INT/999

Πράξη για την κυβερνοανθεκτικότητα

ΓΝΩΜΟΔΟΤΗΣΗ

Τμήμα «Ενιαία αγορά, παραγωγή και κατανάλωση»

Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με οριζόντιες απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία και με την τροποποίηση του κανονισμού (ΕΕ) 2019/1020

[COM(2022) 454 final – 2022/0272 (COD)]

Εισηγητής: Maurizio MENSI

Συνεισηγητής: Marinel Dănuț MURESAN

1.Συμπεράσματα και συστάσεις

1.1Η ΕΟΚΕ επικροτεί την πρόταση της Ευρωπαϊκής Επιτροπής με θέμα την Πράξη για την κυβερνοανθεκτικότητα (στα αγγλικά: Cyber Resilience Act) με σκοπό τον καθορισμό υψηλότερων προτύπων κυβερνοασφάλειας που θα επιτρέψουν τη δημιουργία ενός αξιόπιστου συστήματος για τους οικονομικούς φορείς και την ασφαλή χρήση των προϊόντων στην αγορά για τους πολίτες της ΕΕ. Στην ουσία αποτελεί μέρος της ευρωπαϊκής στρατηγικής για τα δεδομένα, η οποία ενισχύει την ασφάλεια των δεδομένων, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, και τα θεμελιώδη δικαιώματα, που αποτελούν βασικές απαιτήσεις για την ψηφιακή μας κοινωνία.

1.2Η ΕΟΚΕ θεωρεί απαραίτητο να ενισχυθεί η συλλογική αντίδραση στις κυβερνοεπιθέσεις και να παγιωθεί η διαδικασία εναρμόνισης της κυβερνοασφάλειας σε εθνικό επίπεδο όσον αφορά τους κανόνες και μέσα λειτουργίας, προς αποφυγή του ενδεχομένου οι διαφορετικές εθνικές προσεγγίσεις να προκαλέσουν νομικές αβεβαιότητες και εμπόδια.

1.3Η ΕΟΚΕ επικροτεί την πρωτοβουλία της Ευρωπαϊκής Επιτροπής, η οποία όχι μόνο θα συμβάλει στη μείωση του σημαντικού κόστους που συνεπάγονται για τις επιχειρήσεις οι κυβερνοεπιθέσεις, αλλά θα επιτρέψει επίσης στους πολίτες / καταναλωτές να απολαύουν της καλύτερης προστασίας των θεμελιωδών δικαιωμάτων τους, όπως αυτή της ιδιωτικής τους ζωής. Ειδικότερα, η Ευρωπαϊκή Επιτροπή δείχνει να λαμβάνει υπόψη της τις ειδικές ανάγκες των μικρομεσαίων επιχειρήσεων όσον αφορά τις υπηρεσίες που παρέχουν οι αρχές πιστοποίησης. Ωστόσο, η ΕΟΚΕ επισημαίνει την ανάγκη αποσαφήνισης των κριτηρίων εφαρμογής.

1.4Η ΕΟΚΕ θεωρεί σημαντικό να υπογραμμιστεί ότι, αφενός, αν και είναι ευπρόσδεκτο το γεγονός ότι η Πράξη για την κυβερνοανθεκτικότητα καλύπτει σχεδόν όλα τα ψηφιακά προϊόντα, αφετέρου, ενδέχεται να ανακύψουν προβλήματα όσον αφορά την πρακτική εφαρμογή της εν λόγω Πράξης, λόγω των εκτενών και πολύπλοκων δραστηριοτήτων επαλήθευσης και ελέγχου που συνεπάγεται. Εξ ου και η ανάγκη ενίσχυσης των μέσων εποπτείας και επαλήθευσης.

1.5Η ΕΟΚΕ τονίζει την ανάγκη επακριβούς αποσαφήνισης του καθ’ ύλην πεδίου εφαρμογής της Πράξης για την κυβερνοανθεκτικότητα, με ιδιαίτερη αναφορά στα προϊόντα με ψηφιακά στοιχεία και στα λογισμικά.

