Europos ekonomikos ir socialinių reikalų komiteto nuomonė dėl Pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl horizontaliųjų kibernetinio saugumo reikalavimų, keliamų skaitmeninių elementų turintiems produktams, kuriuo iš dalies keičiamas Reglamentas (ES) 2019/1020

(COM(2022) 454 final – 2022/0272 (COD))

(2023/C 100/15)

Pranešėjas	Maurizio MENSI
Bendrapranešėjis	Marinel Dănuț MURESAN

Prašymas pateikti nuomonę	Europos Parlamentas, 2022 11 9 Europos Sąjungos Taryba, 2022 10 28
Teisinis pagrindas	Sutarties dėl Europos Sąjungos veikimo 114 straipsnis
Atsakingas skyrius	Bendrosios rinkos, gamybos ir vartojimo
Priimta skyriuje	2022 11 10
Priėmimas plenarinėje sesijoje	2022 12 14
Plenarinė sesija Nr.	574
Balsavimo rezultatai (už / prieš / susilaikė)	177 / 0 / 0

1.   Išvados ir rekomendacijos

1.1.

EESRK palankiai vertina Komisijos pasiūlymą dėl Kibernetinio atsparumo akto (angl. Cyber Resilience Act, CRA), kuriuo siekiama nustatyti aukštesnius kibernetinio saugumo standartus, sukurti patikimą sistemą ekonominės veiklos vykdytojams ir užtikrinti saugų gaminių naudojimą rinkoje ES piliečiams. Ši iniciatyva yra Europos duomenų strategijos, kuria didinamas duomenų, įskaitant asmens duomenis, saugumas ir pagrindinės teisės, t. y. esminiai mūsų skaitmeninės visuomenės reikalavimai, dalis.

1.2.

EESRK mano, kad labai svarbu stiprinti kolektyvinį atsaką į kibernetinius išpuolius ir konsoliduoti kibernetinio saugumo veiklos taisyklių ir priemonių derinimo procesą nacionaliniu lygmeniu, siekiant išvengti, kad dėl skirtingo nacionalinio požiūrio neatsirastų teisinio netikrumo ir kliūčių.

1.3.

EESRK palankiai vertina Komisijos iniciatyvą, kuri ne tik padės sumažinti dėl kibernetinių išpuolių įmonių patiriamas dideles išlaidas, bet ir sudarys sąlygas piliečiams ir (arba) vartotojams geriau apsaugoti savo pagrindines teises, pavyzdžiui, privatumą. Visų pirma Komisija nori parodyti, kad sertifikavimo institucijoms teikiant paslaugas atsižvelgiama į konkrečius MVĮ poreikius; vis dėlto EESRK atkreipia dėmesį į tai, kad reikia patikslinti taikymo kriterijus.

1.4.

EESRK manymu, svarbu pabrėžti, kad, nors Kibernetinio atsparumo aktas apima beveik visus skaitmeninius produktus (ir tai reikėtų vertinti palankiai), jį taikant praktiškai gali kilti problemų, nes susijusios tikrinimo ir kontrolės veiklos yra daug ir ji sudėtinga. Todėl reikia stiprinti stebėsenos ir tikrinimo priemones.

1.5.

EESRK pažymi, kad reikia tiksliai paaiškinti materialinę Kibernetinio atsparumo akto taikymo sritį, ypatingą dėmesį skiriant skaitmeninių elementų turintiems produktams ir programinei įrangai.

1.6.

EESRK pažymi, kad gamintojai privalės pranešti, viena vertus, apie produktų pažeidžiamumą ir, kita vertus, apie visus galimus saugumo incidentus, informuodami Europos Sąjungos kibernetinio saugumo agentūrą (ENISA). Todėl svarbu, kad šiai agentūrai būtų suteikti reikiami ištekliai, kad ji galėtų laiku ir veiksmingai vykdyti jai pavedamas atitinkamas svarbias užduotis.

1.7.

