1.Zaključci i preporuke

1.1EGSO pozdravlja prijedlog Komisije o donošenju Akta o kiberotpornosti (engl. Cyber Resilience Act, CRA) kojim se nastoje postaviti viši standardi kibersigurnosti, čime bi se stvorio pouzdan sustav za gospodarske subjekte i osigurala sigurna uporaba proizvoda na tržištu za građane EU-a. Riječ je o inicijativi koja je sastavni dio europske strategije za podatke i kojom se jača sigurnost podataka, uključujući osobne podatke, kao i temeljna prava, što su ključni zahtjevi našeg digitalnog društva.

1.2EGSO smatra nužnim ojačati zajednički odgovor na kibernapade i konsolidirati postupak usklađivanja u području kibersigurnosti na nacionalnoj razini u pogledu operativnih pravila i alata kako bi se izbjeglo da različiti nacionalni pristupi stvaraju pravne nesigurnosti i prepreke.

1.3EGSO pozdravlja inicijativu Komisije koja će ne samo doprinijeti smanjenju znatnih troškova za poduzeća uzrokovanih kibernapadima, već će i građanima/potrošačima omogućiti bolju zaštitu njihovih temeljnih prava kao što je privatnost. Konkretno, Komisija inicijativom pokazuje da uzima u obzir specifične potrebe MSP-ova pri pružanju usluga tijela za certificiranje. Međutim, EGSO ističe da je potrebno pojasniti kriterije za primjenu.

1.4EGSO smatra važnim naglasiti da, iako cijeni činjenicu da Akt o kiberotpornosti obuhvaća gotovo sve digitalne proizvode, u njegovoj praktičnoj primjeni mogli bi se pojaviti problemi s obzirom na opsežne i složene aktivnosti provjere i kontrole koje podrazumijeva. Stoga je potrebno ojačati alate za praćenje i provjeru.

1.5EGSO ističe da je potrebno detaljno pojasniti materijalno područje primjene Akta, s posebnim naglaskom na proizvodima s digitalnim elementima i softverom.

1.6EGSO napominje da će proizvođači biti obvezni prijaviti i slabosti proizvoda i sve potencijalne sigurnosne incidente, te o tome obavijestiti Agenciju Europske unije za kibersigurnost (ENISA). U tom je pogledu važno da se ENISA-i osiguraju potrebni resursi za pravovremeno i učinkovito izvršavanje relevantnih i osjetljivih zadaća koje će joj biti dodijeljene.

1.7Kako bi se izbjegla bilo kakva nesigurnost u tumačenju, EGSO predlaže Komisiji da izradi posebne smjernice za proizvođače i potrošače o konkretnim pravilima i postupcima koji se primjenjuju, s obzirom na to da se čini da niz proizvoda obuhvaćenih područjem primjene Prijedloga uredbe podliježe i drugim propisima o kibersigurnosti. U tom bi pogledu također bilo važno da osobito MSP-ovi te mikropoduzeća i MSP-ovi imaju pristup kvalificiranoj stručnoj potpori koja može pružati određene profesionalne usluge.

1.8EGSO napominje da odnos između tijela za certificiranje iz Akta o kiberotpornosti i drugih tijela ovlaštenih za certificiranje u pogledu kibersigurnosti u skladu s drugim propisima nije sasvim jasan. Isti problem operativne koordinacije mogao bi nastati i između nadzornih tijela predviđenih Prijedlogom i onih koja već djeluju na temelju drugih propisa koji se primjenjuju na iste proizvode.

1.9EGSO napominje da se Prijedlogom predviđaju opsežne aktivnosti i odgovornosti za tijela za certificiranje kojima se mora osigurati operativnost u praksi. Time bi se također spriječilo da Akt o kiberotpornosti dovede do povećanja birokratskog opterećenja, čime bi se penalizirali proizvođači koji će morati ispuniti niz dodatnih zahtjeva za certifikaciju kako bi mogli nastaviti poslovati na tržištu.

2.Analiza prijedloga

2.1Prijedlogom Akta o kiberotpornosti Komisija namjerava na sveobuhvatan i horizontalan način racionalizirati i preoblikovati postojeće zakonodavstvo o kibersigurnosti i istovremeno ga ažurirati s obzirom na nove tehnološke inovacije.

