آماده شدن قوانین امنیت سایبری با جریمه های سنگین
به گزارش سینا پرس فارس، کمیسیون اروپا قوانین انعطافپذیری سایبری را پیشنهاد کرده است که میتواند منجر به برچسبها و مجازاتهای امنیتی سایبری برای تولیدکنندگان دستگاههایی با ویژگیها و شیوههای امنیت سایبری نامرغوب شود. قانون پیشنهادی سخت افزار و نرم افزار "محصولات دارای عناصر دیجیتال" فروخته شده در اتحادیه اروپا و متصل به هر شبکه را پوشش می دهد.
در میان سایر الزامات، پس از فروش، تولیدکنندگان باید اطمینان حاصل کنند که برای طول عمر محصول مورد انتظار یا برای یک دوره پنج ساله (هر کدام کوتاهتر)، آسیب پذیری های امنیتی "به طور موثر" مدیریت می شوند. سازندگان دستگاهها باید آسیبپذیریهای مورد بهرهبرداری فعال را ظرف 24 ساعت پس از آگاهی از آن به مرجع امنیت سایبری اروپا ENISA گزارش دهند و همچنین بلافاصله به کاربران اطلاع دهند.
CRA قصد دارد شکافهای موجود در قوانین اتحادیه اروپا را ببندد و سیستمهای شبکه و اطلاعات موجود (دستورالعمل NIS)، دستورالعمل NIS 2 که اخیراً تصویب شده است (که ارائهدهندگان SaaS و ابر را پوشش میدهد) و قانون امنیت سایبری اتحادیه اروپا را تکمیل کند.
تیری برتون، کمیسر بازار داخلی، گفت: «وقتی صحبت از امنیت سایبری به میان میآید، اروپا به اندازه ضعیفترین حلقهاش قوی است: خواه یک کشور عضو آسیبپذیر باشد یا یک محصول ناامن در طول زنجیره تأمین».
برتون گفت که صدها میلیون رایانه، تلفن، لوازم خانگی، دستگاههای کمک مجازی، ماشینها و اسباببازیها نقطه ورود احتمالی برای حمله سایبری هستند. با این حال، امروزه بسیاری از محصولات سخت افزاری و نرم افزاری مشمول هیچ گونه تعهدی در زمینه امنیت سایبری نیستند. قانون مقاومت سایبری با معرفی امنیت سایبری از طریق طراحی، به حفاظت از اقتصاد اروپا و امنیت جمعی ما کمک خواهد کرد.
پس از اجرایی شدن، تولیدکنندگان 24 ماه فرصت خواهند داشت تا مطابقت داشته باشند. تا آن زمان، نرم افزار و دستگاه های متصل باید دارای علامت CE باشند تا مطابقت با استانداردهای جدید امنیت سایبری را نشان دهند. مقامات ملی می توانند جریمه هایی تا سقف 15 میلیون یورو (15 میلیون دلار) یا تا 2.5 درصد از گردش مالی سالانه شرکت در سراسر جهان برای سال مالی قبل، هر کدام که بیشتر باشد، اعمال کنند.
اتحادیه اروپا در نظر دارد محصولات مختلف را بسته به تأثیرات منفی یک حادثه سایبری به عنوان کلاس II یا کلاس I رتبه بندی کند. کلاس I شامل مجموعه ای از سخت افزارها و نرم افزارهای امنیتی است. کلاس II شامل همه چیز از سیستمعامل گرفته تا پردازندهها، روترها، کارتهای هوشمند، دستگاههای IoT، حسگرهای روباتیک و سیستمهای اتوماسیون و کنترل صنعتی است.
همچنین از تولیدکنندگان میخواهد که یک «سیاست افشای آسیبپذیری هماهنگ» داشته باشند که نحوه ارسال گزارشهای شخص ثالث را مشخص میکند و به برنامههای پاداش باگ اجازه میدهد.
شرکت های واردکننده همچنین باید اطمینان حاصل کنند که محصولات فروخته شده در اتحادیه اروپا با CRA مطابقت دارند، دارای علامت CE هستند و جزئیات تماس خود را روی محصولات ارائه می دهند. آنها باید اسناد مطابقت محصول را به مدت 10 سال پس از فروش نگه دارند.
پارلمان اروپا و شورا اکنون باید پیش نویس CRA را بررسی کرده و در مورد متن نهایی آن رای دهند. پس از تصویب، تولیدکنندگان و کشورهای عضو دو سال فرصت دارند تا با الزامات جدید سازگار شوند.
منبع: فتا