Jump to content

Закон о киберустойчивости

Заголовок Закон о киберустойчивости – Предложение о регулировании горизонтальных требований кибербезопасности для продуктов с цифровыми элементами.
Ожидаемое законодательство

Закон о киберустойчивости (CRA) — это постановление ЕС, 15 сентября 2022 года предложенное Европейской комиссией для улучшения кибербезопасности и киберустойчивости в ЕС посредством общих стандартов кибербезопасности для продуктов с цифровыми элементами в ЕС, таких как обязательные отчеты об инцидентах и ​​автоматическая безопасность. обновления. [1] Продукты с цифровыми элементами в основном представляют собой аппаратное и программное обеспечение , «предполагаемое и прогнозируемое использование которого включает прямое или косвенное подключение данных к устройству или сети». [2]

После публикации проекта предложения несколько организаций с открытым исходным кодом раскритиковали CRA за «сдерживающее воздействие на разработку программного обеспечения с открытым исходным кодом ». [3] Европейская комиссия достигла политического соглашения по CRA 1 декабря 2023 года после ряда поправок. [4] В пересмотренном законопроекте введена новая экономическая концепция «управляющего открытым исходным кодом», и он получил льготы от многих организаций с открытым исходным кодом из-за исключения для программного обеспечения с открытым исходным кодом. [5] в то время как Debian раскритиковал его влияние на малый бизнес и перераспределителей. [6] Соглашение CRA получило официальное одобрение Европейского парламента в марте 2024 года. [7] По состоянию на 20 мая 2024 г. , он по-прежнему требует официального принятия Советом, прежде чем он вступит в силу. [8]

Цели и мотивация

[ редактировать ]

Предыстория, цели и мотивы предлагаемой политики включают: [9]

  • Потребители все чаще становятся жертвами недостатков безопасности цифровых продуктов (например, уязвимостей ), в том числе Интернета вещей. устройств [2] [10] [11] или смарт-устройства . [12] [13]
  • Обеспечение безопасности цифровых продуктов в цепочке поставок важно для бизнеса. [2] а кибербезопасность часто представляет собой «проблему полного риска компании». [14]
  • Потенциальные последствия взлома включают «серьезные нарушения экономической и социальной деятельности на внутреннем рынке, подрыв безопасности или даже угрозу жизни». [15]
  • Принципы безопасности по умолчанию налагают обязанность заботиться о жизненном цикле продуктов вместо того, чтобы, например, полагаться на потребителей и добровольцев в обеспечении базового уровня безопасности. [2] [16] Новые правила «перебалансируют ответственность перед производителями». [15]
  • Кибератаки привели «к 2021 году к 2021 году глобальный годовой ущерб от киберпреступности составит 5,5 триллиона евро». [1]
  • Быстрое распространение цифровых технологий означает, что государства-изгои или негосударственные группы могут с большей легкостью разрушать критически важные инфраструктуры, такие как государственное управление и больницы. [17]

По мнению The Washington Post , CRA может сделать ЕС лидером в области кибербезопасности и «изменить правила игры во всем мире». [16]

Реализация и механизмы

[ редактировать ]

развертывать обновления безопасности Политика требует, чтобы программное обеспечение, от которого «разумно ожидается», что оно будет иметь автоматические обновления, должно автоматически по умолчанию , позволяя пользователям отказаться от этого. [18] Если это возможно, обновления безопасности следует отделять от обновлений функций. [19] : Приложение I.II(2) Компаниям необходимо проводить оценку киберрисков до того, как продукт будет выпущен на рынок, а также в течение 10 лет или его ожидаемого жизненного цикла. [20] Компании должны будут уведомлять агентство кибербезопасности ЕС ENISA о любых инцидентах в течение 24 часов после того, как о них станет известно, и принять меры для их разрешения. [13] Продукты с маркировкой CE будут «соответствовать минимальному уровню проверок кибербезопасности». [10]

Около 90% продуктов с цифровыми элементами подпадают под категорию по умолчанию, для которой производители самостоятельно оценивают безопасность, пишут декларацию соответствия ЕС и предоставляют техническую документацию. [21] Остальные либо «важны», либо «критичны». Продукты, важные для безопасности, подразделяются на два класса рисков. [22] Продукты, оцененные как «критические», должны будут пройти внешний аудит . [18] [16]