2.2U Aktu se u osnovi postavljaju četiri cilja: osigurati da proizvođači poboljšaju sigurnost proizvoda koji imaju digitalne elemente u fazi projektiranja i razvoja kao i tijekom njihova životnog ciklusa; osigurati ujednačen okvir pravila o kibersigurnosti, čime bi se proizvođačima hardvera i softvera olakšala usklađenost; poboljšati transparentnost sigurnosnih značajki proizvoda s digitalnim elementima; poduzećima i potrošačima omogućiti sigurnu uporabu tih proizvoda. Konkretno, Prijedlogom se uvodi oznaka CE za kibersigurnost zahtjevom da se ta oznaka stavi na sve proizvode obuhvaćene Aktom.

2.3Riječ je o horizontalnoj mjeri kojom Komisija namjerava sveobuhvatno regulirati cijelo predmetno područje jer obuhvaća gotovo sve proizvode s digitalnim komponentama. Isključeni su samo medicinski proizvodi i proizvodi koji se koriste u civilnom zrakoplovstvu, vozila i proizvode koji se upotrebljavaju u vojne svrhe. Nadalje, prijedlogom nisu obuhvaćene usluge tipa SaaS (usluge u oblaku), osim ako se upotrebljavaju za izradu proizvoda s digitalnim elementima.

2.4Definicija „proizvoda s digitalnim elementima” vrlo je široka i obuhvaća sve softverske ili hardverske proizvode, kao i softver ili hardver koji nije ugrađen u proizvod nego se zasebno stavlja na tržište.

2.5Prijedlogom uredbe uvode se obvezni kibersigurnosni zahtjevi za proizvode koji imaju digitalne komponente tijekom cijelog životnog ciklusa, ali se njome ne zamjenjuje postojeće zakonodavstvo. Štoviše, proizvodi koji su već certificirani i u skladu su s postojećim standardima EU-a također će se smatrati „važećima” u skladu s novom uredbom.

2.6Osnovno opće načelo jest da se u Europi na tržište stavljaju samo „sigurni” proizvodi čiji se proizvođači ponašaju tako da ti proizvodi ostanu sigurni tijekom cijelog životnog ciklusa.

2.7Proizvod se smatra „sigurnim” ako je dizajniran i proizveden tako da ima odgovarajuću razinu sigurnosti s obzirom na kiberrizike koje podrazumijeva njegova uporaba, ako u trenutku prodaje nema poznatih slabih točaka, ako ima sigurnu zadanu konfiguraciju, ako je zaštićen od nezakonitih veza, ako štiti privatnost podataka koje prikuplja i ako prikuplja samo one podatke koji služe njegovu funkcioniranju.

2.8Smatra se da je proizvođač sposoban za stavljanje svojih proizvoda na tržište ako stavlja na raspolaganje popis raznih softverskih komponenti svojih proizvoda, bez odgađanja izdaje besplatne korektivne mjere u slučaju novih slabih točaka, objavljuje i detaljno navodi slabosti koje otkrije i otklanja te redovito provjerava otpornost proizvoda koje stavlja na tržište. Te i druge aktivnosti koje bi se uvele Aktom o kiberotpornosti moraju se provoditi tijekom cijelog životnog vijeka proizvoda ili najmanje pet godina nakon njegova stavljanja na tržište. Proizvođač mora osigurati uklanjanje slabih točaka redovitim ažuriranjem softvera.

2.9U skladu s općim načelom koje se primjenjuje u raznim sektorima, te obveze vrijede i za uvoznike i distributere.

2.10Aktom o kiberotpornosti predviđa se makrokategorija takozvanih „uobičajenih” proizvoda i softvera za koje se može računati na samoprocjenu proizvođača, kao što je već slučaj s drugim vrstama certifikata s oznakom CE. Prema podacima Komisije 90 % proizvoda na tržištu ulazi u tu kategoriju.

2.11Dotični proizvodi mogu se staviti na tržište nakon što proizvođač, koji mora dostaviti odgovarajuću dokumentaciju kako je utvrđeno u smjernicama Prijedloga uredbe, provede samoprocjenu njihove kibersigurnosti. Proizvođač mora ponoviti procjenu ako je proizvod izmijenjen.

