آماده شدن قوانین امنیت سایبری با جریمه های سنگین

به گزارش سینا پرس فارس، کمیسیون اروپا قوانین انعطاف‌پذیری سایبری را پیشنهاد کرده است که می‌تواند منجر به برچسب‌ها و مجازات‌های امنیتی سایبری برای تولیدکنندگان دستگاه‌هایی با ویژگی‌ها و شیوه‌های امنیت سایبری نامرغوب شود. قانون پیشنهادی سخت افزار و نرم افزار "محصولات دارای عناصر دیجیتال" فروخته شده در اتحادیه اروپا و متصل به هر شبکه را پوشش می دهد.

در میان سایر الزامات، پس از فروش، تولیدکنندگان باید اطمینان حاصل کنند که برای طول عمر محصول مورد انتظار یا برای یک دوره پنج ساله (هر کدام کوتاهتر)، آسیب پذیری های امنیتی "به طور موثر" مدیریت می شوند. سازندگان دستگاه‌ها باید آسیب‌پذیری‌های مورد بهره‌برداری فعال را ظرف 24 ساعت پس از آگاهی از آن به مرجع امنیت سایبری اروپا ENISA گزارش دهند و همچنین بلافاصله به کاربران اطلاع دهند.

CRA قصد دارد شکاف‌های موجود در قوانین اتحادیه اروپا را ببندد و سیستم‌های شبکه و اطلاعات موجود (دستورالعمل NIS)، دستورالعمل NIS 2 که اخیراً تصویب شده است (که ارائه‌دهندگان SaaS و ابر را پوشش می‌دهد) و قانون امنیت سایبری اتحادیه اروپا را تکمیل کند.
تیری برتون، کمیسر بازار داخلی، گفت: «وقتی صحبت از امنیت سایبری به میان می‌آید، اروپا به اندازه ضعیف‌ترین حلقه‌اش قوی است: خواه یک کشور عضو آسیب‌پذیر باشد یا یک محصول ناامن در طول زنجیره تأمین».

برتون گفت که صدها میلیون رایانه، تلفن، لوازم خانگی، دستگاه‌های کمک مجازی، ماشین‌ها و اسباب‌بازی‌ها نقطه ورود احتمالی برای حمله سایبری هستند. با این حال، امروزه بسیاری از محصولات سخت افزاری و نرم افزاری مشمول هیچ گونه تعهدی در زمینه امنیت سایبری نیستند. قانون مقاومت سایبری با معرفی امنیت سایبری از طریق طراحی، به حفاظت از اقتصاد اروپا و امنیت جمعی ما کمک خواهد کرد.

پس از اجرایی شدن، تولیدکنندگان 24 ماه فرصت خواهند داشت تا مطابقت داشته باشند. تا آن زمان، نرم افزار و دستگاه های متصل باید دارای علامت CE باشند تا مطابقت با استانداردهای جدید امنیت سایبری را نشان دهند. مقامات ملی می توانند جریمه هایی تا سقف 15 میلیون یورو (15 میلیون دلار) یا تا 2.5 درصد از گردش مالی سالانه شرکت در سراسر جهان برای سال مالی قبل، هر کدام که بیشتر باشد، اعمال کنند.

اتحادیه اروپا در نظر دارد محصولات مختلف را بسته به تأثیرات منفی یک حادثه سایبری به عنوان کلاس II یا کلاس I رتبه بندی کند. کلاس I شامل مجموعه ای از سخت افزارها و نرم افزارهای امنیتی است. کلاس II شامل همه چیز از سیستم‌عامل گرفته تا پردازنده‌ها، روترها، کارت‌های هوشمند، دستگاه‌های IoT، حسگرهای روباتیک و سیستم‌های اتوماسیون و کنترل صنعتی است.

همچنین از تولیدکنندگان می‌خواهد که یک «سیاست افشای آسیب‌پذیری هماهنگ» داشته باشند که نحوه ارسال گزارش‌های شخص ثالث را مشخص می‌کند و به برنامه‌های پاداش باگ اجازه می‌دهد.

شرکت های واردکننده همچنین باید اطمینان حاصل کنند که محصولات فروخته شده در اتحادیه اروپا با CRA مطابقت دارند، دارای علامت CE هستند و جزئیات تماس خود را روی محصولات ارائه می دهند. آنها باید اسناد مطابقت محصول را به مدت 10 سال پس از فروش نگه دارند.

پارلمان اروپا و شورا اکنون باید پیش نویس CRA را بررسی کرده و در مورد متن نهایی آن رای دهند. پس از تصویب، تولیدکنندگان و کشورهای عضو دو سال فرصت دارند تا با الزامات جدید سازگار شوند.

منبع: فتا