После принятия закона у производителей будет два года на адаптацию к новым требованиям и один год на внедрение отчетности об уязвимостях и инцидентах. Невыполнение этого требования может привести к штрафу в размере до 15 миллионов евро или 2,5 процента от общего мирового годового оборота нарушителя за предыдущий финансовый год. [15] [12] [13] Штрафы не распространяются на некоммерческих разработчиков ПО с открытым исходным кодом. [19] : 64(10) 

Euractiv сообщил о новых проектах или проектах изменений , которые включают такие изменения, как «отмена временных обязательств в течение срока службы продуктов и ограничение объема отчетности значительными инцидентами». [23] [18] Первая компромиссная поправка будет обсуждаться 22 мая 2023 года, до которой, как сообщается, группы смогут представлять письменные комментарии . Euractiv предоставил краткий обзор предлагаемых изменений. [24]

Ожидается, что основные политические группы в Европейском парламенте согласуют Закон о киберустойчивости на заседании 5 июля 2023 года. Законодатели обсудят аспекты открытого исходного кода, периоды поддержки, обязательства по отчетности и сроки реализации. Голосование комитета назначено на 19 июля 2023 года. [25] [26]

Испания, председательствующая в Совете ЕС, опубликовала пересмотренный проект, который упрощает нормативные требования к подключенным устройствам. Это позволит сократить количество категорий продуктов, которые должны соответствовать конкретным правилам, обязать сообщать об инцидентах кибербезопасности национальным CSIRT, а также включить положения об определении срока службы продукта и облегчении административного бремени для небольших компаний. Закон также уточняет, что от новых требований освобождаются запчасти с цифровыми элементами, поставляемые оригинальным производителем. [27] [26]

В тексте Совета также предусматривается, что прежде чем обращаться к обязательной сертификации, руководители Европейского Союза должны провести оценку воздействия, чтобы оценить как аспекты спроса и предложения на внутреннем рынке, так и потенциал и готовность государств-членов к реализации предложенных схем. [28] [26]

25 июня 2024 года Чешское национальное управление по кибер- и информационной безопасности (NUKIB) объявило о шагах по реализации Закона о киберустойчивости (CRA), включая постановление, которое ожидается осенью 2024 года, а его исполнение начнется в конце 2027 года после трехлетнего переходного периода. . Этот регламент потребует от производителей цифровых продуктов повышения кибербезопасности на протяжении всего жизненного цикла продукта. NÚKIB также проведет консультации с производителями важной и критически важной продукции с 25 июня по 17 июля 2024 года для разработки технических спецификаций и сбора отзывов. [29]

Первоначально предложенный закон подвергся резкой критике со стороны сторонников открытого кода. [30]

Поправки были опубликованы 1 декабря 2023 года в рамках политического соглашения между законодателями. [36] к одобрению многих сторонников открытого исходного кода. [5] Как сказал Майк Милинкович, исполнительный директор фонда Eclipse, [37] написал: [36]

Пересмотренное законодательство значительно улучшило исключение проектов с открытым исходным кодом, сообществ, фондов, а также платформ их разработки и распространения пакетов. Это также создает новую форму экономического субъекта, «управляющего открытым исходным кодом», который признает роль, которую играют фонды и платформы в экосистеме открытого исходного кода. Это первый раз, когда это появляется в регламенте, и будет интересно посмотреть, как это будет развиваться.

Майк Милинкович, «Хорошие новости о Законе о киберустойчивости»

OSI принял к сведению заявление Debian о том, что у многих малых предприятий и индивидуальных разработчиков возникнут проблемы с соблюдением закона при распространении программного обеспечения с открытым исходным кодом. [6] остался без внимания. [5] Apache положительно отнесся к изменениям, хотя выразил обеспокоенность по поводу применимости CRA к потенциально критически важным компонентам с открытым исходным кодом и подчеркнул важность сотрудничества с международными органами по стандартизации для облегчения сертификации программного обеспечения. [38]

