Kanyarban az uniós IoT-védelmi jogszabály

Az Európai Bizottság szeptember 15-én publikálta a Cyber Resilience Act (A kiberrezilienciáról szóló jogszabály) néven említett törvényjavaslatát, mely szerint a jövőben minden internetre csatlakozó eszköz, digitális hardver- és szoftvertermék gyártója köteles lesz felmérni a termékei kiberbiztonsági kockázatait, illetve azonosítani és javítani azok sérülékenységeit, legyen szó hűtőről, mobilalkalmazásról, különféle okoseszközökről. Mulasztás esetén akár 15 millió eurós, vagy a globális forgalom 2,5 százalékáig terjedő pénzbírság repülhet.

Az intézkedés a vállalkozásokat és szervezeteket súlyos összegekkel megkárosító kibertámadások, és egyre meredekebb váltságdíjakat követelő zsarolócsoportok károkozásait próbálja mérsékelni, akiknek az operációs rendszerek, hálózati berendezések és szoftverek nyújtanak támadási felületet a bennük rejlő, fel nem ismert sebezhetőségekkel. A bizottság szerint továbbá míg a digitális termékek gyártói sokszor "csak" reputációvesztést szenvedhetnek el az elhanyagolt biztonság miatt, addig a költségek túlnyomórészt a professzionális felhasználókra és fogyasztókra terhelődnek, így nincsenek különösebben ösztönözve rá, hogy komolyabban fektessenek be biztonsági fejlesztésekbe és frissítésekbe.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Margrethe Vestager, az EU digitális ügyekért felelős biztosa közleményében úgy fogalmaz: a törvény azokra helyezi a felelősséget, akik a termékeket a piacra viszik. Az EU belső piacért felelős biztosa, Thierry Breton kiemelte, hogy a több százmillió internetre csatlakozó eszköz, így a számítógépek, telefonok, háztartási gépek, virtuális asszisztens eszközök, autók, játékok mind-mind potenciális belépési pontot jelentenek egy kibertámadáshoz. Az Európai Bizottság adatai szerint 11 másodpercenként ér valamilyen szervezetet zsarolóvírusos-támadás világszerte, ami 2021-ben 5,5 milliárd eurójába került a világgazdaságnak. 

A gyártóknak fel kell mérniük termékeik kiberbiztonsági kockázatait, és megtenni a szükséges lépéseket, időtartamban a termék teljes várható élettartama van kijelölve. Ezen felül kötelező lesz 24 órán belül jelenteniük az egyes kiberbiztonsági incidenseket az EU kiberbiztonsági ügynökségének (ENISA), illetve megtenni a szükséges intézkedéseket azok megoldására. A kívülről behozott termékek esetében importőröknek és forgalmazóknak szintén ellenőrizniük kell, hogy a termékek megfelelnek az EU-s szabályoknak, amennyiben ennek nem tesznek eleget, a nemzeti felügyeleti hatóságok megtilthatják, vagy korlátozhatják adott termék forgalmazását.

A jogszabálytervezet így már az Európai Parlament és a Tanács vizsgálatára vár, amennyiben elfogadásra kerül, a tagállamoknak két évük lesz az új követelményekhez való alkalmazkodásra. A gyártóknak a sebezhetőségek bejelentésére vonatkozó kötelezettsége viszont hamarabb, egy éven belül lépne életbe.

Margarítisz Szhinász, az Európai Bizottság alelnöke szerint az EU úttörő szerepet vállalt a kiberbiztonsági ökoszisztéma létrehozásában a kritikus infrastruktúrára, a kiberbiztonsági felkészültségre és reagálásra vonatkozó szabályok révén, mely a Cyber Resilience Acttel válhat teljessé. A tagállamok és az Európai Parlament nemrég, májusban állapodott meg a NIS 2 irányelv végleges kereteiről is, ami immár lényegesen nagyobb számú közép- és nagyvállalat számára ír elő bizonyos, a kibervédelemmel kapcsolatos kötelező óvintézkedéseket, protokollokat. A 2016-tól érvényes NIS direktíva az Európai Unió első, az egész nemzetközösségre kiterjedő, kifejezetten kiberbiztonsági problémákra válaszul létrehozott jogszabálycsomagja volt, melynek módosítását 2020-ban terjesztette elő a Bizottság.