Закон о киберустойчивости
![]() | |
Заголовок | Закон о киберустойчивости – Предложение о регулировании горизонтальных требований кибербезопасности для продуктов с цифровыми элементами. |
---|---|
Ожидаемое законодательство |
Закон о киберустойчивости (CRA) — это постановление ЕС, 15 сентября 2022 года предложенное Европейской комиссией для улучшения кибербезопасности и киберустойчивости в ЕС посредством общих стандартов кибербезопасности для продуктов с цифровыми элементами в ЕС, таких как обязательные отчеты об инцидентах и автоматическая безопасность. обновления. [1] Продукты с цифровыми элементами в основном представляют собой аппаратное и программное обеспечение , «предполагаемое и прогнозируемое использование которого включает прямое или косвенное подключение данных к устройству или сети». [2]
После публикации проекта предложения несколько организаций с открытым исходным кодом раскритиковали CRA за «сдерживающее воздействие на разработку программного обеспечения с открытым исходным кодом ». [3] Европейская комиссия достигла политического соглашения по CRA 1 декабря 2023 года после ряда поправок. [4] В пересмотренном законопроекте введена новая экономическая концепция «управляющего открытым исходным кодом», и он получил льготы от многих организаций с открытым исходным кодом из-за исключения для программного обеспечения с открытым исходным кодом. [5] в то время как Debian раскритиковал его влияние на малый бизнес и перераспределителей. [6] Соглашение CRA получило официальное одобрение Европейского парламента в марте 2024 года. [7] По состоянию на 20 мая 2024 г. [update], он по-прежнему требует официального принятия Советом, прежде чем он вступит в силу. [8]
Цели и мотивация
[ редактировать ]Предыстория, цели и мотивы предлагаемой политики включают: [9]
- Потребители все чаще становятся жертвами недостатков безопасности цифровых продуктов (например, уязвимостей ), в том числе Интернета вещей. устройств [2] [10] [11] или смарт-устройства . [12] [13]
- Обеспечение безопасности цифровых продуктов в цепочке поставок важно для бизнеса. [2] а кибербезопасность часто представляет собой «проблему полного риска компании». [14]
- Потенциальные последствия взлома включают «серьезные нарушения экономической и социальной деятельности на внутреннем рынке, подрыв безопасности или даже угрозу жизни». [15]
- Принципы безопасности по умолчанию налагают обязанность заботиться о жизненном цикле продуктов вместо того, чтобы, например, полагаться на потребителей и добровольцев в обеспечении базового уровня безопасности. [2] [16] Новые правила «перебалансируют ответственность перед производителями». [15]
- Кибератаки привели «к 2021 году к 2021 году глобальный годовой ущерб от киберпреступности составит 5,5 триллиона евро». [1]
- Быстрое распространение цифровых технологий означает, что государства-изгои или негосударственные группы могут с большей легкостью разрушать критически важные инфраструктуры, такие как государственное управление и больницы. [17]
По мнению The Washington Post , CRA может сделать ЕС лидером в области кибербезопасности и «изменить правила игры во всем мире». [16]
Реализация и механизмы
[ редактировать ]![]() | Этот раздел необходимо обновить . Причина такова: скопировать и удалить слово «воля» для того, что произошло. Также добавьте новую поправку, которая применяется только к коммерческому распространению. ( февраль 2024 г. ) |
развертывать обновления безопасности Политика требует, чтобы программное обеспечение, от которого «разумно ожидается», что оно будет иметь автоматические обновления, должно автоматически по умолчанию , позволяя пользователям отказаться от этого. [18] Если это возможно, обновления безопасности следует отделять от обновлений функций. [19] : Приложение I.II(2) Компаниям необходимо проводить оценку киберрисков до того, как продукт будет выпущен на рынок, а также в течение 10 лет или его ожидаемого жизненного цикла. [20] Компании должны будут уведомлять агентство кибербезопасности ЕС ENISA о любых инцидентах в течение 24 часов после того, как о них станет известно, и принять меры для их разрешения. [13] Продукты с маркировкой CE будут «соответствовать минимальному уровню проверок кибербезопасности». [10]
