Закон о киберустойчивости

Предлагаемое регулирование кибербезопасности в ЕС

Закон о киберустойчивости (CRA) — это регламент ЕС, предложенный 15 сентября 2022 года Европейской комиссией для улучшения кибербезопасности и киберустойчивости в ЕС посредством общих стандартов кибербезопасности для продуктов с цифровыми элементами в ЕС, таких как обязательные отчеты об инцидентах и ​​автоматические обновления безопасности. ^[1] Продукты с цифровыми элементами в основном представляют собой аппаратное и программное обеспечение , «предполагаемое и предсказуемое использование которых включает прямое или косвенное подключение данных к устройству или сети». ^[2]

После публикации проекта предложения несколько организаций с открытым исходным кодом раскритиковали CRA за создание «сдерживающего эффекта на разработку программного обеспечения с открытым исходным кодом ». ^[3] Европейская комиссия достигла политического соглашения по CRA 1 декабря 2023 года после ряда поправок. ^[4] Пересмотренный законопроект ввел «управляющего открытым исходным кодом», новую экономическую концепцию, и получил облегчение от многих организаций с открытым исходным кодом из-за его исключения для программного обеспечения с открытым исходным кодом, ^[5] в то время как Debian раскритиковал его влияние на малый бизнес и дистрибьюторов. ^[6] Соглашение CRA получило официальное одобрение Европейского парламента в марте 2024 года. ^[7] Оно было принято Советом 10 октября 2024 года. ^[8]

Цели и мотивы

Предыстория, цели и мотивы предлагаемой политики включают: ^[9]

• Потребители все чаще становятся жертвами недостатков безопасности цифровых продуктов (например, уязвимостей ), включая устройства Интернета вещей ^{[2] [10] [11]} или смарт-устройства . ^{[12] [13]}
• Обеспечение безопасности цифровых продуктов в цепочке поставок важно для бизнеса ^[2] , а кибербезопасность часто является «вопросом полного риска компании» ^{[14] .}
• Потенциальные последствия хакерских атак включают «серьезное нарушение экономической и социальной деятельности на внутреннем рынке, подрыв безопасности или даже угрозу жизни» ^{[15] .}
• Принципы безопасности по умолчанию налагают обязанность заботиться о жизненном цикле продуктов, вместо того, чтобы, например, полагаться на потребителей и волонтеров для установления базового уровня безопасности. ^{[2] [16]} Новые правила «сбалансируют ответственность в пользу производителей». ^[15]
• Кибератаки привели к «оценке глобального годового ущерба от киберпреступности в размере 5,5 триллионов евро к 2021 году» ^[1] .
• Быстрое распространение цифровых технологий означает, что государства-изгои или негосударственные группы могут с большей легкостью нарушить работу критически важных инфраструктур, таких как государственное управление и больницы. ^[17]

По данным The Washington Post , CRA может сделать ЕС лидером в области кибербезопасности и «изменить правила игры во всем мире». ^[16]

Реализация и механизмы

Политика требует, чтобы программное обеспечение, которое «разумно ожидается» для автоматических обновлений, автоматически развертывало обновления безопасности по умолчанию, позволяя пользователям отказаться от них. ^[18] Когда это возможно, обновления безопасности должны быть отделены от обновлений функций. ^{[19] : Приложение I.II(2)} Компании должны проводить оценки киберрисков до того, как продукт будет выпущен на рынок, и сохранять его данные и документацию в течение 10 лет ^[20] после выпуска на рынок или периода его поддержки, в зависимости от того, что дольше. ^[19] Компании должны будут уведомлять агентство ЕС по кибербезопасности ENISA о любых инцидентах в течение 24 часов с момента их обнаружения и принимать меры по их устранению. ^[13] Продукты с маркировкой CE будут «соответствовать минимальному уровню проверок кибербезопасности». ^[10]

Около 90% продуктов с цифровыми элементами попадают в категорию по умолчанию, для которой производители самостоятельно оценивают безопасность, пишут декларацию соответствия ЕС и предоставляют техническую документацию. ^[21] Остальные являются либо «важными», либо «критическими». Продукты, важные с точки зрения безопасности, делятся на два класса рисков. ^[22] Продукты, оцененные как «критические», должны будут пройти внешние аудиты . ^{[18] [16]}

После принятия закона у производителей будет два года на адаптацию к новым требованиям и один год на внедрение отчетности об уязвимостях и инцидентах. Несоблюдение закона может повлечь за собой штрафы в размере до €15 млн или 2,5% от общего мирового годового оборота нарушителя за предыдущий финансовый год. ^{[15] [12] [13]} Штрафы не применяются к некоммерческим разработчикам открытого исходного кода. ^{[19] : 64(10)}

