Paruoštas apynasris programinės ir kitos skaitmeninės įrangos gamintojams ES
Komentaro autorius - advokatas Mindaugas Civilka
Dar praėjusių metų rudenį Europos Komisija paskelbė savo siūlymą dėl naujų Europos Sąjungos (ES) kibernetinio saugumo reikalavimų, kuriuos išdėstė pasiūlyme dėl Kibernetinio atsparumo akto (CRA). Įdomu tai, kad Lietuvoje dėl Kibernetinio atsparumo akto diskusijų negirdėti.
Kam to reikia?
Skirtingai nuo kitų produktų (pavyzdžiui, dulkių siurblys ar telefonas), kurie ES rinkoje gali atsidurti tik tada, jei atitinka tam tikrus suderinamumo ir saugumo standartus (CE), programinė įranga (naršyklės, operacinės sistemos, tvarkyklės, antivirusinės programos ir kita), jos kokybė bei saugumas buvo Laukinių Vakarų teritorijoje. Licencijų ir naudojimo sutartyse įprastai deklaruojama, kad įranga tiekiama tokia, kokia yra, be jokių saugumo, teisingumo ar tinkamumo garantijų, negarantuojama, kad ji veiks be klaidų, trikdžių ir pan. Garantiniai terminai programinės įrangos sutartyse – vis dar egzotika.
Kita dalis atsakymo – skaičiuose: vien per 2021 metus kibernetinių nusikaltimų kaštai pasaulyje sudarė apie 5,5 trilijonus dolerių. Ir visuose juose vienaip ar kitaip dalyvavo programinė įranga bei kiti skaitmeniniai produktai.
Akto adresatas – programinė įranga ir kiti skaitmeninai produktai
Akto reikalavimai nėra nauji, o kodifikuoja esamą praktiką kibernetinio saugumo temoje, kuri iš dalies atspindėta NIS2 direktyvoje, Kibernetinio saugumo akte, Dirbtinio intelekto akte (projekte) ir BDAR (Reglamentas (ES) Nr. 2016/679). Visgi, šie reikalavimai labiau skirti įmonių, verslų veiklai, o naujojo akto adresatas – skaitmeniniai produktai.
Remiantis Kibernetinio atsparumo aktu, į ES rinką bus leidžiama tiekti tik tokią programinę įrangą ir kitus produktus su skaitmeniniais elementais, kurie atitiks iškeltus kibernetinio saugumo reikalavimus, visi, kurie jų neatitiks, būti platinami ir naudojami ES negalės. Tiesa, tai nebus taikoma medicinos priemonėms, jų priedams, aukšto civilinės aviacijos saugos lygio produktams, variklinių transporto priemonių, jų priekabų ir joms skirtų sistemų, dalių bei techninių mazgų produktams, atvirojo kodo programinei įrangai, kuriamai ar tiekiamai nekomerciniais sumetimais.
Tarp svarbiausių Akto reikalavimų – programinė įranga turės atitikti dvejopo pobūdžio reikalavimus: (a) bazines saugių gaminių savybes (tokias kaip saugi standartinė konfigūracija, su galimybe atkurti produkto pradinę būseną, apsauga nuo neteisėtos prieigos atitinkamais kontrolės mechanizmais, įskaitant atpažinimo, tapatybės ar prieigos valdymo sistemas, prieiga prie minimalių duomenų ir panašiai); ir (b) pažeidžiamumų valdymo reikalavimai (gamintojo pareiga dokumentuoti ir atskleisti produkto pažeidžiamumus ir komponentus ir panašiai). Įgyvendinant pažeidžiamumo reikalavimus įrangos ir sistemų gamintojai įsipareigoja nedelsdami pašalinti ir ištaisyti visus galimus pažeidžiamumus, nuolat teikia atitinkamus saugumo naujinius. Gamintojai privalės šių reikalavimų laikytis viso ciklo metu – projektuodami, kurdami ir gamindami produktus. Importuotojai į ES rinką galės pateikti tik gaminius, kurie atitinka nurodytus esminius reikalavimus, o platintojai privalės užtikrinti, kad gaminiai būtų pažymėti atitinkamu šių reikalavimų įgyvendinimo ženklu.
Kaip įrodyti atitiktį saugumo reikalavimams?
Siekdami įrodyti atitiktį Akto reikalavimams, gamintojai privalės atlikti kibernetinio saugumo rizikos vertinimą, kurį vėliau bus būtina įtraukti į techninius dokumentus taip pat nurodant atvejus, kuriais tam tikri esminiai reikalavimai nebus taikomi.
Nors visiems gaminiams bus taikoma kibernetinio atsparumo atitikties savi-vertinimo procedūra, ypatingos svarbos gaminiams bus privalomas ir oficialus vertinimas, kuriame dalyvaus valstybių atrinkta centrinė ES įstaiga. Didžiausios svarbos produktų su skaitmeniniais elementais gamintojai privalės gauti Europos kibernetinio saugumo sertifikatą, kad įrodytų atitiktį akte nurodytiems esminiams reikalavimams. Nustačius, kad gamintojai negali laikytis numatytų Kibernetinio atsparumo akto reikalavimų, apie tai bus privalu informuoti priežiūros institucijas ir nutraukti vykdomą veiklą.