Около 90% продуктов с цифровыми элементами подпадают под категорию по умолчанию, для которой производители самостоятельно оценивают безопасность, пишут декларацию соответствия ЕС и предоставляют техническую документацию. [21] Остальные либо «важны», либо «критичны». Продукты, важные для безопасности, подразделяются на два класса рисков. [22] Продукты, оцененные как «критические», должны будут пройти внешний аудит . [18] [16]
После принятия закона у производителей будет два года на адаптацию к новым требованиям и один год на внедрение отчетности об уязвимостях и инцидентах. Невыполнение этого требования может привести к штрафу в размере до 15 миллионов евро или 2,5 процента от общего мирового годового оборота нарушителя за предыдущий финансовый год. [15] [12] [13] Штрафы не распространяются на некоммерческих разработчиков ПО с открытым исходным кодом. [19] : 64(10)
Euractiv сообщил о новых проектах или проектах изменений , которые включают такие изменения, как «отмена временных обязательств в течение срока службы продуктов и ограничение объема отчетности значительными инцидентами». [23] [18] Первая компромиссная поправка будет обсуждаться 22 мая 2023 года, до которой, как сообщается, группы смогут представлять письменные комментарии . Euractiv предоставил краткий обзор предлагаемых изменений. [24]
Ожидается, что основные политические группы в Европейском парламенте согласуют Закон о киберустойчивости на заседании 5 июля 2023 года. Законодатели обсудят аспекты открытого исходного кода, периоды поддержки, обязательства по отчетности и сроки реализации. Голосование комитета назначено на 19 июля 2023 года. [25] [26]
Испания, председательствующая в Совете ЕС, опубликовала пересмотренный проект, который упрощает нормативные требования к подключенным устройствам. Это позволит сократить количество категорий продуктов, которые должны соответствовать конкретным правилам, обязать сообщать об инцидентах кибербезопасности национальным CSIRT, а также включить положения об определении срока службы продукта и облегчении административного бремени для небольших компаний. Закон также уточняет, что от новых требований освобождаются запчасти с цифровыми элементами, поставляемые оригинальным производителем. [27] [26]
В тексте Совета также предусматривается, что прежде чем обращаться к обязательной сертификации, руководители Европейского Союза должны провести оценку воздействия, чтобы оценить как аспекты спроса и предложения на внутреннем рынке, так и потенциал и готовность государств-членов к реализации предложенных схем. [28] [26]
25 июня 2024 года Чешское национальное управление по кибер- и информационной безопасности (NUKIB) объявило о шагах по реализации Закона о киберустойчивости (CRA), включая постановление, которое ожидается осенью 2024 года, а его исполнение начнется в конце 2027 года после трехлетнего переходного периода. . Этот регламент потребует от производителей цифровых продуктов повышения кибербезопасности на протяжении всего жизненного цикла продукта. NÚKIB также проведет консультации с производителями важной и критически важной продукции с 25 июня по 17 июля 2024 года для разработки технических спецификаций и сбора отзывов. [29]
Прием
[ редактировать ]Первоначально предложенный закон подвергся резкой критике со стороны сторонников открытого кода. [30]