Euractiv сообщил о новых проектах или проектах изменений , которые включают такие изменения, как «отмена временных обязательств для жизненного цикла продуктов и ограничение объема отчетности значительными инцидентами». ^{[23] [18]} Первая компромиссная поправка будет обсуждаться 22 мая 2023 года, до которого, как сообщается, группы могут подавать письменные комментарии . Euractiv предоставил краткий обзор предлагаемых изменений. ^[24]

Ожидается, что основные политические группы Европейского парламента согласуют Закон о киберустойчивости на заседании 5 июля 2023 года. Законодатели обсудят соображения об открытом исходном коде, периоды поддержки, обязательства по отчетности и сроки реализации. Голосование комитета запланировано на 19 июля 2023 года. ^{[25] [26]}

Председательство Испании в Совете ЕС выпустило пересмотренный проект, который упрощает нормативные требования к подключенным устройствам. Он сократит количество категорий продуктов, которые должны соответствовать определенным правилам, обяжет сообщать об инцидентах кибербезопасности в национальные CSIRT и включит положения об определении срока службы продукта и облегчении административного бремени для малых компаний. Закон также разъясняет, что запасные части с цифровыми элементами, поставляемые оригинальным производителем, освобождаются от новых требований. ^{[27] [26]}

В тексте Совета далее оговаривается, что перед тем, как добиваться обязательной сертификации, руководители Европейского Союза должны провести оценку воздействия, чтобы оценить как аспекты спроса, так и предложения на внутреннем рынке, а также способность и готовность государств-членов к внедрению предлагаемых схем. ^{[28] [26]}

25 июня 2024 года Чешское национальное управление по кибербезопасности и информационной безопасности (NÚKIB) объявило о шагах по внедрению Закона о киберустойчивости (CRA), включая ожидаемое осенью 2024 года регулирование, вступление в силу которого начнется в конце 2027 года после трехлетнего переходного периода. Это регулирование потребует от производителей цифровых продуктов повышения кибербезопасности на протяжении всего жизненного цикла продукта. NÚKIB также проведет консультации с производителями значимых и критически важных продуктов с 25 июня по 17 июля 2024 года для разработки технических спецификаций и сбора отзывов. ^[29]

Прием

Первоначально предложенный акт подвергся резкой критике со стороны сторонников открытого исходного кода. ^[30]

• Несколько организаций с открытым исходным кодом, такие как Eclipse Foundation , Open Source Initiative (OSI) и The Document Foundation , подписали открытое письмо « Открытое письмо Европейской комиссии по Закону о киберустойчивости » ^[31] , в котором призвали политиков изменить недопредставленность сообщества с открытым исходным кодом. В нем говорится, что с политикой «[ свободное и открытое программное обеспечение ,] более 70% программного обеспечения в Европе[,] будут регулироваться без углубленных консультаций», и если она будет реализована в том виде, в котором она написана (по состоянию на апрель), это окажет «сдерживающий эффект на разработку открытого программного обеспечения как глобального начинания, с чистым эффектом подрыва собственных выраженных целей ЕС в области инноваций , цифрового суверенитета и будущего процветания». ^{[3] [30] [31]} Apache Software Foundation опубликовала аналогичное заявление ^[32] , а OSI представила эту информацию в запрос Европейской комиссии для внесения изменений. ^[33]
• Хотя Mozilla «приветствует и поддерживает основные цели CRA», она также раскритиковала предложение за неясные ссылки на «коммерческую деятельность», которая может включать в себя множество проектов с открытым исходным кодом (точка зрения, повторенная Илккой Туруненом из Computer Weekly ^[34] ), несоответствие другим правилам ЕС и требования по раскрытию явных уязвимостей. ^[35]
• Стивен Дж. Воган-Николс из The Register утверждал, что «основное предположение CRA заключается в том, что можно просто добавить безопасность к программному обеспечению», в то время как «многие разработчики программного обеспечения с открытым исходным кодом не имеют ни доходов, ни ресурсов, чтобы обеспечить безопасность своих программ в соответствии с государственным стандартом». ^[30]
• CCIA Europe предупредила, что «бюрократизация процесса утверждения может помешать внедрению новых технологий и услуг в Европе» ^{[13] .}

Поправки были опубликованы 1 декабря 2023 года в рамках политического соглашения между законодателями ^[36] к одобрению многих сторонников открытого исходного кода. ^[5] Как написал Майк Милинкович, исполнительный директор фонда Eclipse ^{[37] : [36]}

Пересмотренное законодательство значительно улучшило исключение проектов с открытым исходным кодом, сообществ, фондов и их платформ разработки и распространения пакетов. Оно также создает новую форму экономического субъекта, «управляющего открытым исходным кодом», который признает роль, которую играют фонды и платформы в экосистеме с открытым исходным кодом. Это первый раз, когда это появилось в регулировании, и будет интересно посмотреть, как это будет развиваться.