1.6Η ΕΟΚΕ σημειώνει ότι οι κατασκευαστές θα υποχρεούνται να υποδεικνύουν, αφενός, τα τρωτά σημεία των προϊόντων και, αφετέρου, οποιοδήποτε συμβάν σχετικό με την ασφάλεια, ενημερώνοντας σχετικά τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA). Εν προκειμένω, κρίνεται σημαντικό να παρασχεθούν στον ENISA τα αναγκαία μέσα για την αποτελεσματική εκτέλεση των συναφών και ευαίσθητων καθηκόντων που θα του ανατεθούν.

1.7Για να αποφευχθεί κάθε ερμηνευτική αβεβαιότητα, η ΕΟΚΕ προτείνει στην Ευρωπαϊκή Επιτροπή να χαράξει ενδεδειγμένες κατευθυντήριες γραμμές για την καθοδήγηση κατασκευαστών και καταναλωτών ως προς τους κανόνες και τις διαδικασίες που εφαρμόζονται συγκεκριμένα, καθότι προκύπτει ότι ορισμένα προϊόντα που εμπίπτουν στο πεδίο εφαρμογής της πρότασης υπόκεινται και σε άλλες νομοθετικές διατάξεις για την κυβερνοασφάλεια.

1.8Η ΕΟΚΕ επισημαίνει ότι η σχέση μεταξύ των αρχών πιστοποίησης κατά την έννοια της Πράξης για την κυβερνοανθεκτικότητα και άλλων φορέων που είναι εξουσιοδοτημένοι να πιστοποιούν την κυβερνοασφάλεια βάσει άλλων νομοθετικών διατάξεων δεν είναι απολύτως σαφής. Το ίδιο πρόβλημα λειτουργικού συντονισμού μπορεί επίσης να ανακύψει μεταξύ των εποπτικών αρχών που προβλέπονται στην παρούσα πρόταση και των αρχών που δραστηριοποιούνται ήδη δυνάμει άλλης νομοθεσίας, η οποία εφαρμόζεται στα ίδια προϊόντα.

1.9Η ΕΟΚΕ σημειώνει ότι η πρόταση προβλέπει σημαντικό αριθμό δραστηριοτήτων και αρμοδιοτήτων για τις αρχές πιστοποίησης, η έμπρακτη λειτουργία των οποίων πρέπει να διασφαλιστεί με σκοπό, μεταξύ άλλων, να αποτραπεί το ενδεχόμενο η Πράξη για την κυβερνοανθεκτικότητα να επιφέρει αύξηση του γραφειοκρατικού φόρτου εις βάρος των κατασκευαστών που θα πρέπει να πληρούν ορισμένες πρόσθετες προϋποθέσεις πιστοποίησης για να είναι σε θέση να συνεχίσουν να δραστηριοποιούνται στην αγορά.

2.Ανάλυση της πρότασης

2.1Με την προτεινόμενη Πράξη για την κυβερνοανθεκτικότητα, η Ευρωπαϊκή Επιτροπή προτίθεται να εξορθολογίσει και να αναδιαμορφώσει με ολοκληρωμένο και οριζόντιο τρόπο την ισχύουσα νομοθεσία για την κυβερνοασφάλεια, επικαιροποιώντας την παράλληλα υπό το πρίσμα των νέων τεχνολογικών καινοτομιών.

2.2Με την Πράξη για την κυβερνοανθεκτικότητα επιδιώκονται κυρίως τέσσερις στόχοι: η μέριμνα ώστε οι κατασκευαστές να βελτιώνουν την ασφάλεια των προϊόντων που διαθέτουν ψηφιακά στοιχεία τόσο κατά τη φάση του σχεδιασμού και της ανάπτυξής τους όσο και καθ’ όλη τη διάρκεια του κύκλου ζωής τους· την εξασφάλιση συνεκτικού πλαισίου κανόνων για την κυβερνοασφάλεια και τη διευκόλυνση της συμμόρφωσης με αυτούς των κατασκευαστών υλισμικού και λογισμικού· την ενίσχυση της διαφάνειας των χαρακτηριστικών ασφάλειας των προϊόντων με ψηφιακά στοιχεία· την παροχή στις επιχειρήσεις και στους καταναλωτές της δυνατότητας να χρησιμοποιούν τα εν λόγω προϊόντα με ασφάλεια. Στην ουσία, η πρόταση εισάγει μια σήμανση CE για την κυβερνοασφάλεια, επιβάλλοντας την αναγραφή της σε όλα τα προϊόντα που υπάγονται στην Πράξη για την κυβερνοανθεκτικότητα.

