Stāvoklis Savienībā. Jauni ES kiberdrošības noteikumi nodrošina drošāku aparatūru un programmatūru

Ziņa publicēta 15.09.2022
Šodien Komisija nāca klajā ar jauna Kibernoturības akta priekšlikumu, kas patērētājus un uzņēmumus aizsargātu no ražojumiem ar neadekvātiem drošības elementiem. Pirmais šāda veida ES tiesību akts ievieš obligātas kiberdrošības prasības ražojumiem ar digitāliem elementiem visā to aprites ciklā.

Akts, par kuru paziņots Komisijas priekšsēdētājas Urzulas fon der Leienas 2021. gada septembra uzrunā par stāvokli Eiropas Savienībā, 2020. gada ES kiberdrošības stratēģijā un kas balstās 2020. gada ES Drošības savienības stratēģijā, nodrošinās, ka digitālie ražojumi, piemēram, bezvadu un vadu sakaru izstrādājumi un programmatūra, patērētājiem visā ES ir drošāki – papildus ražotāju atbildības palielināšanai uzliekot tiem pienākumu sniegt drošības atbalstu un programmatūras atjauninājumus, lai novērstu konstatētās vājās vietas, tas ļaus patērētājiem iegūt pietiekamu informāciju par to ražojumu kiberdrošību, kurus viņi pērk un izmanto.

Komisijas priekšsēdētājas izpildvietniece digitālajam laikmetam gatavas Eiropas jautājumos Margrēte Vestagere

Mēs pelnām izjust drošumu, pērkot ražojumus vienotajā tirgū. Tāpat kā varam uzticēties rotaļlietai vai ledusskapim ar zīmi CE, Kibernoturības akts nodrošinās, ka savienotie priekšmeti un programmatūra, ko nopērkam, atbilst stingriem kiberdrošības aizsardzības pasākumiem. Tas uzliks atbildību tur, kur pienākas – tiem, kas ražojumus laiž tirgū.

Priekšsēdētājas vietnieks eiropiskās dzīvesziņas jautājumos Margaritis Shins

Kibernoturības akts ir mūsu atbilde uz mūsdienu drošības apdraudējumiem, kas tagad izpletušies visā mūsu digitālajā sabiedrībā. ES pirmā izveidojusi kiberdrošības ekosistēmu ar noteikumiem par kritisko infrastruktūru, sagatavotību un reaģēšanu kiberdrošības jomā un kiberdrošības ražojumu sertifikāciju. Šodien mēs pilnveidojam šo ekosistēmu, pieņemot aktu, kas nodrošina drošību visiem mājokļiem, visiem uzņēmumiem un visiem savstarpēji saistītiem ražojumiem. Kiberdrošība ir sabiedrības, nevis rūpniecības jautājums.

Par iekšējo tirgu atbildīgais Komisijas loceklis Tjerī Bretons

Kiberdrošības ziņā Eiropa ir tikai tik spēcīga, cik tās vājākais posms: vai tā neaizsargāta dalībvalsts, vai nedrošs ražojums visā piegādes ķēdē. Datori, tālruņi, sadzīves tehnika, virtuālas palīgierīces, automobiļi, rotaļlietas... ikkatrs no šiem simtiem miljonu savienoto ražojumu ir potenciāls ieejas punkts kiberuzbrukumam. Tomēr pašlaik uz lielāko daļu aparatūras un programmatūras ražojumu neattiecas nekādi kiberdrošības pienākumi. Ieviešot ieprojektētu kiberdrošību, Kibernoturības akts palīdzēs aizsargāt Eiropas ekonomiku un mūsu kolektīvo drošību.

Izspiedējprogrammatūras uzbrukumiem organizācijām visā pasaulē notiekot ik pēc 11 sekundēm un aplēstajām kibernoziedzības globālajām izmaksām 2021. gadā sasniedzot 5,5 triljonus eiro (Kopīgā pētniecības centra ziņojums (2020) “Kiberdrošība – mūsu digitālais enkurs, Eiropas perspektīva”), svarīgāk nekā jebkad agrāk ir nodrošināt augstu kiberdrošības līmeni un samazināt digitālo ražojumu viegli ievainojamās vietas, kas ir viens no galvenajiem sekmīga uzbrukuma objektiem. Tā kā viedu un savienotu ražojumu skaits aug, kiberdrošības incidents vienā ražojumā var ietekmēt visu piegādes ķēdi, iespējams, visā iekšējā tirgū izraisot nopietnus ekonomiskās un sociālās darbības traucējumus, mazinot drošību vai pat apdraudot dzīvību.

Šodien ierosināto pasākumu pamatā ir ES jaunais tiesiskais regulējums ražojumu jomā, un tajos būs izklāstīti:

a) noteikumi par ražojumu ar digitāliem elementiem laišanu tirgū, nodrošinot to kiberdrošību;

b) pamatprasības ražojumu ar digitāliem elementiem projektēšanai, izstrādei un ražošanai un uzņēmēju pienākumi, kas attiecas uz šiem ražojumiem;

c) pamatprasības neaizsargātības novēršanas procesiem, ko ražotāji ievieš, lai nodrošinātu ražojumu ar digitāliem elementiem kiberdrošību visā aprites ciklā, un uzņēmēju pienākumi šajos procesos; ražotājiem būs arī jāziņo par aktīvi apdraudētajām vājajām vietām un kiberincidentiem;

d) noteikumi par tirgus pārraudzību un to izpildes panākšanu.

