karika, bilo da je riječ o ranjivoj državi članici ili o nesigurnom proizvodu u lancu opskrbe. Računala, telefoni, kućanski aparati, uređaji za virtualnu pomoć, automobili, igračke – svaki od tih stotina milijuna povezanih proizvoda potencijalna je ulazna točka za kibernapad. Međutim, za većinu hardverskih i softverskih proizvoda danas ne postoje nikakve kibersigurnosne obveze. Aktom o kiberotpornosti uvest će se integrirana kibersigurnost i pridonijeti zaštiti europskog gospodarstva i naše zajedničke sigurnosti.

Svakih 11 sekundi neka je organizacija u svijetu predmet napada ucjenjivačkim softverom, a globalna šteta koju je 2021. uzrokovao kiberkriminalitet procjenjuje se na 5,5 bilijuna eura (Izvješće Zajedničkog istraživačkog centra (2020.): „Kibersigurnost – naš digitalni temelj, europska perspektiva”). Zbog toga je sada važnije nego ikad prije da podignemo kibersigurnost na visoku razinu i da smanjimo ranjivost digitalnih proizvoda, koja je jedan od glavnih razloga uspješnih napada. Budući da su pametni i povezani proizvodi sve brojniji, kiberincident u jednom od njih može utjecati na cijeli lanac opskrbe, a to može uzrokovati ozbiljne poremećaje u gospodarskim i društvenim aktivnostima na cijelom unutarnjem tržištu, narušiti sigurnost ili čak dovesti u opasnost ljudske živote.

Danas predložene mjere temelje se na novom zakonodavnom okviru za propise EU-a o proizvodima i njima će se utvrditi:

(a) pravila za stavljanje na tržište proizvoda s digitalnim elementima kako bi se zajamčila njihova kibersigurnost

(b) bitni zahtjevi za projektiranje, razvoj i proizvodnju proizvoda s digitalnim elementima te obveze gospodarskih subjekata u vezi s tim proizvodima

(c) bitni zahtjevi za postupke koje proizvođači uvode za postupanje s ranjivostima kako bi zajamčili kibersigurnost proizvoda s digitalnim elementima tijekom cijelog životnog ciklusa i obveze gospodarskih subjekata u pogledu tih postupaka; proizvođači će usto morati izvješćivati o ranjivostima koje se aktivno iskorištavaju i incidentima

(d) pravila o nadzoru tržišta i provedbi.

Novim će se pravilima odgovornost prebaciti na proizvođače jer će morati voditi računa o tome da proizvodi s digitalnim elementima koji se stavljaju na raspolaganje na tržištu EU-a budu usklađeni sa sigurnosnim zahtjevima. Od tih će pravila koristi stoga imati potrošači i građani te poduzeća koja upotrebljavaju digitalne proizvode jer će se njima povećati transparentnost sigurnosnih svojstava i promicati povjerenje u proizvode s digitalnim elementima te bolje zaštititi temeljna prava građana, kao što su privatnost i zaštita podataka.

Budući da na rješavanju tih pitanja rade jurisdikcije u cijelom svijetu, Akt o kibernotpornosti vjerojatno će postati uzor i na tržištima izvan Unije. Standardi EU-a koji se temelje na Aktu o kiberotpornosti olakšat će njegovu provedbu i donijeti prednosti za sektor kibersigurnosti EU-a na globalnim tržištima.

Predložena uredba primjenjivat će se na sve proizvode koji su izravno ili neizravno povezani s drugim uređajem ili mrežom. Postoje neke iznimke za proizvode za koje su kibersigurnosni zahtjevi već utvrđeni u postojećim pravilima EU-a, o npr. medicinskim proizvodima, zrakoplovstvu ili automobilima.

Sljedeći koraci

Sada je na Europskom parlamentu i Vijeću da razmotre Nacrt akta o kiberotpornosti. Nakon njegova donošenja gospodarski subjekti i države članice imat će dvije godine za prilagodbu novim zahtjevima. Iznimno, obveza izvješćivanja o ranjivostima koje se aktivno iskorištavaju i incidentima za proizvođače primjenjivala bi se već nakon godine dana od datuma stupanja na snagu jer je za nju potrebno manje organizacijskih prilagodbi nego za ostale nove obveze. Komisija će redovito preispitivati Akt o kiberotpornosti i izvješćivati o njegovu funkcioniranju.

Kontekst

Kibersigurnost je jedan od glavnih prioriteta Komisije i temelj digitalne i povezane Europe. Sve veći broj kibernapada tijekom krize uzrokovane koronavirusom pokazao je koliko je važno zaštititi bolnice, istraživačke centre i drugu infrastrukturu. U tom području treba odlučno djelovati kako bi gospodarstvo i društvo EU-a bili otporni na buduće promjene. Procjenjuje se da godišnji troškovi zbog povreda podataka iznose najmanje 10 milijardi eura, dok se godišnja šteta uslijed zlonamjernih pokušaja ometanja prometa na internetu procjenjuje na najmanje 65 milijardi eura (izvješće o procjeni učinka priloženo Delegiranoj uredbi Komisije o dopuni Delegirane uredbe o Direktivi o radijskoj opremi).

U Strategiji za kibersigurnost iz prosinca 2020. predlaže se integracija kibersigurnosti u svaki element lanca opskrbe i daljnje povezivanje aktivnosti i resursa EU-a u četirima zajednicama kibersigurnosti – unutarnjem tržištu, izvršavanju zakonodavstva, diplomaciji i obrani. Strategija se temelji na Komunikaciji Komisije „Izgradnja digitalne budućnosti Europe” i Strategiji EU-a za sigurnosnu uniju te na mnogim zakonodavnim aktima, mjerama i inicijativama koje je Unija provela radi jačanja kapaciteta kibersigurnosti i otpornosti Europe na kiberprijetnje.

Novim aktom o kiberotpornosti dopunit će se okvir EU-a za kibersigurnost: Direktiva o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije (Direktiva NIS 2), koju su nedavno dogovorili Europski parlament i Vijeće, i Akt EU-a o kibersigurnosti.

Više informacija

Pitanja i odgovori: Akt EU-a o kiberotpornosti

Informativni članak o Aktu EU-a o kiberotpornosti

Prijedlog akta o kiberotpornosti

Informativni članak o novoj strategiji EU-a za kibersigurnost  

Informativni članak o Prijedlogu direktive o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (Direktiva NIS2)

Informativni članak o kibersigurnosti: vanjsko djelovanje EU-a

Pitanja i odgovori:  Nova strategija EU-a za kibersigurnost i nova pravila za povećanje otpornosti fizičkih i digitalnih ključnih subjekata

Prijedlog direktive o mjerama za visoku zajedničku razinu kibersigurnosti u cijeloj Uniji (Direktiva NIS 2)

Prijedlog direktive o otpornosti ključnih subjekata

Pojedinosti

Datum objave
15. rujna 2022.
Autor
Predstavništvo u Hrvatskoj