2.3Πρόκειται για οριζόντια παρέμβαση, με την οποία η Ευρωπαϊκή Επιτροπή προτίθεται να ρυθμίσει το συνολικό ζήτημα με ολοκληρωμένο τρόπο, δεδομένου ότι καλύπτει σχεδόν όλα τα προϊόντα με ψηφιακά συστατικά στοιχεία. Εξαιρούνται μόνο εκείνα που είναι ιατρικής φύσεως και εκείνα που αφορούν την πολιτική αεροπορία, τα οχήματα και τα προϊόντα για στρατιωτικούς σκοπούς. Η πρόταση δεν καλύπτει επίσης ό,τι σχετίζεται με το λογισμικό ως υπηρεσία (Software-as-a-Service / υπολογιστικό νέφος), εκτός εάν χρησιμοποιείται για την κατασκευή προϊόντων με ψηφιακά στοιχεία.

2.4Ο ορισμός των «προϊόντων με ψηφιακά στοιχεία» είναι πολύ ευρύς και περιλαμβάνει κάθε προϊόν λογισμικού ή υλισμικού, καθώς και οποιοδήποτε λογισμικό ή υλισμικό που δεν είναι ενσωματωμένο σε κάποιο προϊόν αλλά διατίθεται ξεχωριστά στην αγορά.

2.5Η νομοθεσία θεσπίζει υποχρεωτικές απαιτήσεις κυβερνοασφάλειας για τα προϊόντα που έχουν ψηφιακά συστατικά μέρη καθ’ όλη τη διάρκεια του κύκλου ζωής τους, χωρίς όμως να αντικαθιστά τις ήδη ισχύουσες. Αντιθέτως, τα προϊόντα που έχουν ήδη πιστοποιηθεί ως συμμορφούμενα με προϋπάρχοντα πρότυπα της ΕΕ θα θεωρούνται επίσης «έγκυρα» βάσει του νέου κανονισμού.

2.6Γενική βασική αρχή είναι ότι μόνον «ασφαλή» προϊόντα διατίθενται στην αγορά της Ευρώπης, των οποίων οι κατασκευαστές συμπεριφέρονται κατά τρόπο ώστε τα προϊόντα αυτά να παραμένουν ασφαλή καθ’ όλη τη διάρκεια του κύκλου ζωής τους.

2.7Ένα προϊόν θεωρείται «ασφαλές» εάν, μεταξύ άλλων, είναι σχεδιασμένο και κατασκευασμένο κατά τρόπο ώστε να διαθέτει επίπεδο ασφάλειας προσαρμοσμένο στους κινδύνους που συνεπάγεται η χρήση του στον κυβερνοχώρο, εάν δεν παρουσιάζει εμφανή τρωτά σημεία κατά τη στιγμή της πώλησής του, εάν διαθέτει ασφαλή προεπιλεγμένη διάταξη, εάν προστατεύεται από παράνομες συνδέσεις, εάν προστατεύει τα δεδομένα που συλλέγει και εάν η συλλογή δεδομένων περιορίζεται αποκλειστικά και μόνο σε εκείνα που εξυπηρετούν τη λειτουργία του.