Siekiant išvengti bet kokio netikrumo dėl aiškinimo, EESRK siūlo Komisijai parengti atitinkamas gaires, kurios padėtų gamintojams ir vartotojams nustatyti konkrečias taikytinas taisykles ir procedūras, nes atrodo, kad kai kuriems į pasiūlymo taikymo sritį patenkantiems produktams taikomi ir kiti kibernetinio saugumo teisės aktai. Šiuo požiūriu taip pat būtų svarbu, kad visų pirma MVĮ ir labai mažos, mažosios ir vidutinės įmonės turėtų galimybę gauti kvalifikuotą ekspertų pagalbą, kuri įgalintų jas teikti konkrečias profesines paslaugas.

1.8.

EESRK pažymi, kad santykiai tarp sertifikavimo institucijų pagal Kibernetinio atsparumo aktą ir kitų įstaigų, įgaliotų sertifikuoti kibernetinį saugumą pagal kitus teisės aktus, nėra visiškai aiškūs. Tokia pati veiklos koordinavimo problema gali kilti ir tarp šiame pasiūlyme numatytų priežiūros institucijų ir institucijų, kurios jau veikia pagal kitus tiems patiems produktams taikomus teisės aktus.

1.9.

EESRK atkreipia dėmesį į tai, kad pasiūlyme numatyta daug veiklos ir atsakomybės sričių sertifikavimo institucijoms, todėl turi būti užtikrintas praktinis jų veikimas. Tai be kita ko būtina ir siekiant, kad dėl Kibernetinio atsparumo akto nepadidėtų biurokratinė našta ir nenukentėtų gamintojai, kurie turės laikytis papildomų sertifikavimo reikalavimų, kad galėtų toliau veikti rinkoje.

2.   Pasiūlymo analizė

2.1.

Pasiūlymu dėl Kibernetinio atsparumo akto Komisija siekia visapusiškai ir horizontaliai peržiūrėti ir racionalizuoti dabartinius kibernetinio saugumo teisės aktus ir kartu juos atnaujinti atsižvelgiant į naujas technologines inovacijas.

2.2.

Kibernetinio atsparumo aktu iš esmės siekiama keturių tikslų: užtikrinti, kad gamintojai padidintų skaitmeninių elementų turinčių produktų saugumą nuo projektavimo ir kūrimo etapo ir per visą gyvavimo ciklą; užtikrinti nuoseklią kibernetinio saugumo sistemą, palengvinančią aparatinės ir programinės įrangos gamintojų reikalavimų laikymąsi; padidinti skaitmeninių elementų turinčių produktų saugumo savybių skaidrumą ir sudaryti sąlygas įmonėms ir vartotojams saugiai naudoti skaitmeninių elementų turinčius produktus. Iš esmės pasiūlymu įvedamas CE kibernetinio saugumo ženklas, pagal kurį reikalaujama, kad šiuo atitikties ženklu būtų ženklinami visi produktai, kuriems taikomas Kibernetinio atsparumo aktas.

2.3.

Tai horizontalioji priemonė, kuria Komisija ketina nuosekliai reglamentuoti visą sritį, nes ji apima beveik visus skaitmeninių elementų turinčius produktus. Šis aktas netaikomas tik medicininio pobūdžio gaminiams, su civiline aviacija susijusiems gaminiams, transporto priemonėms ir kariniams tikslams skirtiems gaminiams. Be to, pasiūlymas netaikomas SaaS (paslauginė programinė įranga) tipo paslaugoms (debesija), išskyrus atvejus, kai jos naudojamos skaitmeninių elementų turintiems produktams kurti.

2.4.

„Skaitmeninių elementų turinčių produktų“ apibrėžtis yra labai plati ir apima bet kokią programinę ar aparatinę įrangą, įskaitant programinę ar aparatinę įrangą, kuri nėra įtraukta į gaminį ir pateikiama rinkai atskirai.

2.5.

