|
ATZINUMS
|
|
Eiropas Ekonomikas un sociālo lietu komiteja
|
|
Kibernoturības akts
|
|
_____________
|
|
Priekšlikums Eiropas Parlamenta un Padomes regulai par horizontālām kiberdrošības prasībām produktiem ar digitāliem elementiem un ar ko groza Regulu (ES) 2019/1020
[COM(2022) 454 final – 2022/0272 (COD)]
|
|
|
|
INT/999
|
|
|
|
Ziņotājs: Maurizio MENSI
|
|
Līdzziņotājs: Marinel Dănuț MUREŞAN
|
|
Atzinuma pieprasījums
|
Eiropas Parlaments, 09/11/2022
Eiropas Savienības Padome, 28/10/2022
|
|
Juridiskais pamats
|
Līguma par Eiropas Savienības darbību 114. pants
|
|
Atbildīgā specializētā nodaļa
|
Vienotā tirgus, ražošanas un patēriņa specializētā nodaļa
|
|
Pieņemts specializētās nodaļas sanāksmē
|
10/11/2022
|
|
Pieņemts plenārsesijā
|
14/12/2022
|
|
Plenārsesija Nr.
|
574
|
|
Balsojuma rezultāts
(par / pret / atturas)
|
177/0/0
|
1.Secinājumi un ieteikumi
1.1.EESK atzinīgi vērtē Komisijas priekšlikumu Kibernoturības aktam (KNA), ar ko paredzēts noteikt augstākus kiberdrošības standartus, kas ļautu izveidot uzticamu sistēmu ekonomikas dalībniekiem un nodrošināt ES iedzīvotājiem tirgū laisto produktu drošu izmantošanu. Tā ir iniciatīva, kas ietilpst Eiropas Datu stratēģijā, kas stiprina datu, tostarp persondatu, drošību un pamattiesības, kas ir būtiskas prasības mūsu digitālajā sabiedrībā.
1.2.EESK uzskata, ka ir svarīgi pastiprināt kolektīvo atbildi uz kiberuzbrukumiem un konsolidēt kiberdrošības jautājumu saskaņošanas procesu valstu līmenī attiecībā uz darbības noteikumiem un instrumentiem, lai nepieļautu, ka atšķirīgas valstu pieejas rada juridisku nenoteiktību un šķēršļus.
1.3.EESK atzinīgi vērtē Komisijas iniciatīvu, kas ne tikai palīdzēs samazināt ievērojamās izmaksas, ko uzņēmumiem rada kiberuzbrukumi, bet arī ļaus iedzīvotājiem/patērētājiem gūt labumu no viņu pamattiesību, piemēram, privātuma, labākas aizsardzības. Konkrēti, Komisija parāda, ka tā ņem vērā MVU īpašās prasības attiecībā uz sertifikācijas iestāžu sniegtajiem pakalpojumiem, taču EESK norāda, ka jāprecizē šajā saistībā piemērojamie kritēriji.
1.4.EESK vēlas uzsvērt: lai gan, no vienas puses, ir apsveicami, ka KNA aptver gandrīz visus digitālos produktus, no otras puses, KNA praktiskā piemērošana varētu būt problemātiska, ņemot vērā ar to saistīto ievērojamo un sarežģīto uzraudzību un kontroli. Tādēļ ir jāpilnveido uzraudzības un pārbaudes instrumenti.
1.5.EESK norāda, ka ir precīzi jānosaka KNA materiālās piemērošanas joma, īpaši attiecībā uz produktiem ar digitāliem elementiem un programmatūru.
1.6.EESK norāda, ka ražotājiem būs pienākums ziņot, pirmkārt, par produktu ievainojamībām un, otrkārt, par eventuālajiem drošības incidentiem, informējot Eiropas Savienības Kiberdrošības aģentūru (ENISA). Šajā sakarā svarīgi ir minētajai aģentūrai piešķirt nepieciešamos resursus, kas ļautu precīzi un efektīvi veikt tai uzticētos svarīgos un sensitīvos uzdevumus.