2.8Ένας κατασκευαστής θεωρείται επιλέξιμος για την εμπορία των προϊόντων του εάν, μεταξύ άλλων, παρέχει δυνατότητα πρόσβασης στον κατάλογο των διαφόρων συστατικών στοιχείων λογισμικού των προϊόντων του, εάν λαμβάνει γρήγορα δωρεάν διορθωτικά μέτρα σε περίπτωση εμφάνισης νέων τρωτών σημείων, εάν δημοσιοποιεί και περιγράφει λεπτομερώς τα τρωτά σημεία που εντοπίζει και διορθώνει, εάν ελέγχει τακτικά την αντοχή των προϊόντων που εμπορεύεται. Τόσο αυτές όσο και άλλες δραστηριότητες που επιβάλλει η Πράξη για την κυβερνοανθεκτικότητα πρέπει να αναλαμβάνονται καθ’ όλη τη διάρκεια του κύκλου ζωής ενός προϊόντος ή τουλάχιστον για πέντε έτη μετά τη διάθεση του προϊόντος στην αγορά. Ο κατασκευαστής οφείλει να διασφαλίζει ότι τα τρωτά σημεία εξαλείφονται μέσω τακτικών επικαιροποιήσεων λογισμικού.

2.9Σύμφωνα με μια γενική αρχή που εφαρμόζεται σε διάφορους τομείς, οι προβλεπόμενες υποχρεώσεις επιβάλλονται επίσης στους εισαγωγείς και στους διανομείς.

2.10Η Πράξη για την κυβερνοανθεκτικότητα προβλέπει μια μακροκατηγορία των αποκαλούμενων «κανονικών» προϊόντων και λογισμικών για τα οποία μπορεί κανείς να βασιστεί σε αυτοαξιολόγηση του κατασκευαστή, όπως ισχύει ήδη για άλλους τύπους πιστοποίησης με σήμανση CE. Σύμφωνα με την Επιτροπή, το 90 % των προϊόντων που διατίθενται στην αγορά εμπίπτουν σε αυτήν την κατηγορία.

2.11Τα εν λόγω προϊόντα μπορούν να διατεθούν στην αγορά κατόπιν αυτοαξιολόγησης της κυβερνοασφάλειάς τους από τον κατασκευαστή τους, ο οποίος παρέχει κατάλληλη τεκμηρίωση, όπως ορίζεται στις κατευθυντήριες γραμμές της νομοθεσίας. Ο ίδιος κατασκευαστής υποχρεούται να επαναλάβει την αξιολόγηση σε περίπτωση τροποποίησης του προϊόντος.

2.12Το υπόλοιπο 10 % των προϊόντων υποδιαιρείται σε άλλες δύο κατηγορίες (στην κατηγορία Ι για τα λιγότερο επικίνδυνα προϊόντα και στην κατηγορία ΙΙ για τα πιο επικίνδυνα) και η διάθεσή τους στην αγορά απαιτεί μεγαλύτερη προσοχή. Πρόκειται για τα λεγόμενα «προϊόντα κρίσιμης σημασίας με ψηφιακά στοιχεία», μια ατέλεια των οποίων μπορεί να επιφέρει άλλες επικίνδυνες και πιο εκτεταμένες παραβιάσεις της ασφάλειας.

2.13Για τα προϊόντα αυτών των δύο κατηγοριών, οι βασικές αυτοπιστοποιήσεις είναι αποδεκτές μόνο εάν ο κατασκευαστής αποδείξει ότι έχει τηρήσει συγκεκριμένα πρότυπα της αγοράς και ειδικές προδιαγραφές ασφάλειας ή πιστοποιήσεις κυβερνοασφάλειας που προβλέπονται ήδη από την ΕΕ. Σε αντίθετη περίπτωση, ο κατασκευαστής μπορεί να λάβει πιστοποίηση του προϊόντος από διαπιστευμένο οργανισμό πιστοποίησης, η βεβαίωση του οποίου είναι υποχρεωτική για τα προϊόντα της κατηγορίας ΙΙ.