Jaunie noteikumi no jauna līdzsvaros atbildību ražotājiem, kuriem jānodrošina tādu ražojumu ar digitāliem elementiem atbilstība drošības prasībām, kas tiek darīti pieejami ES tirgū. Tādējādi tie dos labumu patērētājiem un pilsoņiem, kā arī uzņēmumiem, kuri izmanto digitālos ražojumus, jo uzlabos drošības īpašību pārredzamību un veicinās uzticēšanos ražojumiem ar digitāliem elementiem, kā arī nodrošinās pamattiesību, piemēram, privātuma un datu aizsardzības, labāku aizsardzību.

Lai gan likumdevēji visā pasaulē domā par šo jautājumu risināšanu, Kibernoturības akts, visticamāk, kļūs par starptautisku atskaites punktu arī ārpus ES iekšējā tirgus. ES standarti, kuru pamatā būs Kibernoturības akts, atvieglos tā īstenošanu un būs ES kiberdrošības nozares vērtība pasaules tirgos.

Ierosinātā regula attieksies uz visiem ražojumiem, kas tieši vai netieši savienoti ar citu ierīci vai tīklu. Ir daži izņēmumi, kas attiecas uz ražojumiem, kuru kiberdrošības prasības jau noteiktas spēkā esošajos ES noteikumos, piemēram, par medicīniskām ierīcēm, aviāciju un automobiļiem.

Nākamie pasākumi

Tagad Kibernoturības akta projekts ir jāizskata Eiropas Parlamentam un Padomei. Pēc akta pieņemšanas ekonomikas dalībniekiem un dalībvalstīm būs doti divi gadi, kuros pielāgoties jaunajām prasībām. Izņēmums no šā noteikuma ir ražotāju pienākums ziņot par aktīvi apdraudētām vājajām vietām un kiberincidentiem, kas tiktu piemērots jau gadu pēc spēkā stāšanās dienas, jo tas prasa mazāk organizatorisku pielāgojumu nekā citi jaunie pienākumi. Komisija regulāri pārskatīs Kibernoturības aktu un ziņos par tā darbību.

Konteksts

Kiberdrošība ir viena no Komisijas galvenajām prioritātēm un digitālās un savienotās Eiropas stūrakmens. Kiberuzbrukumu pieaugums koronavīrusa krīzes laikā ir parādījis, cik svarīgi ir aizsargāt slimnīcas, pētniecības centrus un citu infrastruktūru. Šajā jomā ir vajadzīga apņēmīga rīcība, lai nodrošinātu ES ekonomikas un sabiedrības turpmāko attīstību. Ir aplēsts, ka datu aizsardzības pārkāpumu gada izmaksas ir vismaz 10 miljardi eiro un ikgadējie izdevumi pēc ļaunprātīgiem mēģinājumiem pārraut datplūsmu internetā ir vismaz EUR 65 miljardi (ietekmes novērtējuma ziņojums pie Komisijas Deleģētās regulas, kas papildina Radioiekārtu direktīvas Deleģēto regulu).

2020. gada decembrī klajā laistajā Kiberdrošības stratēģijā ierosināts kiberdrošību iestrādāt katrā piegādes ķēdes elementā un vēl vairāk apvienot ES darbības un resursus četrās kiberdrošības kopienās: iekšējā tirgū, tiesībaizsardzībā, diplomātijā un aizsardzībā. Tās pamatā ir stratēģija ES digitālās nākotnes veidošana un ES Drošības savienības stratēģija, kā arī vairāki tiesību akti, darbības un iniciatīvas, ko ES ir īstenojusi, lai stiprinātu kiberdrošības spējas un nodrošinātu kibernoturīgāku Eiropu.

Jaunais Kibernoturības akts būs papildus ES kiberdrošības satvaram, kas ir: Tīklu un informācijas sistēmu drošības direktīva (TID direktīva), Direktīva par pasākumiem vienādi augsta līmeņa kiberdrošības panākšanai visā Savienībā (TID 2 direktīva), par ko nesen vienojās Eiropas Parlaments un Padome, un ES Kiberdrošības akts.

Sīkākai uzziņai

Jautājumi un atbildes – ES Kibernoturības akts

Faktu lapa par ES Kibernoturības aktu

Kibernoturības akta priekšlikums

Faktu lapa par jauno ES kiberdrošības stratēģiju  

Faktu lapa par direktīvas priekšlikumu par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (TID2 direktīva)

Faktu lapa par kiberdrošību: ES ārējā darbība

Jautājumi un atbildes –  jauna ES kiberdrošības stratēģija un jauni noteikumi nolūkā kritiskās fiziskās un digitālās vienības padarīt noturīgākas

Direktīvas priekšlikums par pasākumiem nolūkā visā Savienībā panākt vienādi augstu kiberdrošību (“TID2 direktīva”)

Priekšlikums – Direktīva par kritisko vienību noturību

Plašāk: Eiropas Komisijas pārstāvniecība Latvijā