Taip pat programinės įrangos bei sistemų gamintojai privalės laikytis įvairių reikalavimų, susijusių su vartotojų informavimu, techninės dokumentacijos ir instrukcijų vartotojams rengimu, pažeidžiamumų atskleidimu ir jų valdymu, pavyzdžiui, turėti politiką ir procedūras, kurios padėtų užtikrinti pažeidžiamumų šalinimą, paskelbus saugumo atnaujinimą, bus privalu viešai paskelbti informaciją apie ištaisytus trūkumus, be to, bus svarbu turėti ir trūkumų atskleidimo politiką.
Dar viena svarbi, tačiau sunkiai įgyvendinama prievolė – per 24 val. priežiūros instituciją informuoti apie pastebėtus įrangos pažeidžiamumus.
Dar ne viskas
Maža to, Kibernetinio atsparumo akte yra numatyti ir kiti reikalavimai, kuriuos vykdyti turės ne tik įrangos ar sistemų gamintojai, platintojai, bet ir importuotojai. Pavyzdžiui, importuotojai, prieš pateikdami gaminį į ES rinką, privalės užtikrinti, kad gamintojas būtų atlikęs atitinkamas atitikties vertinimo procedūras, parengęs techninę dokumentaciją, importuojamas gaminys turėtų specialų kibernetinio atsparumo ženklinimą ir prie jo būtų pridėtos visos reikalingos instrukcijos.
Už naujojo Kibernetinio atsparumo akto įgyvendinimą bus atsakingos nacionalinės rinkos priežiūros institucijos, kurias pasirinks ES valstybės. Kiekviena valstybė narė gali pasirinkti vieną ar kelias esamas arba naujas institucijas, kurios ir vykdytų šios rinkos priežiūrą.
Už akte numatytų reikalavimų neatitikimą bei pažeidimus yra numatytos itin reikšmingos sankcijos, t. y. administracinės baudos, priklausančios nuo įmonės metinės apyvartos.
Taigi, Kibernetinio atsparumo akte numatyti pagrindiniai ribojimai ir naujos taisyklės, prie kurių teks prisitaikyti įvairioms verslo grandinės dalims, – aiškios, tačiau ar dėl to yra nuogąstavimų ir kritikos Europos Komisijai bei pateiktam naujam teisės aktui?
Akivaizdu, kad taip. Nors Europos Komisija ir akcentuoja teisės akto įtaką mažėjančiam kibernetinio saugumo incidentų skaičiui, augančiam vartotojų ir verslo klientų pasitikėjimui bei skaitmeninių elementų produktų paklausos tiek ES, tiek už jos ribų didėjimui, skeptikai Kibernetinio atsparumo akto nuostatoms žeria daug kritikos.
Pirmiausia, didelė dalis skeptikų nuogąstauja, kad nauji reikalavimai gamintojams nebūtinai panaikins ar sumažins programinės įrangos klaidų tikimybę. Be to, nuogąstaujama, jog rizikos vertinimo, sertifikavimo, ženklinimo poreikis ir baudų grėsmė gali riboti atvirojo kodo plėtrą, taigi ir interneto plėtrą. Internetas iki šiol iš esmės vystėsi dėl atvirojo kodo programinės įrangos ir sistemų. Daugelis svarbių interneto elementų veikia naudojant nemokamą atvirojo kodo programinę įrangą, be kurios šiandien nebūtų interneto. Baiminamasi, kad atvirojo kodo programinės įrangos kūrėjai bandys vengti ES rinkos, netgi geografiškai apriboti prieigą prie atvirojo kodo vien todėl, jog nepakliūtų po naujojo akto mašinos mechanizmais.
Nors nuo Kibernetinio atsparumo akto pristatymo praėjusį rugsėjį iki dabar akto rengėjai iš reguliavimo apimties atvirtojo kodo įrangą lyg ir pašalino, bet nuogąstavimai, susiję su inovacijų ir pažangos stabdymu lieka, nes skaitmeninės nuosavybės bei programinės įrangos kūrėjams atitikties šio akto reikalavimams sąnaudos gali būti tiesiog per didelės.
Taigi, kaip jau minėta, ES sprendimai dėl kibernetinio saugumo stiprinimo yra reikalingi, tačiau ar Kibernetinio atsparumo akte nurodyti reikalavimai tikrai padės pasiekti užsibrėžtus tikslus ir visos suinteresuotos pusės jais bus patenkintos – reikia palaukti. Iki šių metų sausio 23 d. dėl Europos Komisijos pasiūlymo ES narės gali teikti savo pastabas ir pasiūlymus. Taigi, palaukime, kokie realūs sprendimai bus priimti ir ką atneš netolima ateitis.
2023-01-03