Teisės aktais nustatomi privalomi kibernetinio saugumo reikalavimai skaitmeninių elementų turintiems produktams per visą jų gyvavimo ciklą, tačiau jie nepakeičia jau taikomų reikalavimų. Priešingai – produktai, kurie jau buvo sertifikuoti kaip atitinkantys anksčiau galiojusius ES standartus, pagal naująjį reglamentą taip pat bus laikomi galiojančiais.

2.6.

Pagrindinis bendrasis principas yra tas, kad į Europos rinką pateikiami tik „saugūs“ gaminiai, o jų gamintojai užtikrina, kad šie gaminiai išliktų saugūs per visą savo gyvavimo ciklą.

2.7.

Gaminys laikomas „saugiu“, jeigu, be kita ko, jis suprojektuotas ir pagamintas taip, kad jo saugumo lygis atitiktų kibernetinę riziką, kurią kelia jo naudojimas, pardavimo metu jis neturi žinomų pažeidžiamumo spragų, pristatomas su saugia numatytąja konfigūracija, yra apsaugotas nuo neteisėtos prieigos, apsaugo surinktus duomenis ir užtikrina, kad renkami tik tie duomenys, kurių reikia jo veikimui.

2.8.

Gamintojas laikomas tinkamu pateikti savo produktus rinkai, jei jis pateikia įvairių savo gaminių programinės įrangos komponentų sąrašą, greitai nustato nemokamas taisomąsias priemones naujų pažeidžiamumų atveju, viešai paskelbia ir išsamiai nurodo pažeidžiamumus, kuriuos aptinka ir pašalina, ir reguliariai tikrina produktų, kuriuos pateikia rinkai, patvarumą. Ši ir kita pagal Kibernetinio atsparumo aktą nustatyta veikla turi būti vykdoma visą gaminio gyvavimo laikotarpį arba bent penkerius metus nuo jo pateikimo rinkai. Gamintojas privalo užtikrinti, kad pažeidžiamumas būtų pašalintas reguliariai atnaujinant programinę įrangą.

2.9.

Pagal įvairiuose sektoriuose taikomą bendrąjį principą pareigos tenka ir importuotojams bei platintojams.

2.10.

Kibernetinio atsparumo akte numatyta vadinamųjų „įprastų“ produktų ir programinės įrangos makrokategorija, kuria galima pasitikėti remiantis paties gamintojo atlikti vertinimu, kaip jau yra kitų rūšių CE ženklo sertifikavimo atveju. Komisijos teigimu, šiai kategorijai priklauso 90 % rinkoje esančių produktų.

2.11.

Minėti produktai gali būti pateikiami rinkai po to, kai gamintojas, pateikęs atitinkamus dokumentus, kaip nustatyta teisės aktų gairėse, pats įvertina jų kibernetinį saugumą. Tas pats gamintojas turi pakartoti vertinimą, jei produktas pakeičiamas.

2.12.

Likę 10 % gaminių skirstomi į kitas dvi kategorijas (I klasė, mažiau pavojinga ir II klasė, pavojingesnė), kurioms reikia skirti daugiau dėmesio pateikiant rinkai. Tai vadinamieji „ypatingos svarbos skaitmeninių elementų turintys produktai“, kurių trūkumai gali lemti kitus pavojingus ir didesnius saugumo pažeidimus.

2.13.

Šių dviejų klasių gaminių bazinis gamintojo įvertinimas yra leidžiamas tik tuo atveju, jei gamintojas įrodo, kad jis laikėsi konkrečių rinkos standartų ir saugumo specifikacijų arba kibernetinio saugumo sertifikavimo, kuriuos jau yra numačiusi ES. Kitais atvejais gaminio sertifikatą gamintojui gali išduoti akredituotos atitikties vertinimo įstaigos, kurių patvirtinimas yra privalomas II klasės produktams.

2.14.