2.14Το σύστημα ταξινόμησης των προϊόντων σε κατηγορίες κινδύνου περιλαμβάνεται επίσης στην πρόταση κανονισμού για την τεχνητή νοημοσύνη. Προς αποφυγή αμφιβολιών ως προς την εφαρμοστέα διάταξη, η Πράξη για την κυβερνοανθεκτικότητα εξετάζει προϊόντα με ψηφιακά στοιχεία που ταξινομούνται ταυτόχρονα ως «συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου» σύμφωνα με την πρόταση για την τεχνητή νοημοσύνη. Τα εν λόγω προϊόντα θα πρέπει γενικά να είναι σύμφωνα με τη διαδικασία αξιολόγησης της συμμόρφωσης που ορίζεται στον κανονισμό για την τεχνητή νοημοσύνη, με εξαίρεση τα «κρίσιμα ψηφιακά προϊόντα», για τα οποία θα εφαρμόζονται οι κανόνες αξιολόγησης της συμμόρφωσης της Πράξης για την κυβερνοανθεκτικότητα επιπλέον των βασικών απαιτήσεων που θέτει η εν λόγω πράξη.

2.15Για να διασφαλιστεί η τήρηση της Πράξης για την κυβερνοανθεκτικότητα, προβλέπεται δραστηριότητα εποπτείας την οποία κάθε κράτος μέλος θα πρέπει να αναθέτει σε αρμόδια εθνική αρχή. Σύμφωνα με τη νομοθεσία που διέπει την ασφάλεια άλλων προϊόντων, εάν μια εθνική αρχή διαπιστώσει ότι τα χαρακτηριστικά κυβερνοασφάλειας ενός προϊόντος έπαψαν να υφίστανται, η εμπορία του συγκεκριμένου προϊόντος μπορεί να ανασταλεί στο εν λόγω κράτος. Ο ENISA είναι αρμόδιος να αξιολογεί ενδελεχώς ένα υποδεικνυόμενο προϊόν και οι αξιολογήσεις του, σε περίπτωση διαπίστωσης της ανεπαρκούς ασφάλειας του προϊόντος, μπορούν να επιφέρουν την αναστολή της εμπορίας του εν λόγω προϊόντος στην ΕΕ.

2.16Το σύστημα κυρώσεων της Πράξης για την κυβερνοανθεκτικότητα διασφαλίζεται με μια σειρά κυρώσεων ―συσχετιζόμενων με τη σοβαρότητα της εκάστοτε παράβασης― οι οποίες, σε περίπτωση παραβίασης των βασικών απαιτήσεων κυβερνοασφάλειας των προϊόντων, μπορούν να ανέλθουν σε 15 εκατ. ευρώ ή στο 2,5 % του κύκλου εργασιών του προηγούμενου φορολογικού έτους.

3.Παρατηρήσεις

3.1Η ΕΟΚΕ επικροτεί την πρωτοβουλία της Ευρωπαϊκής Επιτροπής που αποσκοπεί στη συμπερίληψη ενός βασικού στοιχείου στο ευρύτερο σύνολο κανόνων κυβερνοασφάλειας, με μέλημα τον συντονισμό και τη συμπλήρωση των οδηγιών για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (NIS). Τα υψηλά πρότυπα κυβερνοασφάλειας έχουν πράγματι θεμελιώδη σημασία για τη δημιουργία ενός ισχυρού ενωσιακού συστήματος κυβερνοασφάλειας για όλους τους οικονομικούς φορείς, το οποίο θα εγγυάται στους κατοίκους της ΕΕ την ασφαλή χρήση όλων των προϊόντων της αγοράς και θα ενισχύσει την εμπιστοσύνη τους στον ψηφιακό κόσμο.