- Несколько организаций с открытым исходным кодом, таких как Eclipse Foundation , Open Source Initiative (OSI) и The Document Foundation, подписали открытое письмо « Открытое письмо Европейской комиссии по Закону о киберустойчивости ». [31] просить политиков изменить недопредставленность сообщества открытого исходного кода. Он обнаружил, что политика «[ бесплатного программного обеспечения с открытым исходным кодом ] более 70% программного обеспечения в Европе [,] будет регулироваться без углубленных консультаций», и если она будет реализована в том виде, в каком она написана (по состоянию на апрель), это будет оказывают «сдерживающее воздействие на разработку программного обеспечения с открытым исходным кодом как глобальное предприятие, в конечном итоге подрывая заявленные ЕС цели в области инноваций , цифрового суверенитета и будущего процветания». [3] [30] [31] Apache Software Foundation опубликовал аналогичное заявление: [32] и OSI представило эту информацию на запрос Европейской комиссии о предоставлении информации. [33]
- Хотя Mozilla «приветствует и поддерживает всеобъемлющие цели CRA», она также раскритиковала предложение за неясные ссылки на «коммерческую деятельность», которая может включать в себя множество проектов с открытым исходным кодом (точка зрения, которую Илкка Турунен из Computer Weekly повторил [34] ), несоответствие другим правилам ЕС и требованиям раскрытия явных уязвимостей. [35]
- Стивен Дж. Воган-Николс из The Register утверждал, что «основное предположение CRA заключается в том, что вы можете просто повысить безопасность программного обеспечения», в то время как «[м] ни один из разработчиков с открытым исходным кодом не имеет ни доходов, ни ресурсов для обеспечения безопасности своих программ в соответствии с государственным стандартом». [30]
- CCIA Europe предупредила, что «возникшая в результате бюрократическая волокита в процессе утверждения может затруднить внедрение новых технологий и услуг в Европе». [13]
Поправки были опубликованы 1 декабря 2023 года в рамках политического соглашения между законодателями. [36] к одобрению многих сторонников открытого исходного кода. [5] Как сказал Майк Милинкович, исполнительный директор фонда Eclipse, [37] написал: [36]
Пересмотренное законодательство значительно улучшило исключение проектов с открытым исходным кодом, сообществ, фондов, а также платформ их разработки и распространения пакетов. Это также создает новую форму экономического субъекта, «управляющего открытым исходным кодом», который признает роль, которую играют фонды и платформы в экосистеме открытого исходного кода. Это первый раз, когда это появляется в регламенте, и будет интересно посмотреть, как это будет развиваться.
— Майк Милинкович, «Хорошие новости о Законе о киберустойчивости»
OSI принял к сведению заявление Debian о том, что у многих малых предприятий и индивидуальных разработчиков возникнут проблемы с соблюдением закона при распространении программного обеспечения с открытым исходным кодом. [6] остался без внимания. [5] Apache положительно отнесся к изменениям, хотя выразил обеспокоенность по поводу применимости CRA к потенциально критически важным компонентам с открытым исходным кодом и подчеркнул важность сотрудничества с международными органами по стандартизации для облегчения сертификации программного обеспечения. [38]
См. также
[ редактировать ]- Закон об искусственном интеллекте
- Защита прав потребителей
- Кибер-самооборона
- Список утечек данных
- Список инцидентов взлома безопасности № 2023
- Устойчивый дизайн
- Стандартизация
Ссылки
[ редактировать ]- ^ Перейти обратно: а б «Закон о киберустойчивости | Формирование цифрового будущего Европы» . digital-strategy.ec.europa.eu . 15 сентября 2022 г. Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б с д «Закон ЕС о киберустойчивости | Аналитический центр | Европейский парламент» . www.europarl.europa.eu . Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б Сойерс, Пол (18 апреля 2023 г.). «В письме в ЕС организации с открытым исходным кодом заявляют, что Закон о киберустойчивости может оказать «сдерживающее воздействие» на разработку программного обеспечения» . ТехКранч . Проверено 17 мая 2023 г.
- ^ «Комиссия приветствует политическое соглашение по Закону о киберустойчивости» . Европейская комиссия . 1 декабря 2023 г. Проверено 22 марта 2024 г.