Produktų klasifikavimo į rizikos kategorijas sistema taip pat įtraukta į pasiūlymą dėl Dirbtinio intelekto (DI) reglamento. Siekiant išvengti abejonių dėl taikytinų nuostatų, Kibernetinio atsparumo akte atsižvelgiama į produktus su skaitmeniniais elementais, kurie tuo pat metu pasiūlyme dėl Dirbtinio intelekto reglamento priskirti didelės rizikos DI sistemoms. Tokiems produktams paprastai turėtų būti taikoma Dirbtinio intelekto reglamente nustatyta atitikties vertinimo procedūra, išskyrus ypatingos svarbos skaitmeninių elementų turinčius produktus, kuriems be esminių Kibernetinio atsparumo akto reikalavimų bus taikomos šio akto atitikties vertinimo taisyklės.

2.15.

Siekiant užtikrinti, kad būtų laikomasi Kibernetinio atsparumo akto, visos valstybės narės turi pavesti priežiūros veiklą nacionalinei institucijai. Pagal teisės aktus dėl kitų gaminių saugos, jei nacionalinė institucija nustato, kad produkto kibernetinio saugumo savybės nebegalioja, jis gali būti pašalintas iš atitinkamos valstybės rinkos. ENISA yra kompetentinga išsamiai įvertinti produktą, apie kurį pranešta, o nustačius, kad produktas yra nesaugus, jis gali būti pašalintas iš ES rinkos.

2.16.

Kibernetinio atsparumo akto sankcijų sistema užtikrinama keletu sankcijų, atitinkančių pažeidimo sunkumą, kurios, pažeidus esminius produktų kibernetinio saugumo reikalavimus, gali siekti iki 15 mln. EUR arba 2,5 % praėjusių finansinių metų apyvartos.

3.   Pastabos

3.1.

EESRK palankiai vertina Komisijos iniciatyvą, kuria siekiama į platesnį kibernetinio saugumo teisės aktų rinkinį įtraukti svarbų elementą, iniciatyvą derinant su Kibernetinio saugumo (TIS) direktyva (1) ir ją papildant, taip pat papildant Kibernetinio saugumo aktą (2). Aukšti kibernetinio saugumo standartai iš tiesų atlieka nepaprastai svarbų vaidmenį kuriant patikimą ES kibernetinio saugumo sistemą visiems ekonominės veiklos vykdytojams, kuri padės užtikrinti ES piliečiams saugų visų rinkoje esančių produktų naudojimą ir padidins jų pasitikėjimą skaitmeniniu pasauliu.

3.2.

Todėl reglamente nagrinėjami du klausimai: žemas daugelio produktų kibernetinio saugumo lygis ir, svarbiausia, tai, kad daugelis gamintojų neatnaujina gaminių, kad pašalintų pažeidžiamumą. Kartais, kai produktai yra nepakankamai saugūs, nukenčia skaitmeninių elementų turinčių produktų gamintojų reputacija, tačiau su pažeidžiamumu susijusias išlaidas dažniausiai patiria profesionalūs naudotojai ir vartotojai. Tai mažiau skatina gamintojus investuoti į saugių produktų projektavimą ir kūrimą ir teikti saugumo naujinius. Be to, įmonėms ir vartotojams dažnai trūksta pakankamos ir tikslios informacijos apie saugių produktų pasirinkimą ir dažnai jie nežino, kaip įsitikinti, kad jų perkami produktai yra saugiai sukonfigūruoti. Naujosiose taisyklėse šie du aspektai nagrinėjami sprendžiant atnaujinimo ir naujausios informacijos teikimo klientams klausimą. EESRK mano, kad šiuo požiūriu siūlomas reglamentas, jei tinkamai taikomas, galėtų tapti tarptautiniu kibernetinio saugumo lyginamuoju standartu ir modeliu.

3.3.

EESRK palankiai vertina pasiūlymą, kuriuo nustatomi kibernetinio saugumo reikalavimai skaitmeninių elementų turintiems produktams. Tačiau bus svarbu vengti dubliavimosi su kitais šiuo klausimu galiojančiais teisės aktais, pavyzdžiui, su naująja TIS 2 direktyva (3) ir DI reglamentu.

3.4.