2.12Preostalih 10 % proizvoda podijeljeno je u druge dvije kategorije (razred I., manje opasni i razred II., opasniji) čijem je stavljanju na tržište potrebno posvetiti veću pozornost. To su takozvani „ključni proizvodi s digitalnim elementima” čija neispravnost može dovesti do drugih opasnih i širih povreda sigurnosti.

2.13Za proizvode iz tih dvaju razreda osnovno je samocertificiranje prihvatljivo samo ako proizvođač dokaže da je poštovao posebne tržišne norme i sigurnosne specifikacije ili kibersigurnosne certifikacije koje je EU već predvidio. Ako to nije slučaj, može dobiti certifikaciju proizvoda od akreditiranog certifikacijskog tijela čija je potvrda obvezna za proizvode II. klase.

2.14I predložena uredba o umjetnoj inteligenciji sadrži sustav razvrstavanja proizvoda u kategorije rizika. Kako bi se izbjegle dvojbe u pogledu primjenjivih odredbi, u Aktu o kiberotpornosti razmatraju se i proizvodi s digitalnim elementima koji su istodobno klasificirani kao „visokorizični sustavi umjetne inteligencije” u skladu s Prijedlogom uredbe o umjetnoj inteligenciji. Takvi će proizvodi općenito morati biti u skladu s postupkom ocjenjivanja sukladnosti utvrđenim u Uredbi o umjetnoj inteligenciji, s iznimkom „ključnih digitalnih proizvoda” na koje će se uz „osnovne zahtjeve iz Akta o kiberotpornosti” primjenjivati pravila o ocjenjivanju sukladnosti iz tog akta.

2.15Kako bi se osigurala usklađenost s Aktom o kiberotpornosti predviđeno je provođenje aktivnosti nadzora koje svaka država članica treba povjeriti nadležnom nacionalnom tijelu. U skladu s propisima o sigurnosti drugih proizvoda, ako nacionalno tijelo utvrdi da nedostaju kibersigurnosne značajke određenog proizvoda, njegovo stavljanje na tržište u toj državi može se obustaviti. ENISA je nadležna za detaljnu procjenu prijavljenog proizvoda, a njezine procjene u slučaju utvrđene nesigurnosti proizvoda mogu dovesti do obustave njegova stavljanja na tržište u EU-u.

2.16Sustav sankcioniranja iz Akta o kiberotpornosti zajamčen je nizom sankcija – razmjernih težini povrede – koje u slučaju povrede osnovnih zahtjeva za kibersigurnost proizvoda mogu iznositi do 15 milijuna EUR ili 2,5 % prometa iz prethodne porezne godine.

3.Napomene

3.1EGSO pozdravlja inicijativu Komisije da se Aktom o kiberotpornosti u područje šireg regulatornog pitanja u području kibersigurnosti uključi ključan element, u skladu s direktivom NIS i kao dopuna Akta o kibersigurnosti. Visoki kibersigurnosni standardi imaju ključnu ulogu u stvaranju čvrstog sustava kibersigurnosti EU-a za sve gospodarske subjekte i njima se osigurava sigurna uporaba svih proizvoda na tržištu za građane EU-a i jača njihovo povjerenje u digitalni svijet.

3.2Uredba se stoga bavi dvama pitanjima: niskom razinom kibersigurnosti mnogih proizvoda i, prije svega, činjenicom da mnogi proizvođači ne pružaju ažuriranja kako bi uklonili slabosti. Nedovoljna sigurnost proizvoda koji sadrže digitalne elemente ponekad nanosi štetu ugledu njihovih proizvođača, ali većinu troškova zbog tih slabosti uglavnom snose profesionalni korisnici i potrošači. Time se ograničavaju poticaji za proizvođače da ulažu u projektiranje i razvoj sigurnih proizvoda i da pružaju sigurnosna ažuriranja. Osim toga, poduzećima i potrošačima često nedostaju dostatne i točne informacije na temelju kojih bi odabrali sigurne proizvode i često ne znaju kako provjeriti jesu li proizvodi koje kupuju konfigurirani na siguran način. Novim se pravilima ta dva problema nastoje otkloniti rješavanjem pitanja ažuriranja i pružanja ažuriranih informacija kupcima. EGSO smatra da bi u tom smislu predložena uredba, ako se bude ispravno primjenjivala, mogla postati međunarodno mjerilo i model u području kibersigurnosti.