3.2Ως εκ τούτου, ο κανονισμός εστιάζει σε δύο ζητήματα: στο χαμηλό επίπεδο κυβερνοασφάλειας πολλών προϊόντων και, κυρίως, στο γεγονός ότι πολλοί κατασκευαστές δεν παρέχουν επικαιροποιήσεις για τη διόρθωση των τρωτών σημείων. Ενώ οι κατασκευαστές προϊόντων με ψηφιακά στοιχεία υφίστανται ορισμένες φορές αμαύρωση της φήμης τους όταν τα προϊόντα τους στερούνται ασφάλειας, το κόστος των τρωτών σημείων βαρύνει κυρίως τους επαγγελματίες χρήστες και τους καταναλωτές. Το γεγονός αυτό περιορίζει τα κίνητρα των κατασκευαστών για επενδύσεις στον σχεδιασμό και την ανάπτυξη ασφαλών προϊόντων, καθώς και για την παροχή επικαιροποιήσεων σχετικά με την ασφάλεια. Επιπλέον, οι επιχειρήσεις και οι καταναλωτές συχνά δεν διαθέτουν επαρκείς και αξιόπιστες πληροφορίες όταν πρόκειται για την επιλογή ασφαλών προϊόντων και πολλές φορές δεν γνωρίζουν πώς να διασφαλίσουν την ασφαλή διαμόρφωση των προϊόντων που αγοράζουν. Οι νέοι κανόνες εστιάζουν σε αυτές τις δύο πτυχές αντιμετωπίζοντας το ζήτημα των επικαιροποιήσεων και της παροχής επικαιροποιημένων πληροφοριών στους πελάτες. Η ΕΟΚΕ πιστεύει ότι, υπό αυτήν την έννοια και εφόσον εφαρμόζεται ορθώς, ο προτεινόμενος κανονισμός μπορεί να αποτελέσει σημείο αναφοράς και υπόδειγμα διεθνώς για την κυβερνοασφάλεια.

3.3Η ΕΟΚΕ επικροτεί την πρόταση που αποσκοπεί στη θέσπιση απαιτήσεων κυβερνοασφάλειας για τα προϊόντα με ψηφιακά στοιχεία. Ωστόσο, θεωρείται σημαντικό να αποφευχθούν οι αλληλεπικαλύψεις με άλλες ισχύουσες νομοθετικές διατάξεις επί του θέματος, όπως η οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (NIS) 2.

3.4Η ΕΟΚΕ θεωρεί σημαντικό να υπογραμμιστεί ότι, αφενός, αν και είναι ευπρόσδεκτο το γεγονός ότι η Πράξη για την κυβερνοανθεκτικότητα καλύπτει σχεδόν όλα τα ψηφιακά προϊόντα, αφετέρου, ενδέχεται να ανακύψουν προβλήματα όσον αφορά την πρακτική εφαρμογή της εν λόγω Πράξης, λόγω των εκτενών δραστηριοτήτων επαλήθευσης και ελέγχου που συνεπάγεται.

3.5Το καθ’ ύλην πεδίο εφαρμογής της Πράξης για την κυβερνοανθεκτικότητα είναι ευρύ και καλύπτει όλα τα προϊόντα με ψηφιακά στοιχεία. Σύμφωνα με τον προτεινόμενο ορισμό, καλύπτονται όλα τα προϊόντα λογισμικού και υλισμικού και οι σχετικές πράξεις επεξεργασίας δεδομένων. Η ΕΟΚΕ προτείνει στην Επιτροπή να διευκρινίσει εάν και κατά πόσον όλα τα λογισμικά εμπίπτουν στο πεδίο εφαρμογής του προτεινόμενου κανονισμού.

3.6Οι κατασκευαστές θα έχουν την υποχρέωση να υποδεικνύουν τόσο τα τρωτά σημεία που αποτελούν αντικείμενο ενεργού εκμετάλλευσης όσο και τα συμβάντα που αφορούν την ασφάλεια. Θα είναι υποχρεωμένοι να ενημερώνουν τον ENISA ως προς τυχόν τρωτά σημεία που αποτελούν αντικείμενο ενεργού εκμετάλλευσης και περιέχονται στο εκάστοτε προϊόν και (ξεχωριστά) σχετικά με κάθε συμβάν που έχει αντίκτυπο στην ασφάλεια του προϊόντος, σε κάθε περίπτωση εντός 24 ωρών από τη στιγμή που τα αντιλαμβάνονται. Εν προκειμένω, η ΕΟΚΕ επισημαίνει ότι ο ENISA θα πρέπει να διαθέτει επαρκή ―ψηφιακά καθώς και σχετικά με την επαγγελματική ετοιμότητα― μέσα για να μπορεί να εκτελεί αποτελεσματικά τα συναφή και ευαίσθητα καθήκοντα που του ανατίθενται δυνάμει του κανονισμού.