- ^ Перейти обратно: а б с Фиппс, Саймон (2 февраля 2024 г.), «Европейские регулирующие органы прислушались к сообществам открытого исходного кода!» , Голоса открытого исходного кода , Инициатива открытого исходного кода , получено 21 февраля 2024 г.
- ^ Перейти обратно: а б Заявление о Законе ЕС о киберустойчивости
- ^ «Закон о киберустойчивости: депутаты Европарламента принимают планы по повышению безопасности цифровых продуктов | Новости | Европейский парламент» . www.europarl.europa.eu . 12 марта 2024 г. Проверено 23 марта 2024 г.
- ^ Европейский парламент (20 мая 2024 г.), «Требования к горизонтальной кибербезопасности для продуктов с цифровыми элементами» , Законодательное расписание поездов , получено 4 июня 2024 г.
- ^ Автомобиль, Полона; Де Лука, Стефано (май 2023 г.). Закон ЕС о киберустойчивости — Брифинг о законодательстве ЕС в стадии разработки — PE 739.259 . Страсбург, Франция: Европейская парламентская исследовательская служба (EPRS), Европейский парламент . Проверено 25 сентября 2023 г.
- ^ Перейти обратно: а б «ЕС предлагает кибер-закон, чтобы исправить неоднородный Интернет вещей» . ПОЛИТИКА . 15 сентября 2022 г. Проверено 17 мая 2023 г.
- ^ «Комиссия представляет Закон о киберустойчивости, касающийся продуктов Интернета вещей» . www.euractiv.com . 15 сентября 2022 г. Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б Ломас, Наташа (15 сентября 2022 г.). «ЕС раскрывает свой план по обеспечению безопасности интеллектуальных устройств» . ТехКранч . Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б с д Чи, Фу Юн (15 сентября 2022 г.). «ЕС предлагает правила, направленные на устранение рисков кибербезопасности интеллектуальных устройств» . Рейтер . Проверено 17 мая 2023 г.
- ^ Гросс, Анна (9 ноября 2022 г.). «Почему четкая кибер-политика имеет решающее значение для компаний» . Файнэншл Таймс . Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б с Добберштейн, Лаура. «ЕС ставит производителей на крючок ради безопасности интеллектуальных устройств» . www.theregister.com . Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б с Старкс, Тим (3 января 2023 г.). «Анализ | Танцевальная карта кибербезопасности Европы заполнена» . Вашингтон Пост . Проверено 17 мая 2023 г.
- ^ «Глава ЕС объявляет о законе о кибербезопасности подключенных устройств» . www.euractiv.com . 16 сентября 2021 г. Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б с «Председатель Совета Швеции представляет первый полный пересмотр Закона о киберустойчивости» . www.euractiv.com . 25 апреля 2023 г. Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б Принятые тексты — Закон о киберустойчивости , Европейский парламент , 12 марта 2024 г. , дата обращения 23 марта 2024 г.
- ^ Безопасность, Help Net (2 марта 2023 г.). «Киберустойчивость в центре внимания: ЕС устанавливает строгие стандарты» . Помогите Net Security . Проверено 18 мая 2023 г.
- ^ Нути, Кир (26 сентября 2022 г.), Обзор Закона ЕС о киберустойчивости , Центр инноваций в области данных , получено 23 марта 2024 г.
- ^ «Закон о киберустойчивости сигнализирует о больших переменах в разработке коммерческого программного обеспечения» . Ирландские Таймс . Проверено 17 мая 2023 г.
- ^ «Закон о киберустойчивости: ведущий депутат Европарламента предлагает гибкий срок действия и более узкую отчетность» . www.euractiv.com . 31 марта 2023 г. Проверено 17 мая 2023 г.
- ^ «Законодатели ЕС начинают переговоры по закону о кибербезопасности подключенных устройств» . www.euractiv.com . 17 мая 2023 г. Проверено 18 мая 2023 г.
- ^ «Законодатели ЕС собираются заключить соглашение по закону о кибербезопасности подключенных устройств» . www.euractiv.com . 4 июля 2023 г. Проверено 6 июля 2023 г.
