Biztonságosabb hardvereket akar az EU

Uniós szinten kötelező kiberbiztonsági követelményeket vezetnének be a digitális elemeket tartalmazó termékekre.

A Bizottság javaslatot terjesztett elő egy, a kiberrezilienciáról szóló új jogszabályra azzal a céllal, hogy megóvja a fogyasztókat és a vállalkozásokat a nem megfelelő biztonsági funkciókkal rendelkező termékek veszélyeitől. Ez az első ilyen jellegű uniós szintű jogszabály, mely kötelező kiberbiztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, mely követelményeket a termékeknek a teljes életciklusuk alatt teljesíteniük kell. A javaslat célja, hogy a digitális termékek - például a vezeték nélküli és vezetékes termékek és szoftverek - biztonságosabbá váljanak a fogyasztók számára.

"Számítógépek, telefonok, háztartási készülékek, virtuális segédeszközök, autók és játékok... a több százmillió összekapcsolt termék mindegyike potenciális belépési pont, melyen keresztül kibertámadás indítható. Jelenleg a legtöbb hardver- és szoftvertermékre mégsem vonatkoznak kiberbiztonsági kötelezettségek. - indokolta a javaslatot Thierry Breton, a belső piacért felelős biztos.

Az új javaslat növeli a gyártók felelősségét, mivel előírja, hogy az azonosított sebezhetőségek kezelése érdekében kötelező biztonsági támogatást és szoftverfrissítéseket biztosítani, továbbá lehetővé teszi a fogyasztók számára, hogy hozzáférjenek a kellő információkhoz az általuk vásárolt és használt termékek kiberbiztonságáról. A javaslat szerzőinek reménye szerint a jogszabály nemzetközi, az EU belső piacán túlmutató referenciaponttá fog válni. Az új uniós szabványok meg fogják könnyíteni a rendelet végrehajtását, és előnyt fognak jelenteni az uniós kiberbiztonsági ágazat számára a globális piacokon.


A jogszabályhoz csatolt melléklet leírja, hogy a termékeknek két kategóriája lenne, az egyik a kritikus termékeké, amelyek a piac mintegy 10 százalékát fedik le; és egy második kategória, amely az összes többi terméket tartalmazza. Az alacsony kockázatú termékek esetében a vállalatokat önértékelésre kérik fel, jelezve, hogy azok megfelelnek a kiberbiztonsági szabványoknak. Azok esetében, amelyek jelentős kiberbiztonsági kockázatot jelenthetnek, a gyártónak nemzeti hatóság előtt vagy harmadik fél által végzett értékeléssel kell bizonyítania, hogy megfelel a követelményeknek. Az új törvény értelmében a Bizottság feljogosítaná az EU Kiberbiztonsági Ügynökségét, az ENISA-t, hogy értékelje, hogy egy termék jelent-e "jelentős kiberbiztonsági kockázatot", és ha igen, hívja vissza a terméket. Az érzékeny termékekért 15 millió euróig terjedő pénzbírság szabható ki, vagy a világméretű forgalom 2,5 százaléka, amelyik a magasabb.

Mivel globális szinten 11 másodpercenként zsarolóvírus-támadás ér egy szervezetet, és a kiberbűnözés által okozott becsült éves kár 2021-ben elérte az 5,5 billió eurót, a kiberbiztonság erősítése és a – sikeres támadások leggyakoribb célpontját képező – digitális termékek sebezhetőségének csökkentése fontosabb, mint valaha. Az intelligens és összekapcsolt termékek terjedéséből adódóan a csupán egyetlen terméket érő kiberbiztonsági támadások is hatással lehetnak a teljes ellátási láncra, ami a belső piacon a gazdasági és társadalmi tevékenységek súlyos zavarához vezethet, valamint alááshatja a biztonságot vagy akár életeket is veszélyeztethet.


"Hasonlóan ahhoz, ahogy a CE-jelölés biztosítja, hogy megbízhatunk az azzal ellátott játékban vagy hűtőszekrényben, a kiberrezilienciáról szóló jogszabály biztosítani fogja, hogy a vásárolt összekapcsolt termékek és szoftverek szigorú kiberbiztonsági előírásoknak feleljenek meg. A jogszabály a felelősséget a megfelelő helyre fogja helyezni: azok vállára, akik a termékeket forgalomba hozzák." - nyilatkozta Margrethe Vestager, a digitális korra felkészült Európáért felelős ügyvezető alelnök.

A rendelet vonatkozni fog minden olyan termékre, amely közvetlenül vagy közvetve egy másik eszközhöz vagy hálózathoz kapcsolódik. Lesznek azonban kivételek; a rendelet nem vonatkozik majd azokra a termékekre, amelyek tekintetében a hatályos – pl. az orvostechnikai eszközökre, a légi közlekedésre vagy az autókra vonatkozó – uniós szabályok már tartalmaznak kiberbiztonsági követelményeket. A jogszabály-tervezet elfogadását követően a gazdasági szereplőknek és a tagállamoknak két év áll majd rendelkezésére, hogy alkalmazkodjanak az új követelményekhez.