Перейти до вмісту

Акт про кіберстійкість

Матеріал з Вікіпедії — вільної енциклопедії.
Регламент № 2024/2847
Регламент Європейського Союзу
Текст, що стосується Європейської економічної зони
НазваРегламент (ЄС) № 2024/2847 Європейського Парламенту та Ради від 23 жовтня 2024 року про горизонтальні вимоги до кібербезпеки для продуктів з цифровими елементами (Акт про кіберстійкість)
Ким прийнятийЄвропейським парламентом і Радою Європейського Союзу
Прийнятий підст. 114 ДФЄС
Офіційний вісник ЄСOJ L, 2024/2847, 20.11.2024
Історія
Дата створення23 жовтня 2024
Дата набрання чинности10 грудня 2024
Дата введення в дію11 грудня 2027
Інше законодавство
ВиправляєРегламент № 168/2013
Регламент № 2019/1020
Директива № 2020/1828
Чинне законодавство

Акт про кіберстійкість (англ. Cyber Resilience Act, CRA) — нормативно-правовий акт Європейського Союзу щодо покращення кібербезпеки та кіберстійкости[en] в ЄС за допомогою загальних стандартів кібербезпеки для продуктів із цифровими елементами, таких як обов’язкові звіти про інциденти та автоматичні оновлення безпеки.[1] Продукти з цифровими елементами — це в основному апаратне та програмне забезпечення, «цільове та передбачуване використання якого включає пряме або непряме підключення даних до пристрою чи мережі».[2]

Після пропозиції Європейської комісії від 15 вересня 2022 року численні організації з відкритим кодом розкритикували CRA за створення «охолоджуючого ефекту для розробки програмного забезпечення з відкритим кодом[en]».[3] Європейська комісія досягла політичної згоди щодо CRA 1 грудня 2023 року після низки поправок.[4] Переглянутий проєкт регламенту запровадив «розпорядника відкритого коду», нову економічну концепцію, і отримав послаблення від багатьох організацій з відкритим кодом через виняток для програмного забезпечення з відкритим кодом[5], тоді як Debian критикував його вплив на малий бізнес і розповсюджувачів.[6] Угода CRA отримала офіційне схвалення Європейського парламенту в березні 2024 року.[7] Регламент був прийнятий Радою 10 жовтня 2024 року.[8]

Мета

[ред. | ред. код]

Передумови, цілі та мотивація запропонованої політики включають:[9]

  • Споживачі все частіше стають жертвами недоліків безпеки цифрових продуктів (наприклад, уразливости), зокрема пристроїв Інтернету речей[2][10][11] або розумних пристроїв[en].[12][13]
  • Забезпечення безпеки цифрових продуктів у ланцюжку постачання є важливим для бізнесу[2], а кібербезпека часто є «повним ризиком компанії».[14]
  • Потенційні наслідки гакерства включають «серйозне порушення економічної та соціальної діяльности на внутрішньому ринку, підрив безпеки або навіть загрозу життю».[15]
  • Принципи безпеки за замовчуванням накладають обов’язок піклуватися про життєвий цикл продуктів замість того, щоб, наприклад, покладатися на споживачів і волонтерів для встановлення базового рівня безпеки.[2][16] Нові правила «перебалансують відповідальність перед виробниками».[15]
  • Кібератаки призвели до «орієнтовних глобальних щорічних витрат на кіберзлочинність у 5,5 трильйонів євро до 2021 року».[1]
  • Швидке поширення цифрових технологій означає, що держави-вигнанці або недержавні групи можуть легше порушити критичну інфраструктуру, таку як державне управління та лікарні.[17]

Як пише The Washington Post, CRA може зробити Європейський Союзом лідером у сфері кібербезпеки та «змінити правила гри в усьому світі» (див. також Брюссельський ефект[en]).[16]

Реалізація та механізми

[ред. | ред. код]

Політика вимагає, щоб програмне забезпечення, яке, як «розумно очікується», матиме автоматичні оновлення, повинно розгортати оновлення безпеки автоматично за замовчуванням[en], дозволяючи користувачам відмовитися від них.[18] Якщо це можливо, оновлення безпеки слід відокремлювати від оновлень функцій.[19] Компанії повинні проводити оцінку кіберризиків до того, як продукт буде випущено на ринок, і зберігати його дані та документацію протягом 10 років[20] після виведення на ринок або періоду його підтримки, залежно від того, що довше.[19] Компанії повинні будуть повідомляти ENISA про будь-які інциденти протягом 24 годин після того, як їм стало відомо про них, і вживати заходів для їх вирішення.[13] Продукти з маркуванням CE «відповідатимуть мінімальному рівню перевірок кібербезпеки».[10]