—  Майк Милинкович, «Хорошие новости о Законе о киберустойчивости»

OSI отметила, что заявление Debian о том, что многие малые предприятия и индивидуальные разработчики будут испытывать трудности с ориентацией в этом акте при распространении программного обеспечения с открытым исходным кодом ^[6] , осталось без внимания. ^[5] Apache положительно рассмотрела изменения, но выразила беспокойство по поводу применимости CRA к потенциально критическим компонентам с открытым исходным кодом и подчеркнула важность сотрудничества с международными органами по стандартизации для упрощения сертификации программного обеспечения. ^[38]

Смотрите также

• Закон об искусственном интеллекте
• Законопроект о кибербезопасности и устойчивости — предложенный законопроект Великобритании
• Защита прав потребителей
• Киберсамооборона
• Список утечек данных
• Список инцидентов взлома безопасности#2023
• Экологичный дизайн
• Стандартизация

Ссылки

1. "Cyber ​​Resilience Act | Shaping Europe's digital future". digital-strategy.ec.europa.eu . 15 сентября 2022 г. . Получено 17 мая 2023 г. .
2. "EU cyber-resilience act | Think Tank | Европейский парламент". www.europarl.europa.eu . Получено 17 мая 2023 г. .
3. Sawers, Paul (18 апреля 2023 г.). «В письме в ЕС органы по открытому исходному коду заявляют, что Закон о киберустойчивости может оказать «сдерживающий эффект» на разработку программного обеспечения». TechCrunch . Получено 17 мая 2023 г.
4. «Комиссия приветствует политическое соглашение по Закону о киберустойчивости». Европейская комиссия . 1 декабря 2023 г. Получено 22 марта 2024 г.
5. Phipps, Simon (2 февраля 2024 г.), «Европейские регуляторы прислушались к сообществам Open Source!», Voices of Open Source , Open Source Initiative , дата обращения 21 февраля 2024 г.
6. "Заявление о Законе ЕС о киберустойчивости". Проект Debian.
7. «Закон о киберустойчивости: депутаты Европарламента принимают планы по повышению безопасности цифровых продуктов | Новости | Европейский парламент». www.europarl.europa.eu . 12 марта 2024 г. . Получено 23 марта 2024 г. .
8. Совет Европейского Союза (10 октября 2024 г.). «Закон о киберустойчивости: Совет принимает новый закон о требованиях безопасности для цифровых продуктов)». Consilium . Получено 13 октября 2024 г.
9. Кар, Полона; Де Лука, Стефано (май 2023 г.). Закон ЕС о киберустойчивости — Брифинг по законодательству ЕС в процессе разработки — PE 739.259. Страсбург, Франция: Европейская парламентская исследовательская служба (EPRS), Европейский парламент . Получено 25 сентября 2023 г.
10. "ЕС предлагает закон о кибербезопасности для исправления проблем Интернета вещей". POLITICO . 15 сентября 2022 г. Получено 17 мая 2023 г.
11. «Комиссия представляет Закон о киберустойчивости, нацеленный на продукты Интернета вещей». www.euractiv.com . 15 сентября 2022 г. Получено 17 мая 2023 г.
12. Lomas, Natasha (15 сентября 2022 г.). «ЕС раскрывает свой план по безопасности смарт-устройств». TechCrunch . Получено 17 мая 2023 г.
13. Chee, Foo Yun (15 сентября 2022 г.). «ЕС предлагает правила, направленные на устранение рисков кибербезопасности смарт-устройств». Reuters . Получено 17 мая 2023 г.
14. Гросс, Анна (9 ноября 2022 г.). «Почему четкая киберполитика имеет решающее значение для компаний». Financial Times . Получено 17 мая 2023 г.
15. Добберштейн, Лора. «ЕС ставит производителей на крючок из-за безопасности смарт-устройств». www.theregister.com . Получено 17 мая 2023 г. .
16. Starks, Tim (3 января 2023 г.). «Анализ | Европейская танцевальная карта кибербезопасности заполнена». Washington Post . Получено 17 мая 2023 г.
17. "Глава ЕС объявляет о законе о кибербезопасности для подключенных устройств". www.euractiv.com . 16 сентября 2021 г. . Получено 17 мая 2023 г. .
18. "Председательство Совета Швеции представило первую полную переписку Закона о киберустойчивости". www.euractiv.com . 25 апреля 2023 г. . Получено 17 мая 2023 г. .
19. Тексты приняты - Закон о киберустойчивости, Европейский парламент , 12 марта 2024 г. , получено 23 марта 2024 г.