3.7Το γεγονός ότι ορισμένα προϊόντα που εμπίπτουν στο πεδίο εφαρμογής της πρότασης υπόκεινται επίσης σε άλλες κανονιστικές διατάξεις περί κυβερνοασφάλειας θα μπορούσε να οδηγήσει σε αβεβαιότητα σχετικά με την εφαρμοστέα νομοθεσία. Μολονότι η Πράξη για την κυβερνοανθεκτικότητα προβλέπεται να είναι συνεπής με το ισχύον κανονιστικό πλαίσιο της ΕΕ για τα προϊόντα, καθώς και με άλλες προτάσεις που βρίσκονται επί του παρόντος σε εξέλιξη στο πλαίσιο της ψηφιακής στρατηγικής της ΕΕ, κανόνες όπως εκείνοι που διέπουν τα προϊόντα τεχνητής νοημοσύνης υψηλού κινδύνου, για παράδειγμα, αλληλεπικαλύπτονται με τους κανόνες του κανονισμού για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Επ’ αυτού, η ΕΟΚΕ προτείνει στην Ευρωπαϊκή Επιτροπή να χαράξει ενδεδειγμένες κατευθυντήριες γραμμές για την καθοδήγηση των κατασκευαστών και των καταναλωτών ως προς την ορθή εφαρμογής της τους.

3.8Η ΕΟΚΕ επισημαίνει ότι η σχέση μεταξύ των αρχών πιστοποίησης και τυχόν άλλων φορέων εξουσιοδοτημένων, κατά την έννοια της Πράξης για την κυβερνοανθεκτικότητα, να πιστοποιούν την ασφάλεια στον κυβερνοχώρο βάσει άλλων ―επίσης ισχυουσών― κανονιστικών ρυθμίσεων δεν είναι απολύτως σαφής.

3.9Συν τοις άλλοις, οι αρχές πιστοποίησης είναι επίσης επιφορτισμένες με μεγάλο μέρος των σχετικών καθηκόντων και ευθυνών, των οποίων η πρακτική λειτουργία πρέπει να επαληθεύεται και να διασφαλίζεται, προς αποφυγή της αύξησης, εξαιτίας της Πράξης για την κυβερνοανθεκτικότητα, των γραφειοκρατικών διατυπώσεων που πρέπει ήδη να φέρνουν εις πέρας οι παραγωγοί, για να μπορούν να δραστηριοποιούνται στην αγορά.

3.10Βάσει της Πράξης, οι αρχές πιστοποίησης οφείλουν να λαμβάνουν υπόψη τις ειδικές ανάγκες των μικρομεσαίων επιχειρήσεων όσον αφορά τις υπηρεσίες που παρέχουν οι εν λόγω αρχές. Ωστόσο, η ΕΟΚΕ επισημαίνει ότι είναι σκόπιμο να αποσαφηνιστούν τα εφαρμοστέα κριτήρια.

3.11Εξάλλου, πρόβλημα συντονισμού ενδέχεται να ανακύψει μεταξύ των εποπτικών αρχών που προβλέπονται από τον υπό εξέταση κανονισμό και των αρχών που δραστηριοποιούνται ήδη δυνάμει άλλης νομοθεσίας η οποία εφαρμόζεται στα ίδια προϊόντα. Ως εκ τούτου, η ΕΟΚΕ προτείνει στην Ευρωπαϊκή Επιτροπή να προτρέψει τα κράτη μέλη να εποπτεύουν και, εάν χρειάζεται, να λαμβάνουν μέτρα για την επίλυση αυτού του προβλήματος.

Βρυξέλλες, 10 Νοεμβρίου 2022

Alain Coheur

πρόεδρος του τμήματος «Ενιαία αγορά, παραγωγή και κατανάλωση»

_____________