Согласно новому тексту, с которым ознакомился EURACTIV, Совет ЕС, представляющий 27 государств-членов, движется к сокращению критических продуктов и ограничению свободы действий Европейской комиссии в новом законе о кибербезопасности.

Поскольку шведское председательство в Совете министров ЕС приняло дело в январе, оно представило три частичных компромисса по предложению о введении базовых требований безопасности для продуктов с цифровыми элементами.

Шведы переработали весь текст, используя пасхальный перерыв, закрепив прежние изменения и внеся новые. Новый компромисс от 20 апреля будет обсуждаться на Горизонтальной рабочей группе по кибервопросам 26 апреля.

Важные продукты

Закон о киберустойчивости вводит горизонтальные обязательства для всех подключенных устройств. Однако, в то время как самооценка будет достаточной для большинства продуктов, продукты, считающиеся «критическими», должны пройти внешний аудит.

Критически важные продукты разделены на два уровня в зависимости от конкретных категорий, перечисленных в приложении к регламенту. Есть два критерия для квалификации критических продуктов.

Первый критерий касается того, обладает ли продукт «функциональными возможностями, связанными с кибербезопасностью, и, в частности, выполняет в первую очередь функции, критически важные для безопасности, включая защиту аутентификации и доступа, предотвращение и обнаружение вторжений, безопасность конечных точек или защиту сети».

В соответствии с классом I категории продуктов, соответствующие этому критерию, были изменены, чтобы исключить системы мониторинга сетевого трафика, в то время как были добавлены носимые технологии и подключенные продукты, предназначенные для использования детьми или для детей, такие как умные игрушки и радионяни.

Второй критерий касается того, выполняет ли продукт центральную системную функцию, такую как управление сетью, контроль конфигурации, виртуализацию, обработку персональных данных или любую другую функцию, которая может нарушить работу многих подключенных устройств.

Категории продуктов класса I по этому второму критерию были еще более существенно изменены. Операционные системы, веб-браузеры, микроконтроллеры, промышленная автоматизация и системы управления были удалены.

Для второго и более высокого класса продукты, относящиеся к определенным категориям, должны соответствовать обоим критериям.

Категории продуктов класса II были изменены, в результате чего были удалены микропроцессоры, системы промышленной автоматизации и широкая категория, охватывающая любые подключенные устройства, используемые организациями, считающимися важными в соответствии с пересмотренной Директивой о сетях и информационной безопасности (NIS2).

Основные требования

Председательство Швеции в Совете ЕС добавило два дополнительных существенных требования.

Во-первых, каждое подключенное устройство должно иметь уникальный идентификатор продукта, чтобы его можно было идентифицировать. Этот идентификатор следует указывать при развертывании исправлений безопасности, чтобы можно было легко определить применимость обновления.

Во-вторых, текст требует, чтобы производители предоставляли пользователям возможность безопасно и легко удалять все данные и настройки, включая те, которые обеспечивают доступ к сетям Wi-Fi, из продукта, чтобы безопасно избавиться от него.

Теперь в тексте говорится, что если существенное требование не применяется к конкретному продукту, возможно, потому, что оно может быть несовместимо с самой его природой, производитель должен включить обоснование оценки риска кибербезопасности в техническую документацию.

Эта оценка риска должна «включать как минимум анализ рисков кибербезопасности на основе предполагаемой цели и разумно предсказуемого использования, а также конкретных условий использования».

Стандартизация и сертификация

Закон о киберустойчивости предусматривает выпуск технических стандартов, которые помогают производителям исходить из того, что их подключенный продукт соответствует нормативным требованиям.

Промышленность стимулирует процесс стандартизации. Тем не менее, если Комиссия считает, что результирующий стандарт слишком сильно отличается от цели регламента или стандарт не предоставлен к установленному сроку, исполнительная власть ЕС может вместо этого издать общие спецификации.

Но поскольку задержки с европейскими стандартами становятся все более частыми, Совет ввел формулировку, предостерегающую Комиссию от выпуска общих спецификаций, если задержка связана с техническими сложностями.

Также были добавлены требования, чтобы уменьшить свободу действий Комиссии, в частности, путем предоставления исполнительной власти ЕС полномочий консультироваться с национальными представителями, экспертами и соответствующими заинтересованными сторонами.

Совет ЕС также ввел возможность для государства-члена оспаривать общее видообразование, если оно не полностью удовлетворяет требованиям регламента.

Дискреционные полномочия Комиссии также были сужены в отношении схем сертификации кибербезопасности, поскольку текст теперь предписывает уровни гарантии «существенный» или «высокий».

Обновления безопасности

В предыдущем компромиссе Совет ввел принцип, согласно которому настройки продуктов по умолчанию должны предусматривать автоматическое развертывание обновлений безопасности, что позволяет пользователям отказаться от них.

Компромисс поясняет, что это требование не применяется к продуктам, которые в первую очередь предназначены для интеграции в компоненты других продуктов, а также к устройствам, для которых пользователи не «разумно ожидают» автоматических обновлений, например, в промышленных условиях, где обновление может мешать работе.

Механизм уведомления

Первоначальное предложение обязывало производителей уведомлять ENISA, агентство кибербезопасности ЕС, о возможных инцидентах или активно используемых уязвимостях. Государства-члены передали этот отчет в национальную группу реагирования на инциденты компьютерной безопасности.

Тем не менее, в тексте отмечается, что роль ENISA еще предстоит тщательно обсудить, в то время как формулировка об активно эксплуатируемых уязвимостях должна быть составлена на основе будущих обсуждений или даже к этому мастерская.

В случае инцидентов производители должны будут информировать пользователей о возможных корректирующих мерах в стандартизированном, структурированном и легко обрабатываемом автоматически машиночитаемом формате.

Дополнительные национальные меры

Новый закон о кибербезопасности призван гармонизировать требования к подключенным устройствам на рынке ЕС. Однако в тексте указывается, что национальные правительства могут налагать дополнительные требования безопасности к продуктам ИКТ, используемым организациями, которые квалифицируются как важные или важные в соответствии с NIS2.

[Edited by Zoran Radosavljevic]

Еще на ту же тему…

Комиссия объявляет о первых платформах, подпадающих под более строгий режим цифрового свода правил ЕС

НУЖНО СОЗДАТЬ ПРОФЕССИОНАЛЬНОЕ ВИДЕО, СНЯТЬ ФИЛЬМ ИЛИ МУЗЫКАЛЬНЫЙ КЛИП ?

Игровое кино, короткометражное, рекламное и промо, документальное, телепроекты, корпоративное, свадебное, приватное и т.д. Территориально в Киеве, но можем работать в любой точке мира!

ARCHANGEL FILMS

рекламный блок: 1 / 2

Председательство в Шведском совете представляет первую полную версию Закона о киберустойчивости – EURACTIV.com

Важные продукты

Основные требования

Стандартизация и сертификация

Обновления безопасности

Механизм уведомления

Еще на ту же тему…

НУЖНО СОЗДАТЬ ПРОФЕССИОНАЛЬНОЕ ВИДЕО, СНЯТЬ ФИЛЬМ ИЛИ МУЗЫКАЛЬНЫЙ КЛИП ?

ARCHANGEL FILMS

FOR CITIZENS OF THE EUROPEAN UNION ONLY!
IMPROVING THE QUALITY OF HEALTH.

The program for slowing down the aging process of the human body, based on a special technology. The discovery was patented by UTA Academician, Dr. Phytotherapies Volodymyr Naumenko.

TERAPIA IMANENTE