Η Επιτροπή χαιρετίζει την πολιτική συμφωνία που επιτεύχθηκε μεταξύ του Ευρωπαϊκού Κοινοβουλίου και των κρατών μελών της ΕΕ σχετικά με τον ευρωπαϊκό κανονισμό για την κυβερνοανθεκτικότητα, που πρότεινε η Επιτροπή τον Σεπτέμβριο του 2022.
Ο κανονισμός για την κυβερνοανθεκτικότητα είναι η πρώτη νομοθεσία αυτού του είδους στον κόσμο. Με τη θέσπιση υποχρεωτικών αναλογικών απαιτήσεων κυβερνοασφάλειας για όλο το υλισμικό και το λογισμικό —από συσκευές παρακολούθησης βρεφών, έξυπνα ρολόγια και βιντεοπαιχνίδια έως τείχη προστασίας και δρομολογητές— θα βελτιώσει το επίπεδο κυβερνοασφάλειας των ψηφιακών προϊόντων προς όφελος των καταναλωτών και των επιχειρήσεων σε ολόκληρη την ΕΕ. Τα προϊόντα με διαφορετικά επίπεδα κινδύνου θα έχουν και διαφορετικές απαιτήσεις ασφάλειας. Λιγότερο από το 10 % των προϊόντων θα υπόκειται σε αξιολογήσεις από τρίτους.
Με τον νέο κανονισμό, όλα τα προϊόντα που διατίθενται στην αγορά της ΕΕ θα πρέπει να είναι κυβερνοασφαλή. Πρόκειται για ένα σημαντικό βήμα για την καταπολέμηση της οξυνόμενης απειλής από κυβερνοεγκληματίες και άλλους κακόβουλους παράγοντες.
Μόλις τεθεί σε εφαρμογή ο κανονισμός για την κυβερνοανθεκτικότητα, οι κατασκευαστές υλισμικού και λογισμικού θα πρέπει να εφαρμόζουν μέτρα κυβερνοασφάλειας καθ’ όλη τη διάρκεια του κύκλου ζωής του προϊόντος, τόσο κατά τον σχεδιασμό και την ανάπτυξη όσο και μετά τη διάθεση του προϊόντος στην αγορά. Τα προϊόντα λογισμικού και υλισμικού θα φέρουν τη σήμανση CE, η οποία θα υποδεικνύει ότι συμμορφώνονται με τις απαιτήσεις του κανονισμού και, συνεπώς, μπορούν να πωλούνται στην ΕΕ.
Ο κανονισμός θα θεσπίσει επίσης νομική υποχρέωση για τους κατασκευαστές να παρέχουν στους χρήστες έγκαιρες ενημερώσεις ασφαλείας για αρκετά χρόνια μετά την αγορά. Αυτή η περίοδος πρέπει να αντικατοπτρίζει το χρονικό διάστημα για το οποίο αναμένεται να χρησιμοποιηθούν τα προϊόντα.
Με τα μέτρα αυτά, ο νέος κανονισμός θα δώσει τη δυνατότητα στους χρήστες να προβαίνουν σε πιο τεκμηριωμένες και ασφαλείς επιλογές, καθώς οι κατασκευαστές θα πρέπει να γίνουν πιο διαφανείς και υπεύθυνοι όσον αφορά την ασφάλεια των προϊόντων τους.
Επόμενα βήματα
Η συμφωνία που επιτεύχθηκε πρέπει τώρα να λάβει επίσημη έγκριση από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Μόλις εκδοθεί, ο κανονισμός για την κυβερνοανθεκτικότητα θα αρχίσει να ισχύει την 20ή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα.
Με την έναρξη ισχύος του κανονισμού, οι κατασκευαστές, οι εισαγωγείς και οι διανομείς προϊόντων υλισμικού και λογισμικού θα έχουν στη διάθεσή τους 36 μήνες για να προσαρμοστούν στις νέες απαιτήσεις, με εξαίρεση την υποχρέωση υποβολής εκθέσεων από τους κατασκευαστές για συμβάντα και τρωτά σημεία, για την οποία θα δοθεί μικρότερη περίοδος χάριτος 21 μηνών.
Ιστορικό
Η κυβερνοασφάλεια αποτελεί μία από τις κορυφαίες προτεραιότητες της Ευρωπαϊκής Επιτροπής. Πρέπει να αναλάβουμε αποφασιστική δράση προκειμένου να θωρακίσουμε τα ψηφιακά μας προϊόντα, που θα καλύπτει τόσο το λογισμικό όσο και το υλισμικό.
Ο κανονισμός για την κυβερνοανθεκτικότητα βασίζεται στη στρατηγική κυβερνοασφάλειας της ΕΕ του 2020 και στη στρατηγική της ΕΕ για την Ένωση Ασφάλειας του 2020, και ανακοινώθηκε στην ομιλία για την κατάσταση της Ευρωπαϊκής Ένωσης το 2021, στο πλαίσιο του σχεδίου για την οικοδόμηση μιας Ευρώπης Έτοιμης για την Ψηφιακή Εποχή. Θα συμπληρώσει την υφιστάμενη νομοθεσία, και συγκεκριμένα το πλαίσιο NIS2, που εγκρίθηκε το 2022.
Κατά το τελευταίο έτος, ο αριθμός των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού τριπλασιάστηκε, με μικρές επιχειρήσεις και σημαντικά ιδρύματα, όπως νοσοκομεία, να βρίσκονται στο στόχαστρο κυβερνοεγκληματιών. Χαρακτηριστικά, κάθε 11 δευτερόλεπτα ένας οργανισμός πλήττεται από επίθεση λυτρισμικού, με το εκτιμώμενο κόστος να ανέρχεται στα 20 δισ. ευρώ ετησίως. Μόνο το 2021, οι εγκληματίες του κυβερνοχώρου κατάφεραν να παραβιάσουν συσκευές και να εξαπολύσουν περίπου 10 εκατομμύρια κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS) παγκοσμίως, με αποτέλεσμα οι χρήστες να μην έχουν πρόσβαση σε ιστοτόπους και διαδικτυακές υπηρεσίες.