EESRK manymu, svarbu pabrėžti, kad, nors Kibernetinio atsparumo aktas apima beveik visus skaitmeninius produktus (ir tai reikėtų vertinti palankiai), jį taikant praktiškai gali kilti problemų, nes susijusios tikrinimo ir kontrolės veiklos yra daug ir ji sudėtinga.

3.5.

Materialinė Kibernetinio atsparumo akto taikymo sritis yra plati ir apima visus skaitmeninių elementų turinčius produktus. Pagal siūlomą apibrėžtį apimami visi programinės ir aparatinės įrangos produktai ir susijusios duomenų apdorojimo operacijos. EESRK siūlo Komisijai paaiškinti, ar pasiūlymas dėl reglamento taikomas visai programinei įrangai.

3.6.

Gamintojai privalės pranešti apie aktyviai išnaudojamus pažeidžiamumus ir saugumo incidentus. Jie turės informuoti Europos kibernetinio saugumo agentūrą (ENISA) apie visus aktyviai išnaudojamus gaminio pažeidžiamumus, esančius produktuose, ir (atskirai) apie visus incidentus, darančius poveikį produktų saugumui, bet kuriuo atveju per 24 valandas nuo to momento, kai apie tai sužino. Šiuo požiūriu EESRK atkreipia dėmesį į būtinybę agentūrai ENISA skirti pakankamai išteklių skaitmeninei sričiai ir profesionaliam pasirengimui, kad ji galėtų veiksmingai vykdyti atitinkamas pagal reglamentą jai pavedamas svarbias užduotis.

3.7.

Kadangi kai kuriems į pasiūlymo taikymo sritį patenkantiems produktams taikomos ir kitos kibernetinio saugumo reguliavimo nuostatos, gali kilti neaiškumų dėl taikytinų teisės aktų. Nors Kibernetinio atsparumo aktas parengtas taip, kad derėtų su dabartine ES produktų reglamentavimo sistema ir kitais pagal ES skaitmeninę strategiją šiuo metu rengiamais pasiūlymais, tokios taisyklės, pavyzdžiui, dėl didelės rizikos dirbtinio intelekto produktų, yra susijusios su taisyklėmis, nustatytomis Duomenų apsaugos reglamente. Todėl EESRK siūlo Komisijai parengti gaires, kurios padėtų gamintojams ir vartotojams teisingai jį taikyti.

3.8.

EESRK pažymi, kad santykiai tarp sertifikavimo institucijų pagal Kibernetinio atsparumo aktą ir kitų galimų įstaigų, įgaliotų sertifikuoti kibernetinį saugumą pagal kitus teisės aktus, nėra visiškai aiškūs.

3.9.

Didelė veiklos ir atsakomybės našta tenka pačioms sertifikavimo institucijoms, kurių praktinis veikimas turi būti patikrintas siekiant užtikrinti, kad dėl Kibernetinio atsparumo akto nepadidėtų rinkoje veikiantiems gamintojams jau tenkanti biurokratinė našta. Šiuo požiūriu taip pat būtų svarbu, kad visų pirma MVĮ ir labai mažos, mažosios ir vidutinės įmonės turėtų galimybę gauti kvalifikuotą ekspertų pagalbą, kuri įgalintų jas teikti konkrečias profesines paslaugas.

3.10.

Kibernetinio atsparumo akte numatyta, kad sertifikavimo institucijos teikdamos sertifikavimo institucijų užtikrinamas paslaugas turi atsižvelgti į konkrečius MVĮ poreikius; vis dėlto EESRK atkreipia dėmesį į tai, kad reikia patikslinti taikymo kriterijus.

3.11.

Be to, koordinavimo problema gali kilti tarp šiame reglamente numatytų priežiūros institucijų ir tų, kurios jau veikia pagal kitus tiems patiems produktams taikytinus teisės aktus. Todėl EESRK siūlo Komisijai paraginti valstybes nares stebėti ir, prireikus, imtis veiksmų šiai problemai spręsti.

---

(1)  2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (OL L 194, 2016 7 19, p. 1).

(2)  2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (OL L 151, 2019 6 7, p. 15).

(3)  2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80).