Близько 90% продуктів із цифровими елементами підпадають під категорію за замовчуванням, для якої виробники самостійно оцінюють безпеку, пишуть декларацію відповідності ЄС та надають технічну документацію.[21] Решта або «важливі», або «критичні». Продукти, важливі для безпеки, поділяються на два класи ризиків.[22] Продукти, оцінені як «критичні», повинні пройти зовнішній авдит.[18][16]

Після ухвалення акту виробники мали два роки, щоб адаптуватися до нових вимог, і один рік, щоб запровадити звіти про вразливості та інциденти. Невиконання вимог може призвести до штрафів у розмірі до 15 мільйонів євро або 2,5 відсотка від загального світового річного обороту порушника за попередній фінансовий рік. [15][12][13] Штрафи не застосовуються до некомерційних розробників з відкритим кодом.[19]

Euractiv[en] повідомляли про нові проєкти або проєкти змін, які включають такі зміни, як «усунення часових зобов’язань для терміну служби продуктів і обмеження обсягу звітності до значних інцидентів».[23][18]

Очікувалося, що основні політичні групи в Європейському парламенті погодять Акт про кіберстійкість на зустрічі 5 липня 2023 року. Законодавці обговорили питання відкритого коду, періоди підтримки, зобов’язання щодо звітності та графік впровадження. Голосування комітету відбулося 19 липня 2023 року.[24][25]

Іспанія, яка головувала в Раді ЄС, оприлюднила відредагований проєкт, який спрощує нормативні вимоги для підключених пристроїв. Це зменшить кількість категорій продуктів, які повинні відповідати певним нормам, зобов’яже повідомляти національні CSIRT про інциденти кібербезпеки та включить положення щодо визначення терміну служби продукту та полегшення адміністративного тягаря для малих компаній. Акт також уточнює, що запчастини з цифровими елементами, які постачаються оригінальним виробником, звільняються від нових вимог.[26][25]

У тексті Ради також передбачено, що перш ніж шукати обов’язкову сертифікацію, виконавчі органи Європейського Союзу повинні провести оцінку впливу, щоб оцінити як аспекти пропозиції та попиту на внутрішньому ринку, так і спроможність та готовність держав-членів до впровадження запропонованих схем.[27][25]

25 червня 2024 року Чеське національне управління з питань кібер- та інформаційної безпеки (NÚKIB) оголосило про кроки з імплементації Акту про кіберстійкість (CRA), зокрема нормативно-правовий акт, який очікується восени 2024 року, а його застосування розпочнеться наприкінці 2027 року після трирічного перехідного періоду. Цей регламент вимагатиме від виробників цифрових продуктів посилення кібербезпеки протягом усього життєвого циклу продукту. NÚKIB також проведе консультації з виробниками важливих і критично важливих продуктів з 25 червня по 17 липня 2024 року для розробки технічних специфікацій та збору відгуків.[28]

Рецепція

[ред. | ред. код]

Спочатку запропонований акт піддався різкій критиці з боку прихильників відкритого коду.[29]

  • Кілька організацій із відкритим кодом, як-от Eclipse Foundation, Open Source Initiative (OSI) і The Document Foundation, підписали відкритий лист «Відкритий лист до Європейської комісії щодо Акту про кіберстійкість»[30], у якому просять політиків змінити недостатнє представництво спільноти з відкритим кодом. Було виявлено, що політика «[вільного та відкритого програмного забезпечення] становить понад 70% програмного забезпечення в Європі [,] буде регулюватися без поглиблених консультацій», і якщо її впровадити, як зазначено (станом на квітень), це буде мати «охолоджуючий вплив на розробку програмного забезпечення з відкритим вихідним кодом[en] як глобальне зусилля, з чистим ефектом підриву власних цілей ЄС щодо інновацій, цифрового суверенітету та майбутнього процвітання».[3][29][30] Фонд програмного забезпечення Apache опублікував подібну заяву[31], а OSI надіслав цю інформацію на запит Європейської комісії.[32]
  • Хоча Mozilla[en] «вітає та підтримує головні цілі CRA», вона також розкритикувала пропозицію щодо нечітких посилань на «комерційну діяльність», яка може включати багато проєктів з відкритим кодом (точку зору Ілкка Турунен з Computer Weekly[en] повторив[33]), невідповідність іншим правилам ЄС і вимоги щодо розкриття непомітних уразливостей.[34]
  • Стівен Дж. Воган-Ніколс з The Register[en] стверджував, що «основне припущення CRA полягає в тому, що ви можете просто додати безпеку програмному забезпеченню», тоді як «[м]акі розробники з відкритим кодом[en] не мають ні доходу, ні ресурсів, щоб захистити свої програми відповідно до державних стандартів».[29]
  • CCIA Europe[en] попереджає, що «бюрократична тяганина процесу затвердження може перешкодити розгортанню нових технологій і послуг у Європі».[13]
Консультант з питань політики FSFE[en] Александер Сандер підсумовує ключові проблеми в березні 2023 року.[35]

