ЕС раскрывает свой план по обеспечению безопасности интеллектуальных устройств
Законодатели Европейского Союза предложили новый набор правил для продуктов, применимых к интеллектуальным устройствам, который призван заставить производителей подключенного к Интернету оборудования, такого как «умные» стиральные машины или подключенные игрушки, уделять пристальное внимание безопасности устройств.
Предлагаемый Закон ЕС о киберустойчивости введет обязательные требования кибербезопасности для продуктов, которые имеют «цифровые элементы», продаваемые по всему блоку, причем требования будут применяться на протяжении всего их жизненного цикла — это означает, что производители гаджетов должны будут обеспечивать постоянную поддержку безопасности и обновления для исправления возникающих уязвимостей — Комиссия сказал сегодня.
Проект постановления также ориентирован на то, чтобы производители интеллектуальных устройств сообщали потребителям «достаточную и точную информацию» — чтобы гарантировать покупателям возможность понять соображения безопасности в момент покупки и безопасно настроить устройства после покупки.
Штрафы, предложенные Комиссией за несоблюдение «основных» требований кибербезопасности, увеличиваются до 15 миллионов евро или 2,5% от мирового годового оборота, при этом за другие нарушения нормативных обязательств максимальная санкция составляет 10 миллионов евро или 2% от оборота.
Исполнительный директор ЕС заявил, что предлагаемое постановление будет применяться ко всем продуктам, которые подключены «прямо или косвенно к другому устройству или сети» — за некоторыми исключениями для продуктов, для которых требования кибербезопасности уже изложены в существующих правилах ЕС, таких как медицинские устройства. авиация и автомобили.
В кратком изложении предлагаемых мер, основанных на Законодательной базе товарного законодательства ЕС, которая была обновлена в 2008 году, Комиссия заявила, что они установят:
(a) правила размещения на рынке продуктов с цифровыми элементами для обеспечения их кибербезопасности;
(b) существенные требования к проектированию, разработке и производству продуктов с цифровыми элементами, а также обязательства экономических операторов в отношении этих продуктов;
(c) существенные требования к процессам обработки уязвимостей, установленные производителями для обеспечения кибербезопасности продуктов с цифровыми элементами в течение всего жизненного цикла, а также обязательства экономических операторов в отношении этих процессов. Производители также должны будут сообщать об активно используемых уязвимостях и инцидентах;
(d) правила надзора за рынком и правоприменения.
"Новые правила изменят баланс ответственности в сторону производителей, которые должны обеспечить соответствие требованиям безопасности продуктов с цифровыми элементами, которые доступны на рынке ЕС", - говорится в пресс-релизе. «В результате они принесут пользу потребителям и гражданам, а также предприятиям, использующим цифровые продукты, за счет повышения прозрачности свойств безопасности и повышения доверия к продуктам с цифровыми элементами, а также путем обеспечения лучшей защиты их основных прав, таких как как конфиденциальность и защита данных».
В ответах Комиссии на эту инициативу далее оговаривается, что производители пройдут «процесс оценки соответствия, чтобы продемонстрировать, были ли выполнены указанные требования, относящиеся к продукту». Он отмечает, что это может быть сделано посредством самооценки или оценки соответствия третьей стороной «в зависимости от критичности рассматриваемого продукта».
Если соответствие применимым требованиям будет продемонстрировано, производители устройств смогут наносить знак CE ЕС, указывающий на соответствие цифровых элементов регламенту безопасности продукции.
Несоответствием будут заниматься органы надзора за рынком, назначенные государствами-членами, которые будут нести ответственность за обеспечение соблюдения требований - с предлагаемыми полномочиями не только приказать прекратить несоблюдение требований, но и «устранить риск», запретив продажу продукта или иным образом ограничив его. его доступность на рынке. Компетентные органы также могут распорядиться об изъятии или отзыве контрафактной продукции. Предоставление неверной, неполной или вводящей в заблуждение информации регулирующим и надзорным органам может привести к штрафу в размере до 5 миллионов евро или 1% от оборота.