См. также

[ редактировать ]
  1. ^ Перейти обратно: а б «Закон о киберустойчивости | Формирование цифрового будущего Европы» . digital-strategy.ec.europa.eu . 15 сентября 2022 г. Проверено 17 мая 2023 г.
  2. ^ Перейти обратно: а б с д «Закон ЕС о киберустойчивости | Аналитический центр | Европейский парламент» . www.europarl.europa.eu . Проверено 17 мая 2023 г.
  3. ^ Перейти обратно: а б Сойерс, Пол (18 апреля 2023 г.). «В письме в ЕС организации с открытым исходным кодом заявляют, что Закон о киберустойчивости может оказать «сдерживающее воздействие» на разработку программного обеспечения» . ТехКранч . Проверено 17 мая 2023 г.
  4. ^ «Комиссия приветствует политическое соглашение по Закону о киберустойчивости» . Европейская комиссия . 1 декабря 2023 г. Проверено 22 марта 2024 г.
  5. ^ Перейти обратно: а б с Фиппс, Саймон (2 февраля 2024 г.), «Европейские регулирующие органы прислушались к сообществам открытого исходного кода!» , Голоса открытого исходного кода , Инициатива открытого исходного кода , получено 21 февраля 2024 г.
  6. ^ Перейти обратно: а б Заявление о Законе ЕС о киберустойчивости
  7. ^ «Закон о киберустойчивости: депутаты Европарламента принимают планы по повышению безопасности цифровых продуктов | Новости | Европейский парламент» . www.europarl.europa.eu . 12 марта 2024 г. Проверено 23 марта 2024 г.
  8. ^ Европейский парламент (20 мая 2024 г.), «Требования к горизонтальной кибербезопасности для продуктов с цифровыми элементами» , Законодательное расписание поездов , получено 4 июня 2024 г.
  9. ^ Автомобиль, Полона; Де Лука, Стефано (май 2023 г.). Закон ЕС о киберустойчивости — Брифинг о законодательстве ЕС в стадии разработки — PE 739.259 . Страсбург, Франция: Европейская парламентская исследовательская служба (EPRS), Европейский парламент . Проверено 25 сентября 2023 г.
  10. ^ Перейти обратно: а б «ЕС предлагает кибер-закон, чтобы исправить неоднородный Интернет вещей» . ПОЛИТИКА . 15 сентября 2022 г. Проверено 17 мая 2023 г.
  11. ^ «Комиссия представляет Закон о киберустойчивости, касающийся продуктов Интернета вещей» . www.euractiv.com . 15 сентября 2022 г. Проверено 17 мая 2023 г.
  12. ^ Перейти обратно: а б Ломас, Наташа (15 сентября 2022 г.). «ЕС раскрывает свой план по обеспечению безопасности интеллектуальных устройств» . ТехКранч . Проверено 17 мая 2023 г.
  13. ^ Перейти обратно: а б с д Чи, Фу Юн (15 сентября 2022 г.). «ЕС предлагает правила, направленные на устранение рисков кибербезопасности интеллектуальных устройств» . Рейтер . Проверено 17 мая 2023 г.
  14. ^ Гросс, Анна (9 ноября 2022 г.). «Почему четкая кибер-политика имеет решающее значение для компаний» . Файнэншл Таймс . Проверено 17 мая 2023 г.
  15. ^ Перейти обратно: а б с Добберштейн, Лаура. «ЕС ставит производителей на крючок ради безопасности интеллектуальных устройств» . www.theregister.com . Проверено 17 мая 2023 г.
  16. ^ Перейти обратно: а б с Старкс, Тим (3 января 2023 г.). «Анализ | Танцевальная карта кибербезопасности Европы заполнена» . Вашингтон Пост . Проверено 17 мая 2023 г.
  17. ^ «Глава ЕС объявляет о законе о кибербезопасности подключенных устройств» . www.euractiv.com . 16 сентября 2021 г. Проверено 17 мая 2023 г.
  18. ^ Перейти обратно: а б с «Председатель Совета Швеции представляет первый полный пересмотр Закона о киберустойчивости» . www.euractiv.com . 25 апреля 2023 г. Проверено 17 мая 2023 г.
  19. ^ Перейти обратно: а б Принятые тексты — Закон о киберустойчивости , Европейский парламент , 12 марта 2024 г. , дата обращения 23 марта 2024 г.