1.7.Lai izvairītos no neskaidrībām par interpretāciju, EESK iesaka Komisijai izstrādāt atbilstīgas vadlīnijas, kas ražotājiem un patērētājiem ļautu orientēties uz praksē piemērojamajiem noteikumiem un procedūrām, jo šķiet, ka uz vairākiem produktiem, kas ietilpst priekšlikuma darbības jomā, attiecas arī citi tiesību akti par kiberdrošību. Šajā saistībā būtu arī svarīgi, lai it īpaši MVU un MMVU būtu pieejams atbalsts, ko sniedz kvalificēti eksperti, kuri spēj sniegt specifiskus profesionālos pakalpojumus.
1.8.EESK atzīmē, ka nav pilnīgi skaidras attiecības starp sertifikācijas iestādēm KNA izpratnē un citām struktūrām, kas ir pilnvarotas sertificēt kiberdrošību saskaņā ar citiem tiesību aktiem. Tāda pati operatīvās koordinācijas problēma var rasties arī starp izskatāmajā priekšlikumā paredzētajām uzraudzības iestādēm un iestādēm, kas jau darbojas saskaņā ar citiem tiesību aktiem, kurus piemēro tiem pašiem produktiem.
1.9.EESK norāda, ka saskaņā ar priekšlikumu uz sertifikācijas iestādēm gulsies ievērojams darba apjoms un atbildība, un ir jānodrošina to darbība praksē. Tas vajadzīgs arī tādēļ, lai nepieļautu, ka KNA palielina pašreizējo birokrātisko slogu un tādējādi rada neizdevīgu stāvokli ražotājiem, kuriem būs jāizpilda virkne papildu sertifikācijas prasību, lai varētu turpināt darbību tirgū.
2.Priekšlikuma analīze
2.1.Ar KNA priekšlikumu Komisija vēlas visaptverošā un horizontālā veidā racionalizēt un pārstrādāt pašreizējos tiesību aktus kiberdrošības jomā un vienlaikus tos atjaunināt, ņemot vērā tehnoloģiskās inovācijas.
2.2.KNA ir četri konkrēti mērķi: nodrošināt, ka ražotāji gan produktu projektēšanas un izstrādes posmā, gan visā to aprites ciklā uzlabo to produktu drošumu, kuriem ir digitāli elementi; nodrošināt saskaņotu kiberdrošības noteikumu satvaru, kas ļautu atvieglot aparatūras un programmatūras ražotājiem ievērot atbilstību; uzlabot produktu ar digitāliem elementiem drošības īpašību pārredzamību; sniegt iespēju uzņēmumiem un patērētājiem droši lietot šos produktus. Būtībā ar priekšlikumu tiek ieviesta kiberdrošības CE zīme, kurai jābūt redzamai uz visiem produktiem, uz kuriem attiecas KNA.
2.3.Tas ir horizontāls pasākums, ar kuru Komisija plāno visaptveroši regulēt visu jomu, jo tas aptver praktiski visus produktus ar digitāliem elementiem. Tas neattiecas vienīgi uz medicīniska rakstura produktiem un tiem, kas saistīti ar civilo aviāciju, transportlīdzekļiem un militārajiem transportlīdzekļiem. Priekšlikumā nav arī iekļauti programmatūras (mākoņdatošanas) pakalpojumi, ja vien tos neizmanto, lai izstrādātu produktus ar digitāliem elementiem.
2.4.“Produktu ar digitāliem elementiem” definīcija ir ļoti plaša un ietver jebkuru programmatūras vai aparatūras produktu, kā arī programmatūru vai aparatūru, kas nav iekļauta produktā, bet tiek laista tirgū atsevišķi.
