Риск-менеджеры по всей Европе, работающие на компании, которые производят, импортируют или даже распространяют любые продукты, содержащие цифровые элементы, то есть все, что с имеет микрочип, должны убедиться, что их фирма готова к предстоящему Закону ЕС о киберустойчивости (CRA), который, по мнению экспертов, предусматривает жесткие проблемы и возможные штрафы.
«От радионяни до смарт-часов продукты и программное обеспечение, содержащие цифровой компонент, повсеместно присутствуют в нашей повседневной жизни. Менее очевидным для многих пользователей является риск безопасности, который могут представлять такие продукты и программное обеспечение», — заявили в ЕС, когда был предложен CRA.
EC считает, что с помощью CRA неадекватные функции безопасности уйдут в прошлое благодаря введению обязательных требований кибербезопасности для производителей и розничных продавцов цифровых продуктов.
«Проблема, решаемая предлагаемым регулированием, двояка. Во-первых, это недостаточный уровень кибербезопасности, присущий многим продуктам, или неадекватные обновления безопасности для таких продуктов и программного обеспечения. Во-вторых, в настоящее время потребители и предприятия не могут определить, какие продукты являются кибербезопасными, или настроить их таким образом, чтобы обеспечить их кибербезопасность», — пояснили в ЕК.
Предлагаемый Закон о киберустойчивости будет гарантировать:
- Гармонизированные правила при выводе на рынок продуктов или программного обеспечения с цифровым компонентом.
- Структуру требований кибербезопасности, регулирующих планирование, проектирование, разработку и обслуживание таких продуктов, с обязательствами, которые должны выполняться на каждом этапе цепочки создания стоимости.
- Обязательства обеспечивать обязанность по уходу в течение всего жизненного цикла такой продукции.
«Когда предлагаемый регламент вступит в силу, программное обеспечение и продукты, подключенные к Интернету, будут иметь маркировку CE, чтобы указать, что они соответствуют новым стандартам. Требование к производителям и розничным торговцам уделять приоритетное внимание кибербезопасности позволит клиентам и предприятиям делать более осознанный выбор, будучи уверенными в сертификатах кибербезопасности продуктов с маркировкой CE», — заявили в ЕС.
Невыполнение этого требования может привести к штрафу в размере 15 миллионов евро или 2,5% от общего оборота.
Ян Венденбург, генеральный директор ONEKEY из Дюссельдорфа, компании, которая специализируется на кибербезопасности продуктов и только что опубликовала руководство по соблюдению CRA, говорит, что для многих это положение представляет собой серьезную проблему.
«Благодаря Закону ЕС о киберустойчивости (CRA) отрасль сталкивается с одним из самых строгих нормативных требований. Производители, импортеры и даже дистрибьюторы товаров с цифровыми элементами — иными словами, всего что с микрочипом — должны будут принять ряд строгих мер. Пока что вряд ли есть какие-либо установленные процедуры для этого», — сказал Венденбург.
«Помимо прочего, Закон о киберустойчивости потребует проведения оценки киберрисков до того, как продукт будет выпущен на рынок. Все производители должны начать уже сейчас интегрировать предстоящие требования в разработку своих продуктов, поскольку разработка новых продуктов и прототипов часто занимает многие месяцы и годы», — добавил он.
Согласно правилам, компании должны будут управлять уязвимостями программного обеспечения и исправлениями.
«На протяжении всего жизненного цикла продукта производители должны эффективно управлять уязвимостями своих продуктов, проводить регулярное тестирование и демонстрировать всестороннее управление исправлениями. Также существует обязательство вести четкую документацию», — продолжил Венденбург.
Процесс включает ведение спецификации программного обеспечения, в которой подробно описаны все программные продукты, в том числе скрытые, в устройстве или системе. По словам Венденберга, в зависимости от продукта и установленных компонентов могут быть сотни различных сборок, каждая со своими «мозгами» и скрытыми рисками.
Он добавил, что кадровые структуры также должны быть созданы в соответствии с CRA. Определенные задачи и обязанности в соответствии с CRA должны выполняться должностным лицом от имени организации.
