Avrupa Komisyonu sadece Sunmak 15 Eylül Perşembe, donanım veya yazılım olsun, dijital ürünlerin bilgisayar güvenliğini güçlendirmeye yönelik bir yasama önerisi. Geniş bir alanı kapsayan bu metin, NIS 2 direktifini, örneğin SaaS yazılımının kapsamına girmeden, kapsamını aşmadan tamamlamalıdır. Ancak her şeyden önce, bağlantılı nesnelerin savunmasızlığı gibi akut problemin üstesinden gelmeyi mümkün kılmalıdır.
Dünyanın en büyük dijital tek pazarı olarak bizim sorumluluğumuzdur. #korumak tüketicilerimiz ve şirketlerimiz siber saldırılara karşı ??
Şu andan itibaren, AB pazarımızdaki herhangi bir bağlı cihaz, uygulama veya yazılım “#SiberGüvenli tasarım” https://t.co/kdphmYpKTa pic.twitter.com/biS30lKkNj
— Thierry Breton (@ThierryBreton) 15 Eylül 2022
Aşırı savunmasız CCTV kameralardan gaz pompalarına ve buzdolaplarına kadar, bağlı nesneleri etkileyen BT güvenlik sorunlarının örnekleri maalesef iyi bilinmektedir. Maliyet nedenleriyle veya konunun cehaletiyle, bu ürünlerin üreticileri hala siber güvenliği gözden kaçırıyor. Makinelerinin değerli kişisel verileri kötü niyetli bilgisayar korsanlarına çok kolay teslim etmemesi veya diğer bilgisayar saldırılarına destek olarak hizmet etmesi riski altında.
Tüketiciler için “güçlü garantiler”
Bir yıldan fazla bir süre önce Başkan Ursula von der Leyen tarafından duyurulan yasa teklifinin şimdi Avrupa Parlamentosu ve Avrupa Birliği Konseyi tarafından incelenmesi gerekiyor. Avrupa ölçeğinde düzenlemeleri standartlaştırması gereken bu metinle tüketiciler, “satın aldığımız bağlantılı nesnelerin ve yazılımların siber güvenlik açısından sağlam garantiler sunduğuna dair güvenceye” sahip olabilecekler. Komisyonda dijital.
Avrupa Komisyonu Üyesi Thierry Breton, “Çoğu donanım ve yazılım ürünü herhangi bir siber güvenlik yükümlülüğüne tabi değildir” diyor. Komisyon tarafından önerilen metnin, bilgisayarlardan telefonlara, ev aletleri, sanal yardımcı cihazlar, arabalar ve oyuncaklar dahil olmak üzere çeşitli örneklere atıfta bulunarak, “siber güvenliği tasarım yoluyla getirerek”, “Avrupa ekonomisinin korunmasına” katkıda bulunması gerektiğini de sözlerine ekledi.
iki segment
Avrupa Komisyonu tarafından iki bölüme ayrılan geniş bir kapsam. Her şeyden önce, örneğin bağlı bir hoparlör, bir sabit disk veya bir oyun gibi hedeflenen dijital ürünlerin büyük kısmı (%90) bir öz değerlendirme rejimine girecektir. Ardından, parola yöneticisi, güvenlik duvarı veya işletim sistemi gibi en kritik ürünlerin %10’unun üçüncü taraflar veya ulusal bir kurum tarafından değerlendirilmesi gerekecektir.
Somut olarak, yeni metin, örneğin hata ödül programları başlatmak için teşvik edilen üreticiler için siber güvenlik yükümlülüklerinin getirilmesini mümkün kılacaktır. Reform ayrıca, güvenlik açıklarının yönetimi için en az beş yıl süreyle izleme yükümlülüklerinin oluşturulmasını da tavsiye ediyor. Bu, örneğin, gözlemlenen olayların yanı sıra etkin veya düzeltilmiş güvenlik açıklarının rapor edilmesini içerecektir. Avrupa Komisyonu, güncellemelerin en az beş yıl süreyle kullanıma sunulmasını da istiyor.
Enisa için yeni görevler
Avrupa Siber Güvenlik Ajansı Enisa, özellikle üreticilerden raporlar toplayarak veya dijital ürünlerin güvenlik değerlendirmelerini yaparak dahil edilmelidir. Enisa ayrıca, siber güvenlikte ortaya çıkan trendler hakkında her iki yılda bir teknik rapor hazırlamaktan da sorumlu olacak.
Son olarak, Avrupa Komisyonu’nun metni, tüketici bilgilerinin iyileştirilmesini sağlar. Mevcut şeffaflık eksikliği, “yeterli siber güvenlik özelliklerine sahip ürünleri seçmelerini veya bunları güvenli bir şekilde kullanmalarını engelliyor”, topluluk yöneticisini üzüyor.
15 milyon Euro’ya veya dünya çapında cironun %2,5’ine kadar yaptırımlar
Avrupa Komisyonu, gelecekteki bu yükümlülükleri uygulamak için, en yüksek ceza rejimi için 15 milyon Euro’ya kadar veya dünya çapında yıllık cironun %2,5’ine kadar idari cezalar beklemektedir. Gelecekteki yükümlülüklere uyulmaması, kapsanan ürünlerin Avrupa tek pazarında yasaklanmasına da yol açabilir.
Avrupa Komisyonu değerli bu yeni tahvillerin ağırlığının 29 milyar avroya kadar çıkması gerekiyor. 180 ila 290 milyar avro arasında tahmin edilen siber olayların maliyetinde beklenen düşüşle karşılaştırılacak bir miktar. Topluluk yöneticisi için, bu yükümlülükler daha sonra Avrupalı üreticiler için ihracat için bir rekabet avantajı haline gelebilir.