Avrupa Birliği milletvekilleri, “akıllı” çamaşır makineleri veya bağlı oyuncaklar gibi İnternet bağlantılı donanım üreticilerini cihaz güvenliğine çok dikkat etmeye zorlamayı amaçlayan akıllı cihazlara uygulanacak yeni bir ürün kuralları seti önerdi.
önerilen AB Siber Esneklik Yasası Komisyon, yaşam döngüleri boyunca geçerli olan gereksinimlerle birlikte blok genelinde satılan “dijital öğelere” sahip ürünler için zorunlu siber güvenlik gereksinimleri getirecek – bu, gadget üreticilerinin ortaya çıkan güvenlik açıklarını düzeltmek için sürekli güvenlik desteği ve güncellemeler sağlamaları gerektiği anlamına geliyor – Komisyon dedi bugün.
Taslak düzenleme ayrıca, alıcıların satın alma noktasında güvenlik hususlarını kavrayabilmelerini ve satın aldıktan sonra cihazları güvenli bir şekilde kurabilmelerini sağlamak için tüketicilere “yeterli ve doğru bilgi” ileten akıllı cihaz üreticilerine odaklanıyor.
“Temel” siber güvenlik gereksinimlerine uyulmaması nedeniyle Komisyon tarafından önerilen cezalar, 15 milyon Euro’ya veya dünya çapındaki yıllık cironun %2,5’ine kadar çıkıyor ve diğer düzenleme yükümlülüğü ihlallerinin maksimum yaptırımı 10 milyon Euro veya cironun %2’si.
AB yöneticisi, önerilen düzenlemenin “doğrudan veya dolaylı olarak başka bir cihaza veya ağa bağlı” tüm ürünlere uygulanacağını söyledi – tıbbi cihazlar gibi siber güvenlik gereksinimleri halihazırda mevcut AB kurallarında belirtilen ürünler için bazı istisnalar dışında, havacılık ve arabalar.
Akıllı cihaz güvenliği için Pan-EU kuralları
Önerilen önlemlerin bir özetinde, bir Yasama çerçevesi 2008’de güncellenen AB ürün mevzuatı için Komisyon şunları belirleyeceklerini söyledi:
(a) siber güvenliklerini sağlamak için dijital unsurlara sahip ürünlerin piyasaya sürülmesine ilişkin kurallar;
(b) dijital unsurlara sahip ürünlerin tasarımı, geliştirilmesi ve üretimi için temel gereklilikler ve bu ürünlerle ilgili olarak ekonomik operatörlerin yükümlülükleri;
(c) tüm yaşam döngüsü boyunca dijital unsurlara sahip ürünlerin siber güvenliğini sağlamak için üreticiler tarafından uygulamaya konulan güvenlik açığı işleme süreçlerine ilişkin temel gereksinimler ve bu süreçlerle ilgili olarak ekonomik operatörlerin yükümlülükleri. Üreticilerin ayrıca aktif olarak yararlanılan güvenlik açıklarını ve olayları bildirmeleri gerekecektir;
(d) piyasa gözetimi ve uygulamasına ilişkin kurallar.
“Yeni kurallar, AB pazarında kullanıma sunulan dijital unsurlara sahip ürünlerin güvenlik gereksinimlerine uygunluğu sağlaması gereken üreticilere karşı sorumluluğu yeniden dengeleyecek” dedi. basın bülteni. “Sonuç olarak, güvenlik özelliklerinin şeffaflığını artırarak ve dijital unsurlara sahip ürünlere olan güveni artırarak ve ayrıca temel haklarının daha iyi korunmasını sağlayarak tüketicilere ve vatandaşlara ve ayrıca dijital ürünleri kullanan işletmelere fayda sağlayacaklar. gizlilik ve veri koruması olarak.”
Komisyon Soru-Cevap girişimde ayrıca, üreticilerin “bir ürünle ilgili belirtilen gerekliliklerin karşılanıp karşılanmadığını göstermek için bir uygunluk değerlendirme sürecinden” geçmelerini şart koşuyor. Bunun öz değerlendirme yoluyla veya “söz konusu ürünün kritikliğine bağlı olarak” bir üçüncü taraf uygunluk değerlendirmesi yoluyla yapılabileceğini not eder.