Поправки були опубліковані 1 грудня 2023 року в рамках політичної домовленості між співзаконодавцями[36], що викликало схвалення багатьох прихильників відкритого коду.[5] Як написав[37] Майк Мілінкович, виконавчий директор фонду Eclipse:[36]

Переглянутий проєкт законодавства значно покращить становись проєктів з відкритим кодом, спільнот, фондів, а також їхніх платформ для розробки та розповсюдження додатків з відкритим кодом. Він також створює нову форму економічного суб'єкта — «розпорядника відкритого коду», що визнає роль, яку відіграють фонди та платформи в екосистемі відкритого коду. Це вперше з'явилося в нормативно-правовому акті, і буде цікаво подивитися, як це буде розвиватися.
— Майк Мілінкович, "Гарні новини щодо Акту про кіберстійкість"

OSI звернув увагу на заяву Debian про те, що багатьом малим підприємствам і самостійним розробникам буде важко орієнтуватися в процесі розповсюдження програмного забезпечення з відкритим кодом[6], що залишилося без уваги.[5] Apache позитивно оцінив зміни, водночас занепокоївшись застосовністю CRA до потенційно критичних компонентів з відкритим кодом і наголосивши на важливості співпраці з міжнародними органами стандартизації для полегшення сертифікації програмного забезпечення.[38]

Див. також

[ред. | ред. код]

2024 |Список інцидентів злому безпеки №2024]]