  20. ^ Безопасность, Help Net (2 марта 2023 г.). «Киберустойчивость в центре внимания: ЕС устанавливает строгие стандарты» . Помогите Net Security . Проверено 18 мая 2023 г.
  21. ^ Нути, Кир (26 сентября 2022 г.), Обзор Закона ЕС о киберустойчивости , Центр инноваций в области данных , получено 23 марта 2024 г.
  22. ^ «Закон о киберустойчивости сигнализирует о больших переменах в разработке коммерческого программного обеспечения» . Ирландские Таймс . Проверено 17 мая 2023 г.
  23. ^ «Закон о киберустойчивости: ведущий депутат Европарламента предлагает гибкий срок действия и более узкую отчетность» . www.euractiv.com . 31 марта 2023 г. Проверено 17 мая 2023 г.
  24. ^ «Законодатели ЕС начинают переговоры по закону о кибербезопасности подключенных устройств» . www.euractiv.com . 17 мая 2023 г. Проверено 18 мая 2023 г.
  25. ^ «Законодатели ЕС собираются заключить соглашение по закону о кибербезопасности подключенных устройств» . www.euractiv.com . 4 июля 2023 г. Проверено 6 июля 2023 г.
  26. ^ Перейти обратно: а б с «Закон о киберустойчивости – ознакомьтесь с текущим состоянием дел» . Закон о киберустойчивости . Проверено 13 июля 2023 г.
  27. ^ «Совет ЕС сокращает специальные категории продуктов в законе о кибербезопасности» . www.euractiv.com . 10 июля 2023 г. Проверено 13 июля 2023 г.
  28. ^ «Послы ЕС собираются одобрить новый закон о кибербезопасности для подключенных устройств» . www.euractiv.com . 17 июля 2023 г. Проверено 20 июля 2023 г.
  29. ^ «Текущее состояние дел – Закон о киберустойчивости» . Проверено 1 июля 2024 г.
  30. ^ Перейти обратно: а б с Воан-Николс, Стивен Дж. «Попытки ЕС защитить программное обеспечение могут нанести вред открытому исходному коду» . www.theregister.com . Проверено 17 мая 2023 г.
  31. ^ Перейти обратно: а б Харрис, Джейкоб (17 апреля 2023 г.). «Открытое письмо Европейской комиссии по поводу Закона о киберустойчивости» . Новости Eclipse, Eclipse в новостях, Объявление о Eclipse . Проверено 22 мая 2023 г.
  32. ^ ван Гулик, Дирк-Виллем (18 июля 2023 г.). «Спасите открытый исходный код: надвигающаяся трагедия Закона о киберустойчивости» . Блог Apache Software Foundation . Проверено 22 сентября 2023 г.
  33. ^ Фиппс, Саймон (24 января 2023 г.). «Что такое Закон о киберустойчивости и почему он опасен для открытого исходного кода» . Голоса открытого исходного кода . Инициатива открытого исходного кода . Проверено 18 мая 2023 г.
  34. ^ «Стратегия кибербезопасности Европы должна четко определять открытый исходный код | Computer Weekly» . Компьютерный еженедельник . Проверено 17 мая 2023 г.
  35. ^ Стампелос, Тасос (30 июля 2023 г.). «Mozilla высказывает мнение по поводу Закона ЕС о киберустойчивости» . Открытая политика и пропаганда . Проверено 30 июля 2023 г.
  36. ^ Перейти обратно: а б Милинкович, Майк (19 декабря 2023 г.), «Хорошие новости о Законе о киберустойчивости» , Life at Eclipse , получено 21 февраля 2024 г.
  37. ^ Фонд Eclipse демонстрирует успешное сотрудничество в отрасли открытого исходного кода в 2023 году; Ожидается дополнительный рост в 2024 году , Eclipse Foundation Canada, 20 февраля 2024 г. , дата обращения 21 февраля 2024 г.
  38. ^ Apache Software Foundation (23 января 2024 г.), «Обновленная информация о регулировании программного обеспечения ЕС: множество улучшений и хорошие новости» , Блог Apache Software Foundation , получено 4 июня 2024 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 49561f0dd8a098fa1fd46d35b065ca7b__1721652600
URL1:https://arc.ask3.ru/arc/aa/49/7b/49561f0dd8a098fa1fd46d35b065ca7b.html
Заголовок, (Title) документа по адресу, URL1:
Cyber Resilience Act - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)