Geçerli gerekliliklere uygunluğun gösterildiği durumlarda, cihaz üreticileri, dijital unsurların ürün güvenlik yönetmeliğine uygunluğunu gösteren AB’nin CE işaretini iliştirebilecektir.
Uyumsuzluk, Üye Devletler tarafından atanan ve uygulamadan sorumlu olacak piyasa gözetimi makamları tarafından ele alınacaktır – önerilen yetkiler, yalnızca uygunsuzluğun durdurulması emrini vermekle kalmayıp, bir ürünün satılmasını yasaklayarak veya başka bir şekilde kısıtlayarak “riskin ortadan kaldırılması”. pazar mevcudiyeti. Yetkili makamlar, ihlalde bulunan ürünlerin geri çekilmesini veya geri çağrılmasını da emredebilir. Düzenleyicilere ve gözetim yetkililerine yanlış, eksik veya yanıltıcı bilgi sağlarken, 5 milyon Euro’ya veya cironun %1’ine kadar bir para cezası riskiyle karşı karşıya kalırsınız.
Dijital stratejiden sorumlu Komisyon EVP’si Margrethe Vestager yaptığı açıklamada şunları ekledi: “Tek pazarda satın aldığımız ürünlerle güvende hissetmeyi hak ediyoruz. CE işaretli bir oyuncağa veya buzdolabına güvenebileceğimiz gibi, Siber Esneklik Yasası da satın aldığımız bağlı nesnelerin ve yazılımların güçlü siber güvenlik önlemleriyle uyumlu olmasını sağlayacaktır. Sorumluluğu, ürünleri piyasaya sürenlerle birlikte ait olduğu yere koyacaktır.”
Akıllı cihazlar, yıllardır güvenlik korku hikayelerinin sıcak yatağı olmuştur. Daha önce göze çarpan güvenlik açıklarını kapatmak için daha önce yasal hamleler yapılmış olsa da – 2018 California yasasının yapımcıların cihazlarda kolayca tahmin edilebilir varsayılan şifreler belirlemesini yasaklaması gibi.
Birleşik Krallık ayrıca birkaç yıldır bağlı cihazlar için bir ‘tasarım gereği güvenlik’ yasası üzerinde çalışıyor – 2019’da bir taslak yayınlıyor (ancak bu ürün güvenlik faturasıTelekomünikasyon altyapısı güvenlik hükümlerini bir araya getiren , hala İngiliz parlamentosunda yol alıyor).
Akıllı cihaz güvenliğine ilk darbeyi vuran olmasa da AB, yeni oluşmaya başlayan yaklaşımının uluslararası bir referans noktası olmasını umuyor ve Komisyonun basın açıklamasında şu ifadeler yer alıyor: “Siber Esneklik Yasasına dayalı AB standartları, uygulamayı kolaylaştıracak ve küresel pazarlarda AB siber güvenlik endüstrisi için bir varlık.”
Bununla birlikte, Avrupa Parlamentosu ve Konseyi’nin taslağı incelemesi gerekeceği ve onu değiştirmeye çalışabileceği için, teklifin AB yasası haline gelmesi için daha uzun bir yol var.
Komisyon ayrıca, cihaz üreticilerinin ve AB Üye Devletlerinin yeni kuralların tamamına uyum sağlaması için düzenlemenin kabul edilmesinden sonra iki yıllık bir zaman dilimi önerdi. Bu nedenle, düzenleme muhtemelen 2025’ten önce çok fazla ısırmayacak.
Bununla birlikte, üreticilerin “aktif olarak yararlanılan güvenlik açıkları ve olaylar” için raporlama yükümlülüğü için daha kısa bir zaman dilimi vardır – bu, Komisyonun bu parçanın daha kolay uygulanmasını beklediği için düzenlemenin yürürlüğe girdiği tarihten itibaren bir yıl geçerli olacaktır. .