Помимо требований к документации, компании должны будут регулярно обновлять реестр данных о продуктах и хранить эти данные в течение десяти лет после того, как продукт был размещен на рынке.
«Становится ясно, что давление — даже если Комиссия ЕС несколько отложит принятие закона — велико. Продукты и компоненты, в том числе сторонних производителей, должны быть протестированы на наличие уязвимостей; производители и импортеры должны задокументировать это и предоставить необходимые возможности для выполнения обязательств по предоставлению информации. Для промышленности это означает переосмысление устоявшихся процессов разработки и производства. Те, кто не отреагирует вовремя, рискуют получить большие штрафы со стороны властей», — заключил Венденбург.
Брюссельская консалтинговая компания по связям с общественностью DR2 сообщила в недавней заметке, что первая реакция представителей отрасли и других заинтересованных сторон на инициативу CRA была положительной.
«Потребители ожидают, что продукты, которые они приобретают, будут безопасными и надежными. Следовательно, повышение осведомленности о важности этих требований безопасности в продуктах приведет к тому, что клиенты будут учитывать ключевые критерии безопасности при принятии решений о покупке», — отмечает DR2.
«Однако, чтобы избежать путаницы, отрасль также предупредила, что законодательство должно содержать четкое определение с учетом различий в разработке, функциональности и использовании цифровых продуктов. Различные секторы также просят Комиссию рассмотреть существующее вертикальное законодательство для конкретных секторов и/или групп продуктов», — продолжает DR2.
«Добавление основных требований к кибербезопасности может привести к исключению МСП из рынка. Предприятия также должны точно знать, какие технические спецификации они должны соблюдать, чтобы обеспечить соблюдение обязательств CRA. Например, разработчики приложений предупреждают о дополнительных затратах на поддержание киберустойчивой среды в интересах потребителей. Они предпочитают руководства или рекомендации», — поясняет DR2.
Компания пояснила, что Чехия, председательствующая в Совете ЕС, распространила первый компромиссный текст по CRA в ноябре, внося серьезные изменения в объем предложения и пункт о свободном перемещении.
В декабре Совет по телекоммуникациям обсудил отчет о проделанной работе. Выяснилось, что основная часть дискуссий была сосредоточена на том, в какой степени программное обеспечение как услуга (SaaS) подпадает под действие регламента.
Новый текст Чехии в начале декабря обновил предыдущий компромиссный текст, полностью поместив SaaS за рамки регулирования.
«В частности, законопроект был перефразирован, чтобы распространяться только на решения для удаленной обработки данных, основанные на программном или аппаратном обеспечении, поддерживающем функционирование подключенного устройства. Стремление оставить SaaS вне новых правил кибербезопасности согласуется с тем, что сказал комиссар по внутреннему рынку Тьерри Бретон на заседании Совета по телекоммуникациям 6 декабря. Во время встречи Бретон подчеркнул, что SaaS уже подпадает под действие Директивы NIS2, добавив, что включение этих услуг в Закон о киберустойчивости будет юридическим вызовом из-за правовой основы, на которой было основано предложение», — поясняет DR2.
В феврале шведское председательство в Совете ЕС сформулировало компромиссный текст. В нем говорится, что продукты, реализующие ключевые функции безопасности, такие как аутентификация или защита сети, представляют более высокий риск и поэтому считаются критически важными.
«С другой стороны, такие продукты, как системы сигнализации, теперь относятся к категории продуктов с низким уровнем риска. Кроме того, плата за оценку соответствия также будет адаптирована к размеру производителя», — поясняет DR2.
Файл CRA обсуждался в комитете IMCO Европейского парламента 1 марта.
Министры ЕС встретятся 2 июня, чтобы обсудить прогресс в деле. Как всегда, окончательный CRA будет отличаться от текущей версии, но менеджеры по рискам должны быть в курсе его прогресса и работать с коллегами, чтобы подготовиться.
Подготовлено порталом Allinsurance.kz