Европейский союз представил проект правил, в соответствии с которыми производители цифровых устройств и программного обеспечения должны будут выполнять основные требования кибербезопасности. Предложение призвано снизить риски взлома подключенных к Интернету устройств, включая бытовую технику, игрушки и носимые устройства.
Компаниям необходимо будет предоставлять обновления и исправления в течение пяти лет после выпуска продукта или всего срока его службы, в зависимости от того, что короче. Согласно правилам, которые еще предстоит согласовать европейским законодателям, нарушителям грозят штрафы в размере 15 миллионов евро, что эквивалентно 15 миллионам долларов, или 2,5% от общемирового дохода. Компаниям также придется раскрывать спецификацию программного обеспечения, в которой будут указаны компоненты, использованные при создании их продуктов.
Компаниям, производящим цифровые устройства и программное обеспечение, необходимо будет доказать, что они соответствуют основным требованиям кибербезопасности в соответствии с новым европейским предложением, направленным на снижение рисков взлома в ряде продуктов, от бытовой техники и носимых устройств до программного обеспечения и компьютеров.
Законопроект, представленный в четверг, также требует от производителей, ведущих бизнес в Европейском союзе, предоставлять исправления безопасности и обновления в течение срока службы продукта или пяти лет после выхода на рынок, в зависимости от того, что короче. Компаниям, нарушающим правила, грозят штрафы в размере до 15 миллионов евро, что эквивалентно 15 миллионам долларов, или 2,5% от общемировой выручки.
“Когда вы покупаете продукт, важно, чтобы в нем не было известных уязвимостей. Сегодня это не так”, — заявил журналистам в четверг комиссар ЕС по внутреннему рынку Тьерри Бретон. По его словам, законодательство является прорывом, потому что Европа является первым континентом, который предложил обязательные оценки кибербезопасности программного обеспечения.
Законодательство станет “масштабным мероприятием” со значительными затратами для компаний в виде оценок безопасности и новых процедур, сказал Нильс Шеррер, менеджер по цифровизации в ZVEI, ассоциации немецких электротехнических и цифровых компаний, включая Siemens AG и Bosch Thermotechnik GmbH, дочернюю компанию Bosch AG, которая производит отопительные приборы. оборудование.
“Вам нужно в основном изменить все ваши внутренние процессы, которые участвуют в жизненном цикле продукта”, — сказал он.
Продукты с цифровыми компонентами должны будут иметь этикетки, на которых будет указано, что они соответствуют новым правилам, и указано, как долго будет предоставляться киберподдержка.
Предложение не распространяется на медицинские приборы и автомобили, которые регулируются другими законами.
Законодатели должны обсудить детали предложения, прежде чем оно может быть одобрено, а этот процесс может занять несколько месяцев. Затем у компаний будет два года, чтобы выполнить требования.
Предприятиям также придется раскрывать так называемую спецификацию программного обеспечения, в которой перечислены компоненты каждого продукта, что может помочь производителям контролировать свои цепочки поставок и отслеживать уязвимости в системе безопасности, говорится в предложении. Чиновник ЕС, участвовавший в разработке законодательства, сказал, что список материалов был вдохновлен указом президента Байдена о кибербезопасности от 2021 года, который требует, чтобы компании, предоставляющие программное обеспечение федеральному правительству, раскрывали свои компоненты.
Проект правил включает список из 38 критически важных технологических продуктов, необходимых для получения оценок кибербезопасности от независимого органа. Эти продукты, которые включают программное обеспечение, такое как менеджеры паролей и брандмауэры, и аппаратное обеспечение, такое как микроконтроллеры, промышленные устройства интернета вещей и интеллектуальные счетчики, были признаны критически важными отчасти из-за потенциального воздействия, если они будут взломаны, сообщил представитель ЕС журналистам на прошлой неделе. Тем не менее, по словам чиновника, около 90% компаний, скорее всего, смогут проводить самосертификацию.
Некоторые производители обеспокоены тем, что сторонние проверки безопасности задерживают запуск продукта, сказал Паоло Фальчиони, генеральный директор Applia, базирующейся в Брюсселе ассоциации производителей бытовой техники. “По сути, это ограничение по времени выхода на рынок”, — сказал он.
Предложение оставляет Европейской комиссии возможность создать список “особо важных” продуктов, для которых потребуется отдельная сертификация, созданная экспертами ЕС по кибербезопасности.
По словам г-на Шеррера, список продуктов, которые считаются критически важными в соответствии с законодательством, уже слишком широк, и некоторые из них могут вообще не использоваться для важных функций. “У вас может быть компонент, который может подключаться к сети, но используется в совершенно некритичном контексте. Это может быть часть автомата для производства кока-колы или атомной электростанции”, — сказал он.
Защитники прав потребителей, тем временем, заявили, что список должен быть длиннее. Хакеры могут нанести серьезный ущерб, если они перехватят сигналы для обычных продуктов, таких как носимые устройства, подключенные игрушки или домашние термостаты, сказал Клаудио Тейшейра, юрисконсульт базирующейся в Брюсселе Европейской организации потребителей.
В прошлом году бельгийская организация потребителей Test-Achats протестировала 16 подключенных устройств, включая радионяни, умные пылесосы и умные телевизоры. У десяти были серьезные недостатки в системе безопасности, включая слабые пароли по умолчанию и отсутствие шифрования данных, что делало их легко взломанными. “Мы признаем здесь провал рынка”, — сказал он.
от АВТОРА Кэтрин Ступп из Брюсселя — https://www.wsj.com/articles/eu-proposes-strict-cybersecurity-rules-for-digital-product-makers-11663234266?mod=djemCybersecruityPro&tpl=cy
Write to Catherine Stupp at catherine.stupp@wsj.com