2.5.Ar izskatāmo tiesību aktu tiek ieviestas obligātas kiberdrošības prasības produktiem, kuri satur digitālus elementus, visā to aprites ciklā, taču tas neaizstāj jau spēkā esošos tiesību aktus. Gluži pretēji, produkti, kas jau ir sertificēti kā iepriekš spēkā esošajiem ES standartiem atbilstoši, arī saskaņā ar jauno regulu tiks uzskatīti par “derīgiem”.
2.6.Vispārējais pamatprincips ir tāds, ka Eiropā tiek tirgoti tikai “droši” produkti, kuru ražotāji raugās, lai šie produkti tādi arī paliktu visā to aprites ciklā.
2.7.Produkts tiek uzskatīts par “drošu”, ja tas ir projektēts un izgatavots tā, lai nodrošinātu ar tā lietošanu saistītajam kiberriskam atbilstošu drošības līmeni, ja pārdošanas brīdī tam nav zināmu ievainojamību, ja tam ir droša standarta konfigurācija, tas ir aizsargāts pret nelikumīgiem savienojumiem, aizsargā paša savāktos datus un apkopo tikai tos datus, kas ir vajadzīgi tā darbībai.
2.8.Tiek uzskata, ka ražotājs ir piemērots savu produktu tirdzniecībai, ja tas dara zināmu savu produktu programmatūras dažādo elementu sarakstu, ātri un bez maksas piemēro pretpasākumus jaunas ievainojamības gadījumā, publisko un detalizēti apraksta konstatētās un novērstās ievainojamības, regulāri pārbauda savu tirgū laisto produktu “robustumu”. Šīs un citas darbības, kas noteiktas KNA, ir jāveic visā produkta aprites ciklā vai vismaz piecus gadus pēc tā laišanas tirgū. Ražotājam ir jānodrošina, ka ievainojamības tiek novērstas ar regulāriem programmatūras atjauninājumiem.
2.9.Saskaņā ar vispārējo principu, ko piemēro dažādās nozarēs, pienākumi tiek uzlikti arī importētājiem un izplatītājiem.
2.10.Kibernoturības aktā ir paredzēta makrokategorija tā sauktajiem “standarta” produktiem un programmatūrām, kuru gadījumā var paļauties uz ražotāja pašnovērtējumu, kā tas jau ir ar citiem CE zīmes sertifikācijas veidiem. Komisija uzskata, ka šajā kategorijā ietilpst 90 % no tirgū esošajiem produktiem.
2.11.Attiecīgos produktus var laist tirgū pēc tam, kad ražotājs ir veicis to kiberdrošības pašnovērtējumu, iesniedzot atbilstīgu dokumentāciju, kas noteikta regulatīvajās vadlīnijās. Ja produkts tiek pārveidots, ražotājam ir pienākums atkārtot novērtēšanu.
2.12.Atlikušie 10 % produktu ir iedalīti divās citās kategorijās (I klase – zemāka riska pakāpe, un II klase – augstāka riska pakāpe), un to laišanai tirgū ir jāpievērš lielāka uzmanība. Tie ir tā dēvētie “kritiski svarīgie produkti ar digitāliem elementiem”, kuru atteice var izraisīt citus bīstamus un plašākus drošības pārkāpumus.
2.13.Attiecībā uz šo abu klašu produktiem pamata pašnovērtējums ir pieļaujams tikai tad, ja ražotājs pierāda, ka ir ievērojis konkrētus tirgus standartus un drošības specifikācijas vai ES jau iepriekš paredzēto kiberdrošības sertifikāciju. Pretējā gadījumā tas var iegūt produkta sertifikāciju no akreditētas sertifikācijas iestādes, kuras apliecinājums ir obligāts II klases produktiem.
