Του Γιάννη Λεοντάρη
Σε συμφωνία σχετικά με τον ευρωπαϊκό κανονισμό για την κυβερνοανθεκτικότητα, που πρότεινε η Ευρωπαϊκή Επιτροπή τον Σεπτέμβριο του 2022, ήρθαν πριν μερικές ημέρες το Ευρωπαϊκό Κοινοβούλιο και τα κράτη – μέλη της ΕΕ.
Ο κανονισμός για την κυβερνοανθεκτικότητα είναι η πρώτη νομοθεσία αυτού του είδους στον κόσμο.
Με τη θέσπιση υποχρεωτικών αναλογικών απαιτήσεων κυβερνοασφάλειας για όλο το hardware και το λογισμικό (από συσκευές παρακολούθησης βρεφών, «έξυπνα» ρολόγια και βιντεοπαιχνίδια έως τείχη προστασίας και δρομολογητές) εκτιμάται θα βελτιώσει το επίπεδο κυβερνοασφάλειας των ψηφιακών προϊόντων προς όφελος των καταναλωτών και των επιχειρήσεων σε ολόκληρη την ΕΕ.
Τα προϊόντα με διαφορετικά επίπεδα κινδύνου θα έχουν και διαφορετικές απαιτήσεις ασφάλειας. Λιγότερο από το 10 % των προϊόντων θα υπόκειται σε αξιολογήσεις από τρίτους.
Κυβερνοασφάλεια σε όλα τα προϊόντα
Με τον νέο κανονισμό, όλα τα προϊόντα που διατίθενται στην αγορά της ΕΕ θα πρέπει να είναι κυβερνοασφαλή.
Πρόκειται για ένα σημαντικό βήμα για την καταπολέμηση της οξυνόμενης απειλής από κυβερνοεγκληματίες και άλλους κακόβουλους παράγοντες.
Μόλις τεθεί σε εφαρμογή ο κανονισμός για την κυβερνοανθεκτικότητα, οι κατασκευαστές hardware και λογισμικού θα πρέπει να εφαρμόζουν μέτρα κυβερνοασφάλειας καθ’ όλη τη διάρκεια του κύκλου ζωής του προϊόντος, τόσο κατά τον σχεδιασμό και την ανάπτυξη όσο και μετά τη διάθεση του προϊόντος στην αγορά.
Τα προϊόντα λογισμικού και hardware θα φέρουν τη σήμανση CE, η οποία θα υποδεικνύει ότι συμμορφώνονται με τις απαιτήσεις του κανονισμού και, συνεπώς, μπορούν να πωλούνται στην ΕΕ.
Ο κανονισμός θα θεσπίσει επίσης νομική υποχρέωση για τους κατασκευαστές να παρέχουν στους χρήστες έγκαιρες ενημερώσεις ασφαλείας για αρκετά χρόνια μετά την αγορά. Αυτή η περίοδος πρέπει να αντικατοπτρίζει το χρονικό διάστημα για το οποίο αναμένεται να χρησιμοποιηθούν τα προϊόντα.
Με τα μέτρα αυτά, ο νέος κανονισμός αναμένεται ότι θα δώσει τη δυνατότητα στους χρήστες να προβαίνουν σε πιο τεκμηριωμένες και ασφαλείς επιλογές, καθώς οι κατασκευαστές θα πρέπει να γίνουν πιο διαφανείς και υπεύθυνοι όσον αφορά την ασφάλεια των προϊόντων τους.
Επόμενα βήματα
Η συμφωνία που επιτεύχθηκε πρέπει τώρα να λάβει επίσημη έγκριση από το Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο. Μόλις εκδοθεί, ο κανονισμός για την κυβερνοανθεκτικότητα θα αρχίσει να ισχύει την 20ή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα.
Με την έναρξη ισχύος του κανονισμού, οι κατασκευαστές, οι εισαγωγείς και οι διανομείς προϊόντων υλισμικού και λογισμικού θα έχουν στη διάθεσή τους 36 μήνες για να προσαρμοστούν στις νέες απαιτήσεις, με εξαίρεση την υποχρέωση υποβολής εκθέσεων από τους κατασκευαστές για συμβάντα και τρωτά σημεία, για την οποία θα δοθεί μικρότερη περίοδος χάριτος 21 μηνών.
Κορυφαία προτεραιότητα
Η κυβερνοασφάλεια αποτελεί μία από τις κορυφαίες προτεραιότητες της Ευρωπαϊκής Επιτροπής.
Ο κανονισμός για την κυβερνοανθεκτικότητα βασίζεται στη στρατηγική κυβερνοασφάλειας της ΕΕ του 2020 και στη στρατηγική της ΕΕ για την Ένωση Ασφάλειας του 2020, και ανακοινώθηκε στην ομιλία για την κατάσταση της Ευρωπαϊκής Ένωσης το 2021, στο πλαίσιο του σχεδίου για την οικοδόμηση μιας Ευρώπης έτοιμης για την ψηφιακή εποχή. Θα συμπληρώσει την υφιστάμενη νομοθεσία, και συγκεκριμένα το πλαίσιο NIS2, που εγκρίθηκε το 2022.
Κατά το 2023 ο αριθμός των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού τριπλασιάστηκε, με μικρές επιχειρήσεις και σημαντικά ιδρύματα, όπως νοσοκομεία, να βρίσκονται στο στόχαστρο κυβερνοεγκληματιών.
Χαρακτηριστικά, κάθε 11 δευτερόλεπτα ένας οργανισμός πλήττεται από επίθεση λυτρισμικού, με το εκτιμώμενο κόστος να ανέρχεται στα 20 δισ. ευρώ ετησίως.
Μόνο το 2021, οι εγκληματίες του κυβερνοχώρου κατάφεραν να παραβιάσουν συσκευές και να εξαπολύσουν περίπου 10 εκατομμύρια κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS) παγκοσμίως, με αποτέλεσμα οι χρήστες να μην έχουν πρόσβαση σε ιστοτόπους και διαδικτυακές υπηρεσίες.