Upravljanje sajber ranjivostima koje koriste hakeri ostaje bolna tačka novog zakona o sajber bezbednosti, sa idejom da na scenu stupi panevropska platforma za izveštavanje.
Zakon o sajber otpornosti je zakonski predlog koji uvodi bezbednosne zahteve koje proizvođači moraju da ispoštuju pre nego što lansiraju povezane uređaje na tržište EU.
Kritična tačka spora ostaje obaveza izveštavanja o aktivno eksploatisanoj ranjivosti, sa značajnim promenama o kojima se raspravlja kao što je prikazano u ažuriranom tekstu Saveta od 15. juna, a u koji je EURACTIV imao uvid.
Dokument je bio centralna tema diskusije na sastanku Sajber radne grupe, tehničkog tela Saveta ministara EU, 21. juna, kada je postalo jasno da se ne može postići zajednički stav o tom predmetu pre kraja švedskog predsedsedavanja.
Dakle, štafeta bi trebalo da bude preneta Španiji sledećeg meseca, a okvirni datum za odobrenje na nivou ambasadora je 17. jul.
Rukovanje ranjivostima
Po prvi put, nacrt zakona EU bi zahtevao od proizvođača da prijave ne samo incidente u vezi sa sajber-bezbednošću, već i aktivno iskorišćene ranjivosti, što znači rupe u bezbednosti koje tek treba da se zakrpe.
Koncept aktivno iskorišćenih ranjivosti usklađen je sa definicijom revidirane Direktive o bezbednosti mreža i informacija (NIS2) i proširen da pokrije i pokušaje i uspešne povrede bezbednosti.
U kompromisu se navodi da obaveze rukovanja ranjivostima „važe za proizvode sa digitalnim elementima u celosti, uključujući sve integrisane komponente".
Proizvođači treba da navedu kada će obezbediti rukovanje ranjivostima, na primer, u paketu proizvoda. Proizvođači bi trebalo da javno obelodane informacije o fiksnim ranjivostima, osim ako bezbednosni rizici nadmašuju koristi, posebno da bi omogućili korisnicima da primene relevantnu rešenje.
Obaveze izveštavanja
Obaveze proizvođača u vezi sa izveštavanjem su prava jama spora u Savetu, pošto su zemlje EU premestile rukovanje tako osetljivim obaveštajnim podacima iz ruku ENISA, agencije EU za sajber bezbednost, u ruke nacionalnih timova za reagovanje na računarske hitne slučajeve (CSIRT).
Proizvođači bi morali da pošalju rano upozorenje u roku od 24 sata pošto postanu svesni aktivno iskorišćene ranjivosti i ažuriranje u roku od tri dana sa detaljnijim informacijama, statusom sanacije i svim korektivnim ili ublažavajućim merama.
Sva obaveštenja treba da se podnose preko krajnje tačke za elektronsko obaveštavanje zemlje EU u kojoj imaju svoje glavno sedište, definisano kao „gde se pretežno donose odluke vezane za sajber bezbednost njenih proizvoda sa digitalnim elementima".
Sve nacionalne krajnje tačke treba da se uključe u jedinstvenu platformu za izveštavanje koju je uspostavila i kojom upravlja ENISA, sa CSIRT-ovima uključenim u uspostavljanje bezbednosnih i operativnih aranžmana platforme.
Prvi CSIRT koji primi obaveštenje moraće da obavesti sve relevantne kolege, ali u izuzetnim okolnostima, ovo može biti odloženo jer je to neophodno iz opravdanih razloga sajber bezbednosti.
Uklonjena je odredba u kojoj se navodi da obaveze uredbe ne bi trebalo da podrazumevaju otkrivanje informacija suprotno suštinskim interesima bezbednosti zemalja EU.
Posebne kategorije proizvoda
Kako je ranije izvestio EURACTIV, Savet EU je uveo novi aneks sa spiskom veoma kritičnih proizvoda, smanjujući diskreciono pravo Evropske komisije, koja će i dalje moći da dodaje ili uklanja kategorije proizvoda.
Ideja je da bi izvršna vlast EU mogla delegiranim aktima da obaveže ove kategorije proizvoda da se kvalifikuju sa evropskim sertifikatom o sajber bezbednosti kako bi se demonstrirala usklađenost sa pravilima EU.
Države članice su uključile uslove da sertifikat mora da bude obavezan, a Komisija treba da izvrši procenu uticaja kako bi analizirala njegov efekat u smislu dostupnosti proizvoda na unutrašnjem tržištu.
„Procena potencijalnog tržišnog uticaja predviđene obavezne sertifikacije treba da uzme u obzir i stranu ponude i potražnje, uključujući i da li postoji dovoljna potražnja", navodi se u tekstu.
Posebne kategorije proizvoda su takođe navedene u klasama I i II, koje, zajedno sa visoko kritičnim proizvodima, Komisija ima zadatak da precizira zajedničke specifikacije i postupke ocenjivanja usaglašenosti.
Integrisana kola za specifične aplikacije i nizovi gejtova koji se mogu programirati na terenu su premešteni iz klase II u klasu I. Softver za autentifikaciju poput menadžera lozinki dodat je u klasu II.
Osnovni zahtevi
Zakon o sajber otpornosti ima za cilj da uvede osnovne zahteve za sve povezane proizvode. Novi tekst precizira da se ovi suštinski zahtevi, uključujući rukovanje ranjivostima, primenjuju na svaki proizvod koji se stavlja na tržište bez obzira da li je deo serije.
Odgovornost za ispunjavanje ovih osnovnih zahteva prebacuje se na svakog ekonomskog operatera koji uvodi značajne modifikacije na proizvod, koje takođe mogu biti rezultat ažuriranja softvera, bilo odvojenih ili u kombinaciji sa bezbednosnim ažuriranjem.
Pre stavljanja proizvoda na tržište, proizvođači treba da izvrše procenu uticaja kako bi razmotrili da li ranjivost može imati sistemski uticaj na potrošače i organizacije.
Delegirajte ovlašćenja
Ovlašćenje Komisije da donosi delegirane akte ističe pet godina nakon stupanja uredbe na snagu. Ipak, biće automatski produžen ukoliko se tome ne usprotive Savet EU ili Parlament. Izvršna vlast EU takođe treba da dostavi izveštaj devet meseci pre kraja petogodišnjeg perioda.
Vremenska linija
Stupanje u primenu odloženo je sa dve na tri godine od stupanja na snagu.
(EURACTIV.rs)