20. Безопасность, Help Net (2 марта 2023 г.). «Киберустойчивость в фокусе: ЕС принимает меры по установлению строгих стандартов». Help Net Security . Получено 18 мая 2023 г.
21. Нути, Кир (26 сентября 2022 г.), Обзор Закона ЕС о киберустойчивости, Центр инноваций в области данных , получено 23 марта 2024 г.
22. «Закон о киберустойчивости сигнализирует о больших изменениях в разработке коммерческого программного обеспечения». The Irish Times . Получено 17 мая 2023 г.
23. «Закон о киберустойчивости: ведущий депутат Европарламента предлагает гибкий срок действия, более узкую отчетность». www.euractiv.com . 31 марта 2023 г. . Получено 17 мая 2023 г.
24. "Законодатели ЕС начинают переговоры по закону о кибербезопасности для подключенных устройств". www.euractiv.com . 17 мая 2023 г. . Получено 18 мая 2023 г. .
25. "Законодатели ЕС намерены заключить сделку по закону о кибербезопасности для подключенных устройств". www.euractiv.com . 4 июля 2023 г. . Получено 6 июля 2023 г. .
26. "Закон о киберустойчивости – ознакомьтесь с текущим положением дел". Закон о киберустойчивости . Получено 13 июля 2023 г. .
27. "Совет ЕС сокращает специальные категории продуктов в законе о кибербезопасности". www.euractiv.com . 10 июля 2023 г. . Получено 13 июля 2023 г. .
28. "Послы ЕС намерены одобрить новый закон о кибербезопасности для подключенных устройств". www.euractiv.com . 17 июля 2023 г. . Получено 20 июля 2023 г. .
29. "Текущее состояние дел – Закон о киберустойчивости" . Получено 1 июля 2024 г.
30. Vaughan-Nichols, Steven J. «Попытки ЕС защитить программное обеспечение могут навредить открытому исходному коду». www.theregister.com . Получено 17 мая 2023 г. .
31. Harris, Jacob (17 апреля 2023 г.). «Открытое письмо Европейской комиссии по Закону о киберустойчивости». Eclipse News, Eclipse в новостях, Eclipse Announcement . Получено 22 мая 2023 г.
32. ван Гулик, Дирк-Виллем (18 июля 2023 г.). «Сохранение открытого исходного кода: надвигающаяся трагедия Закона о киберустойчивости». Блог Apache Software Foundation . Получено 22 сентября 2023 г.
33. Фиппс, Саймон (24 января 2023 г.). «Что такое Закон о киберустойчивости и почему он опасен для открытого исходного кода». Voices of Open Source . Open Source Initiative . Получено 18 мая 2023 г. .
34. "Стратегия кибербезопасности Европы должна быть четкой в ​​отношении открытого исходного кода | Computer Weekly". Computer Weekly . Получено 17 мая 2023 г.
35. Стампелос, Тасос (30 июля 2023 г.). «Mozilla взвешивает Закон ЕС о киберустойчивости». Открытая политика и пропаганда . Получено 30 июля 2023 г.
36. Milinkovich, Mike (19 декабря 2023 г.), «Хорошие новости о Законе о киберустойчивости», Life at Eclipse , получено 21 февраля 2024 г.
37. Фонд Eclipse демонстрирует успешное сотрудничество в отрасли открытого исходного кода в 2023 году; ожидает дополнительного роста в 2024 году, Eclipse Foundation Canada, 20 февраля 2024 г. , получено 21 февраля 2024 г.
38. Apache Software Foundation (23 января 2024 г.), «Обновление о регулировании программного обеспечения ЕС: множество улучшений и хороших новостей», блог Apache Software Foundation , получено 4 июня 2024 г.

Внешние ссылки

• «Законодательная резолюция Европейского парламента от 12 марта 2024 года о предложении по регламенту Европейского парламента и Совета о горизонтальных требованиях к кибербезопасности для продуктов с цифровыми элементами и о внесении поправок ...» Европейский парламент. 12 марта 2024 года . Получено 5 мая 2024 года .
• «Закон о киберустойчивости | Формирование цифрового будущего Европы». digital-strategy.ec.europa.eu . 15 сентября 2022 г. . Получено 17 мая 2023 г. .
• Предложение о Регламенте Европейского парламента и Совета о горизонтальных требованиях к кибербезопасности для продуктов с цифровыми элементами по EUR-Lex
• Процедура 2022/0272/COD по EUR-Lex
• Процедура 2022/0272(COD) по ŒIL
• ISO/IEC и европейские стандарты CEN и CENELEC, охватывающие кибербезопасность Стандарты кибербезопасности на Genorma.com