2.14.Sistēma produktu klasificēšanai riska kategorijās ir ietverta arī priekšlikumā regulai par mākslīgo intelektu (MI). Lai izvairītos no šaubām par to, kuri noteikumi ir piemērojami, KNA attiecas uz produktiem ar digitāliem elementiem, kas saskaņā ar priekšlikumu par MI vienlaikus ir klasificēti kā “augsta riska MI sistēmas”. Šādiem produktiem parasti būs jāatbilst regulā par MI noteiktajai atbilstības novērtēšanas procedūrai, izņemot kritiski svarīgus produktus ar digitāliem elementiem, kuriem līdztekus KNA pamatprasībām tiks piemēroti KNA atbilstības novērtēšanas noteikumi.
2.15.Lai nodrošinātu atbilstību KNA, katrai dalībvalstij uzraudzības darbība būs jāuztic kādai valsts iestādei. Saskaņā ar tiesību aktiem par citu produktu drošumu, ja valsts iestāde konstatē, ka produktam vairs nav kiberdrošības iezīmju, tā var apturēt produkta tirdzniecību attiecīgajā valstī. ENISA ir kompetenta veikt paziņotā produkta detalizētu novērtēšanu, un, ja tiek konstatēta produkta nedrošība, tā laišana ES tirgū var tikt apturēta.
2.16.KNA sankciju sistēmu nodrošina virkne pārkāpuma smagumam atbilstošu sankciju, kas produktu kiberdrošības pamatprasību pārkāpuma gadījumā var sasniegt 15 miljonus euro vai 2,5 % no apgrozījuma iepriekšējā finanšu gadā.
3.Piezīmes
3.1.EESK atzinīgi vērtē Komisijas iniciatīvu, kuras mērķis ir plašākai kiberdrošības regulējuma mozaīkai pievienot būtisku komponentu, kas ir saskaņots ar Tīklu un informācijas drošības (TID) direktīvu un papildina to, kā arī tas ir papildinājums Kiberdrošības aktam. Augstiem kiberdrošības standartiem ir būtiska loma, veidojot stabilu ES kiberdrošības sistēmu visiem ekonomikas dalībniekiem, ar mērķi garantēt, ka ES iedzīvotāji var droši izmantot visus tirgū pieejamos produktus, un vairot viņu uzticēšanos digitālajai pasaulei.
3.2.Tāpēc regula pievēršas diviem jautājumiem: daudzu produktu zemajam kiberdrošības līmenim un, pats galvenais, faktam, ka daudzi ražotāji nesniedz atjauninājumus, ar kuriem novērst ievainojamības. Lai gan dažkārt cieš produktu ar digitāliem elementiem ražotāju reputācija, ja to produktiem trūkst drošības, tomēr ievainojamības izmaksas lielākoties gulstas uz profesionālajiem lietotājiem un patērētājiem. Tas mazina ražotāju motivāciju investēt drošu produktu plānošanā un izstrādē un sniegt drošības atjauninājumus. Turklāt uzņēmumiem un patērētājiem bieži vien trūkst pietiekamas un precīzas informācijas par drošu produktu izvēli un bieži vien viņi nezina, kā pārliecināties par to, vai nopirktie produkti ir droši konfigurēti. Jaunie noteikumi risina šos divus aspektus, pievēršoties jautājumam par atjauninājumiem un atjauninātas informācijas sniegšanu klientiem. EESK uzskata, ka šajā ziņā ierosinātā regula, ciktāl to piemēro pareizi, varētu kļūt par starptautisku kiberdrošības kritēriju un modeli.
3.3.EESK atzinīgi vērtē priekšlikumu ieviest kiberdrošības prasības produktiem ar digitāliem elementiem. Tomēr svarīgi būs izvairīties no pārklāšanās ar citiem spēkā esošajiem reglamentējošajiem noteikumiem šajā jautājumā, piemēram, jauno TID 2 direktīvu un MI regulu.
3.4.EESK vēlas uzsvērt: lai gan, no vienas puses, ir apsveicami, ka KNA aptver gandrīz visus digitālos produktus, no otras puses, KNA praktiskā piemērošana varētu būt problemātiska, ņemot vērā ar to saistīto ievērojamo uzraudzību un kontroli.