- ^ Перейти обратно: а б с «Закон о киберустойчивости – ознакомьтесь с текущим состоянием дел» . Закон о киберустойчивости . Проверено 13 июля 2023 г.
- ^ «Совет ЕС сокращает специальные категории продуктов в законе о кибербезопасности» . www.euractiv.com . 10 июля 2023 г. Проверено 13 июля 2023 г.
- ^ «Послы ЕС собираются одобрить новый закон о кибербезопасности для подключенных устройств» . www.euractiv.com . 17 июля 2023 г. Проверено 20 июля 2023 г.
- ^ «Текущее состояние дел – Закон о киберустойчивости» . Проверено 1 июля 2024 г.
- ^ Перейти обратно: а б с Воан-Николс, Стивен Дж. «Попытки ЕС защитить программное обеспечение могут нанести вред открытому исходному коду» . www.theregister.com . Проверено 17 мая 2023 г.
- ^ Перейти обратно: а б Харрис, Джейкоб (17 апреля 2023 г.). «Открытое письмо Европейской комиссии по поводу Закона о киберустойчивости» . Новости Eclipse, Eclipse в новостях, Объявление о Eclipse . Проверено 22 мая 2023 г.
- ^ ван Гулик, Дирк-Виллем (18 июля 2023 г.). «Спасите открытый исходный код: надвигающаяся трагедия Закона о киберустойчивости» . Блог Apache Software Foundation . Проверено 22 сентября 2023 г.
- ^ Фиппс, Саймон (24 января 2023 г.). «Что такое Закон о киберустойчивости и почему он опасен для открытого исходного кода» . Голоса открытого исходного кода . Инициатива открытого исходного кода . Проверено 18 мая 2023 г.
- ^ «Стратегия кибербезопасности Европы должна четко определять открытый исходный код | Computer Weekly» . Компьютерный еженедельник . Проверено 17 мая 2023 г.
- ^ Стампелос, Тасос (30 июля 2023 г.). «Mozilla высказывает мнение по поводу Закона ЕС о киберустойчивости» . Открытая политика и пропаганда . Проверено 30 июля 2023 г.
- ^ Перейти обратно: а б Милинкович, Майк (19 декабря 2023 г.), «Хорошие новости о Законе о киберустойчивости» , Life at Eclipse , получено 21 февраля 2024 г.
- ^ Фонд Eclipse демонстрирует успешное сотрудничество в отрасли открытого исходного кода в 2023 году; Ожидается дополнительный рост в 2024 году , Eclipse Foundation Canada, 20 февраля 2024 г. , дата обращения 21 февраля 2024 г.
- ^ Apache Software Foundation (23 января 2024 г.), «Обновленная информация о регулировании программного обеспечения ЕС: множество улучшений и хорошие новости» , Блог Apache Software Foundation , получено 4 июня 2024 г.
Внешние ссылки
[ редактировать ]- «Законодательная резолюция Европейского парламента от 12 марта 2024 года о предложении по постановлению Европейского парламента и Совета о горизонтальных требованиях кибербезопасности для продуктов с цифровыми элементами и внесении изменений …» Европейский парламент. 12 марта 2024 г. Проверено 5 мая 2024 г.
- «Закон о киберустойчивости | Формирование цифрового будущего Европы» . digital-strategy.ec.europa.eu . 15 сентября 2022 г. Проверено 17 мая 2023 г.
- Предложение по Регламенту Европейского парламента и Совета о горизонтальных требованиях кибербезопасности для продуктов с цифровыми элементами на EUR-Lex
- Процедура 2022/0272/COD по EUR-Lex
- Процедура 2022/0272(COD) по ГЛАЗУ
- ISO/IEC и европейские стандарты CEN и CENELEC, касающиеся кибербезопасности [1] на Genorma.com