3.3EGSO pozdravlja prijedlog za uvođenje zahtjeva za informatičku sigurnost za proizvode s digitalnim elementima. Međutim, bit će važno izbjeći preklapanja s drugim relevantnim važećim zakonodavstvom, kao što su nova Direktiva NIS 2 i Uredba o umjetnoj inteligenciji.

3.4EGSO smatra važnim naglasiti da, iako cijenimo činjenicu da Akt o kiberotpornosti obuhvaća gotovo sve digitalne proizvode, u njegovoj praktičnoj primjeni mogli bi se pojaviti problemi s obzirom na opsežne aktivnosti provjere i kontrole koje podrazumijeva.

3.5Materijalno područje primjene Akta o kiberotpornosti široko je i obuhvaća sve proizvode s digitalnim elementima. U skladu s predloženom definicijom obuhvaćeni su svi softverski i hardverski proizvodi i povezani postupci obrade podataka. EGSO predlaže Komisiji da pojasni je li sav softver obuhvaćen područjem primjene Prijedloga uredbe.

3.6Proizvođači će biti obvezni prijaviti slabe točke koje se aktivno iskorištavaju, kao i sigurnosne incidente. Morat će obavijestiti ENISA-u o svim slabim točkama proizvoda koje se aktivno iskorištavaju i (odvojeno) o svakom incidentu koji utječe na sigurnost proizvoda, u svakom slučaju u roku od 24 sata od saznanja o tome. U tom pogledu EGSO ističe potrebu da se ENISA-i osigura odgovarajuća razina financijskih sredstava i stručne pripreme kako bi mogla učinkovito obavljati relevantne i osjetljive zadaće koje će joj biti povjerene na temelju Uredbe.

3.7Činjenica da niz proizvoda obuhvaćenih područjem primjene Prijedloga podliježe i drugim propisima o kibersigurnosti mogla bi dovesti do nesigurnosti u pogledu primjenjivog zakonodavstva. Iako je predviđeno da će Akt o kiberotpornosti biti usklađen s postojećim regulatornim okvirom EU-a koji se odnosi na dotične proizvode i drugim prijedlozima koji su trenutačno u tijeku u kontekstu digitalne strategije EU-a, pravila poput onih za visokorizične proizvode umjetne inteligencije preklapaju se s onima utvrđenima u Uredbi o zaštiti podataka. U tom pogledu EGSO predlaže Komisiji da izradi posebne smjernice za proizvođače i potrošače za njegovu ispravnu primjenu.

3.8EGSO napominje da odnos između tijela za certificiranje iz Akta o kiberotpornosti i mogućih drugih tijela ovlaštenih za certificiranje u pogledu kibersigurnosti u skladu s drugim jednako primjenjivim propisima nije sasvim jasan.

3.9Osim toga, tijela za certificiranje imaju znatno radno opterećenje i odgovornost te im se mora osigurati operativnost u praksi kako bi se spriječilo da se Aktom o kiberotpornosti poveća već predviđeno birokratsko opterećenje na štetu proizvođača da bi mogli nastaviti poslovati na tržištu. U tom bi pogledu također bilo važno da osobito MSP-ovi te mikropoduzeća i MSP-ovi imaju pristup kvalificiranoj stručnoj potpori koja može pružati određene profesionalne usluge.

3.10Konkretno, Akt o kiberotpornosti pokazuje da tijela za certificiranje pri pružanju svojih usluga uzimaju u obzir specifične potrebe MSP-ova. Međutim, EGSO ističe da je potrebno pojasniti kriterije za primjenu.

3.11Usto, problem koordinacije može nastati između nadzornih tijela predviđenih Uredbom i onih koja već djeluju na temelju drugih propisa primjenjivih na iste proizvode. EGSO stoga predlaže da Komisija pozove države članice da prate tu situaciju i, ako je potrebno, poduzmu mjere kako bi se to ispravilo.

Bruxelles, 14. prosinca 2022.

Christa SCHWENG

Predsjednica Europskog gospodarskog i socijalnog odbora

_____________