3.5.KNA materiālās piemērošanas joma ir plaša un aptver visus produktus ar digitāliem elementiem. Ierosinātajā definīcijā ir aptverti visi programmatūras un aparatūras produkti un saistītās datu apstrādes darbības. EESK ierosina Komisijai precizēt, vai regulas priekšlikuma darbības joma attiecas uz visu programmatūru.
3.6.Ražotājiem būs pienākums ziņot, pirmkārt, par aktīvi izmantotajām ievainojamībām un, otrkārt, par drošības incidentiem. Ražotājiem būs jāinformē ENISA par jebkuru aktīvi izmantotu ievainojamību, kas ietverta produktā, un (atsevišķi) par jebkuru incidentu, kas varētu ietekmēt produkta drošību, taču abos gadījumos 24 stundu laikā pēc tam, kad par to ir kļuvis zināms. Šajā saistībā EESK norāda, ka jāpiešķir ENISA atbilstīgi resursi gan skaitliskajā izteiksmē, gan profesionālās sagatavotības ziņā, lai tā spētu efektīvi veikt svarīgos un sensitīvos uzdevumus, kas tai tiks uzticēti saskaņā ar regulu.
3.7.Fakts, ka uz virkni produktu, kas ietilpst priekšlikuma darbības jomā, attiecas arī citi tiesību akti kiberdrošības jomā, varētu radīt nenoteiktību par to, kuri noteikumi ir piemērojami. Lai gan KNA ir izstrādāts tā, lai tas atbilstu pašreizējam ES produktu tiesiskajam regulējumam, kā arī citiem priekšlikumiem, kas pašlaik tiek gatavoti ES Kiberdrošības stratēģijas kontekstā, noteikumi, piemēram, noteikumi par augsta riska MI produktiem, pārklājas ar noteikumiem, kas paredzēti Vispārīgajā datu aizsardzības regulā. Šajā sakarā EESK ierosina Komisijai izstrādāt atbilstīgas vadlīnijas ražotājiem un patērētājiem par tā pareizu piemērošanu.
3.8.EESK norāda, ka attiecības starp sertifikācijas iestādēm KNA izpratnē un eventuālām citām struktūrām, kas ir pilnvarotas sertificēt kiberdrošību saskaņā ar citiem līdzīgi piemērojamiem noteikumiem, nešķiet pilnīgi skaidras.
3.9.Ievērojams darba un atbildības slogs būs arī pašām sertifikācijas iestādēm, kuru gatavība ir jāpārbauda un jāgarantē praksē, lai nepieļautu, ka KNA vēl vairāk palielina birokrātisko slogu, kas jau paredzēts ražotājiem, lai tie varētu darboties tirgū. Šajā sakarā būtu arī svarīgi, lai it īpaši MVU un MMVU būtu pieejams atbalsts, kuru sniedz kvalificēti eksperti, kas spēj sniegt īpašus profesionālos pakalpojumus.
3.10.KNA nosaka, ka sertifikācijas iestādēm, sniedzot sertifikācijas iestāžu pakalpojumus, jāņem vērā MVU īpašās vajadzības, taču EESK norāda, ka ir jāprecizē šajā saistībā piemērojamie kritēriji.
3.11.Koordinācijas problēma var rasties arī starp šajā regulā paredzētajām uzraudzības iestādēm un iestādēm, kas jau darbojas saskaņā ar citiem noteikumiem, kurus piemēro tiem pašiem produktiem. Tāpēc EESK ierosina Komisijai aicināt dalībvalstis uzraudzīt situāciju un attiecīgā gadījumā rīkoties, lai to novērstu.
Briselē, 2022. gada 14. decembrī
Christa SCHWENG
Eiropas Ekonomikas un sociālo lietu komitejas priekšsēdētāja
_____________