Szeptemberben az Európai Bizottság egy új kiberbiztonságról szóló törvényjavaslatot terjesztett elő, a fogyasztók és a vállalkozások védelmében. Az uniós szintű jogszabály tervezet kötelező kiberbiztonsági követelményeket vezet be a digitális elemeket tartalmazó termékekre vonatkozóan, azok teljes életciklusa során.
A törvény célja biztosítani, hogy a digitális termékek, például a vezeték nélküli és vezetékes termékek és szoftverek biztonságosabbak legyenek. Egyrészt úgy, hogy növeli a gyártók felelősségét és kötelezi őket a biztonsági támogatás és a szoftverfrissítések biztosítására az azonosított sebezhetőségek kezelése érdekében, másrészt lehetővé teszi a fogyasztók számára, hogy elegendő információval rendelkezzenek az általuk vásárolt és használt termékek kiberbiztonsági jellemzőiről.
A javasolt intézkedések a következőket fektetik le:
- (a) a digitális elemeket tartalmazó termékek forgalomba hozatalára vonatkozó szabályokat a kiberbiztonság biztosítása érdekében;
- (b) a digitális elemeket tartalmazó termékek tervezésére, fejlesztésére és gyártására vonatkozó alapvető követelményeket, valamint a gazdasági szereplőkre vonatkozó, e termékekkel kapcsolatos kötelezettségeket;
- (c) a gyártók által a digitális elemeket tartalmazó termékek teljes életciklusa során a kiberbiztonság biztosítása érdekében bevezetett sebezhetőségkezelési folyamatokra vonatkozó alapvető követelmények, valamint a gazdasági szereplőkre vonatkozó kötelezettségek e folyamatokkal kapcsolatban. A gyártóknak továbbá jelenteniük kell az aktívan kihasznált sebezhetőségeket és incidenseket;
- (d) a piacfelügyeletre és a jogérvényesítésre vonatkozó szabályok.
A javasolt rendelet minden olyan termékre vonatkozik majd, amely közvetlenül vagy közvetve egy másik eszközhöz vagy hálózathoz kapcsolódik. Kivételt képeznek azok a termékek, amelyekre vonatkozóan a meglévő uniós szabályok már tartalmaznak kiberbiztonsági követelményeket, például az orvostechnikai eszközökre, a légi közlekedésre vagy az autókra vonatkozóan.
Az Európai Parlament és a Tanács (EU) 2019/881 rendelete már 2019-ben megerősítette az EU kiberbiztonsági ügynökségét (ENISA), és létrehozta a termékek és szolgáltatások kiberbiztonsági tanúsítási keretrendszerét. Az EU-ban üzleti tevékenységet folytató vállalatok számára előnyös lesz, hogy IKT-termékeiket, -folyamataikat és -szolgáltatásaikat csak egyszer kell tanúsítaniuk, és tanúsítványaikat az egész Európai Unióban elismerik.
