Kanyarban az uniós IoT-védelmi jogszabály

Az Európai Bizottság szeptember 15-én publikálta a Cyber Resilience Act (A kiberrezilienciáról szóló jogszabály) néven említett törvényjavaslatát, mely szerint a jövőben minden internetre csatlakozó eszköz, digitális hardver- és szoftvertermék gyártója köteles lesz felmérni a termékei kiberbiztonsági kockázatait, illetve azonosítani és javítani azok sérülékenységeit, legyen szó hűtőről, mobilalkalmazásról, különféle okoseszközökről. Mulasztás esetén akár 15 millió eurós, vagy a globális forgalom 2,5 százalékáig terjedő pénzbírság repülhet.

Az intézkedés a vállalkozásokat és szervezeteket súlyos összegekkel megkárosító kibertámadások, és egyre meredekebb váltságdíjakat követelő zsarolócsoportok károkozásait próbálja mérsékelni, akiknek az operációs rendszerek, hálózati berendezések és szoftverek nyújtanak támadási felületet a bennük rejlő, fel nem ismert sebezhetőségekkel. A bizottság szerint továbbá míg a digitális termékek gyártói sokszor "csak" reputációvesztést szenvedhetnek el az elhanyagolt biztonság miatt, addig a költségek túlnyomórészt a professzionális felhasználókra és fogyasztókra terhelődnek, így nincsenek különösebben ösztönözve rá, hogy komolyabban fektessenek be biztonsági fejlesztésekbe és frissítésekbe.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Margrethe Vestager, az EU digitális ügyekért felelős biztosa közleményében úgy fogalmaz: a törvény azokra helyezi a felelősséget, akik a termékeket a piacra viszik. Az EU belső piacért felelős biztosa, Thierry Breton kiemelte, hogy a több százmillió internetre csatlakozó eszköz, így a számítógépek, telefonok, háztartási gépek, virtuális asszisztens eszközök, autók, játékok mind-mind potenciális belépési pontot jelentenek egy kibertámadáshoz. Az Európai Bizottság adatai szerint 11 másodpercenként ér valamilyen szervezetet zsarolóvírusos-támadás világszerte, ami 2021-ben 5,5 milliárd eurójába került a világgazdaságnak. 

A gyártóknak fel kell mérniük termékeik kiberbiztonsági kockázatait, és megtenni a szükséges lépéseket, időtartamban a termék teljes várható élettartama van kijelölve. Ezen felül kötelező lesz 24 órán belül jelenteniük az egyes kiberbiztonsági incidenseket az EU kiberbiztonsági ügynökségének (ENISA), illetve megtenni a szükséges intézkedéseket azok megoldására. A kívülről behozott termékek esetében importőröknek és forgalmazóknak szintén ellenőrizniük kell, hogy a termékek megfelelnek az EU-s szabályoknak, amennyiben ennek nem tesznek eleget, a nemzeti felügyeleti hatóságok megtilthatják, vagy korlátozhatják adott termék forgalmazását.

A jogszabálytervezet így már az Európai Parlament és a Tanács vizsgálatára vár, amennyiben elfogadásra kerül, a tagállamoknak két évük lesz az új követelményekhez való alkalmazkodásra. A gyártóknak a sebezhetőségek bejelentésére vonatkozó kötelezettsége viszont hamarabb, egy éven belül lépne életbe.

Margarítisz Szhinász, az Európai Bizottság alelnöke szerint az EU úttörő szerepet vállalt a kiberbiztonsági ökoszisztéma létrehozásában a kritikus infrastruktúrára, a kiberbiztonsági felkészültségre és reagálásra vonatkozó szabályok révén, mely a Cyber Resilience Acttel válhat teljessé. A tagállamok és az Európai Parlament nemrég, májusban állapodott meg a NIS 2 irányelv végleges kereteiről is, ami immár lényegesen nagyobb számú közép- és nagyvállalat számára ír elő bizonyos, a kibervédelemmel kapcsolatos kötelező óvintézkedéseket, protokollokat. A 2016-tól érvényes NIS direktíva az Európai Unió első, az egész nemzetközösségre kiterjedő, kifejezetten kiberbiztonsági problémákra válaszul létrehozott jogszabálycsomagja volt, melynek módosítását 2020-ban terjesztette elő a Bizottság.