Примітки

[ред. | ред. код]
  1. а б Cyber Resilience Act | Shaping Europe's digital future. digital-strategy.ec.europa.eu (англ.). 15 вересня 2022. Процитовано 17 травня 2023.
  2. а б в г EU cyber-resilience act | Think Tank | European Parliament. www.europarl.europa.eu (англ.). Процитовано 17 травня 2023.
  3. а б Sawers, Paul (18 квітня 2023). In letter to EU, open source bodies say Cyber Resilience Act could have 'chilling effect' on software development. TechCrunch. Процитовано 17 травня 2023.
  4. Commission welcomes political agreement on Cyber Resilience Act. European Commission. 1 грудня 2023. Процитовано 22 березня 2024.
  5. а б в Phipps, Simon (2 лютого 2024), The European regulators listened to the Open Source communities!, Voices of Open Source (амер.), Open Source Initiative, процитовано 21 лютого 2024
  6. а б Statement about the EU Cyber Resilience Act. Debian Project.
  7. Cyber Resilience Act: MEPs adopt plans to boost security of digital products | News | European Parliament. www.europarl.europa.eu (англ.). 12 березня 2024. Процитовано 23 березня 2024.
  8. Council of the European Union (10 жовтня 2024). Cyber resilience act: Council adopts new law on security requirements for digital products). Consilium. Процитовано 13 жовтня 2024.
  9. Car, Polona; De Luca, Stefano (May 2023). EU cyber-resilience act — Briefing EU Legislation in Progress — PE 739.259. Strasbourg, France: European Parliamentary Research Service (EPRS), European Parliament. Процитовано 25 вересня 2023.
  10. а б EU pitches cyber law to fix patchy Internet of Things. POLITICO (англ.). 15 вересня 2022. Процитовано 17 травня 2023.
  11. Commission presents Cyber Resilience Act targeting Internet of Things products. www.euractiv.com. 15 вересня 2022. Процитовано 17 травня 2023.
  12. а б Lomas, Natasha (15 вересня 2022). The EU unboxes its plan for smart device security. TechCrunch. Процитовано 17 травня 2023.
  13. а б в г Chee, Foo Yun (15 вересня 2022). EU proposes rules targeting cybersecurity risks of smart devices. Reuters (англ.). Процитовано 17 травня 2023.
  14. Gross, Anna (9 листопада 2022). Why a clear cyber policy is critical for companies. Financial Times. Процитовано 17 травня 2023.
  15. а б в Dobberstein, Laura. EU puts manufacturers on hook for smart device security. www.theregister.com (англ.). Процитовано 17 травня 2023.
  16. а б в Starks, Tim (3 січня 2023). Analysis | Europe's cybersecurity dance card is full. Washington Post. Процитовано 17 травня 2023.
  17. EU chief announces cybersecurity law for connected devices. www.euractiv.com. 16 вересня 2021. Процитовано 17 травня 2023.
  18. а б в Swedish Council presidency presents first full rewrite of Cyber Resilience Act. www.euractiv.com. 25 квітня 2023. Процитовано 17 травня 2023.
  19. а б в Texts adopted - Cyber Resilience Act (англ.), European Parliament, 12 березня 2024, процитовано 23 березня 2024
  20. Security, Help Net (2 березня 2023). Cyber resilience in focus: EU act to set strict standards. Help Net Security. Процитовано 18 травня 2023.
  21. Nuthi, Kir (26 вересня 2022), An Overview of the EU's Cyber Resilience Act (амер.), Center for Data Innovation, процитовано 23 березня 2024
  22. Cyber-resilience Act signals big change in commercial software development. The Irish Times (англ.). Процитовано 17 травня 2023.
  23. Cyber Resilience Act: Leading MEP proposes flexible lifetime, narrower reporting. www.euractiv.com. 31 березня 2023. Процитовано 17 травня 2023.
  24. EU lawmakers set to close deal on cybersecurity law for connected devices. www.euractiv.com (брит.). 4 липня 2023. Процитовано 6 липня 2023.
  25. а б в Cyber Resilience Act – Read the current state of play. Cyber Resilience Act (амер.). Процитовано 13 липня 2023.
  26. EU Council cuts down special product categories in cybersecurity law. www.euractiv.com (брит.). 10 липня 2023. Процитовано 13 липня 2023.
  27. EU ambassadors set to endorse new cybersecurity law for connected devices. www.euractiv.com (брит.). 17 липня 2023. Процитовано 20 липня 2023.
  28. Current State of Play – Cyber Resilience Act (амер.). Процитовано 1 липня 2024.
  29. а б в Vaughan-Nichols, Steven J. EU attempts to secure software could hurt open source. www.theregister.com (англ.). Процитовано 17 травня 2023.
  30. а б Harris, Jacob (17 квітня 2023). Open Letter to the European Commission on the Cyber Resilience Act. Eclipse News, Eclipse in the News, Eclipse Announcement (англ.). Процитовано 22 травня 2023.
  31. van Gulik, Dirk-Willem (18 липня 2023). Save Open Source: The Impending Tragedy of the Cyber Resilience Act. Blog of the Apache Software Foundation. Процитовано 22 вересня 2023.
  32. Phipps, Simon (24 січня 2023). What is the Cyber Resilience Act and why it's dangerous for Open Source. Voices of Open Source. Open Source Initiative. Процитовано 18 травня 2023.
  33. Europe's cyber security strategy must be clear about open source | Computer Weekly. Computer Weekly (англ.). Процитовано 17 травня 2023.
  34. Stampelos, Tasos (30 липня 2023). Mozilla weighs in on the EU Cyber Resilience Act. Open Policy & Advocacy. Процитовано 30 липня 2023.
  35. EU: Proposed liability rules will harm Free Software. Процитовано 17 листопада 2024.
  36. а б Milinkovich, Mike (19 грудня 2023), Good News on the Cyber Resilience Act, Life at Eclipse (англ.), процитовано 21 лютого 2024
  37. The Eclipse Foundation Showcases Successful Open Source Industry Collaborations for 2023; Looks Ahead to Additional Growth in 2024 (англ.), Eclipse Foundation Canada, 20 лютого 2024, процитовано 21 лютого 2024
  38. Apache Software Foundation (23 січня 2024), Update on EU Software Regulation: Lots of improvements & good news, The Apache Software Foundation Blog (амер.), процитовано 4 червня 2024

Посилання

[ред. | ред. код]
Отримано з https://uk.wikipedia.org/wiki/Акт_про_кіберстійкість