|
AVIZ
|
|
Comitetul Economic și Social European
|
|
Actul privind reziliența cibernetică
|
|
_____________
|
|
Propunere de regulament al Parlamentului European și al Consiliului
privind cerințele orizontale în materie de securitate cibernetică
pentru produsele cu elemente digitale
și de modificare a Regulamentului (UE) 2019/1020
[COM(2022) 454 final – 2022/0272 (COD)]
|
|
_____________
|
|
INT/999
|
|
|
|
Raportor: Maurizio MENSI
|
|
Coraportor: Marinel Dănuț MUREȘAN
|
|
Sesizare
|
Parlamentul European, 09/11/2022
Consiliul Uniunii Europene, 28/10/2022
|
|
Temei juridic
|
Articolul 114 din Tratatul privind funcționarea Uniunii Europene
|
|
Secțiunea competentă
|
Secțiunea pentru piața unică, producție și consum
|
|
Data adoptării în secțiune
|
10/11/2022
|
|
Data adoptării în sesiunea plenară
|
14/12/2022
|
|
Sesiunea plenară nr.
|
574
|
|
Rezultatul votului (voturi pentru/
voturi împotrivă/abțineri)
|
177/0/0
|
1.Concluzii și recomandări
1.1CESE salută propunerea Comisiei referitoare la un act legislativ privind reziliența cibernetică (Actul european privind reziliența cibernetică – ARC), menit să stabilească standarde de securitate cibernetică mai ridicate, care să ducă la crearea unui sistem fiabil pentru operatorii economici și să garanteze că cetățenii UE pot utiliza în condiții de siguranță produsele de pe piață. Este vorba de o inițiativă care face parte din strategia europeană privind datele, care consolidează securitatea datelor, inclusiv a celor cu caracter personal, și drepturile fundamentale, elemente ce reprezintă cerințe esențiale pentru societatea noastră digitală.
1.2CESE consideră esențial să fie consolidate răspunsul colectiv la atacuri cibernetice și procesul de armonizare a securității cibernetice la nivel național în termeni de norme și instrumente operaționale, pentru a evita ca abordările naționale diferențiate să creeze incertitudini și obstacole juridice.
1.3CESE salută inițiativa Comisiei, care nu doar va putea contribui la reducerea costurilor semnificative pentru întreprinderi cauzate de atacurile cibernetice, dar va permite și cetățenilor/consumatorilor să beneficieze de o mai bună protecție a drepturilor lor fundamentale, cum ar fi dreptul la viață privată. În special, Comisia arată că nevoile specifice ale IMM‑urilor sunt luate în considerare atunci când sunt prestate servicii furnizate de autoritățile de certificare; cu toate acestea, CESE subliniază necesitatea de a clarifica criteriile de aplicare.
1.4CESE consideră că este important să se sublinieze că, deși este lăudabil că ARC vizează practic toate produsele digitale, pot exista probleme în aplicarea practică a ARC, având în vedere activitatea semnificativă și complexă de monitorizare și control aferentă. Ca atare, este necesar să se consolideze instrumentele de monitorizare și verificare.
1.5CESE subliniază că trebuie clarificat cu precizie domeniul de aplicare material al ARC, în special pentru produsele cu elemente digitale și pentru software.
1.6CESE arată că producătorii vor fi obligați să raporteze, pe de o parte, vulnerabilitățile produselor și, pe de altă parte, orice incidente de securitate, informând în acest sens Agenția UE pentru Securitate Cibernetică (ENISA). În acest context, este important să i se pună acesteia la dispoziție resursele necesare pentru a-și îndeplini cu punctualitate și eficiență sarcinile relevante și sensibile încredințate.
1.7Pentru a evita orice incertitudine în interpretare, CESE propune Comisiei să elaboreze orientări pentru a-i îndruma pe producători și consumatori cu privire la normele și procedurile specifice aplicabile, deoarece diverse produse care intră în domeniul de aplicare al propunerii par să facă și obiectul altor acte legislative privind securitatea cibernetică. În acest sens, ar fi, de asemenea, important ca în special IMM-urile și MIMM-urile să aibă acces la asistență oferită de un expert calificat, care să fie în măsură să furnizeze servicii profesionale specifice.
1.8CESE observă că nu este pe deplin clar raportul dintre autoritățile de certificare în temeiul ARC și alte organisme autorizate să certifice securitatea cibernetică în temeiul altor prevederi normative. Aceeași problemă de coordonare operativă poate apărea între autoritățile de supraveghere prevăzute de propunerea de față și cele care își desfășoară deja activitatea în temeiul altor norme aplicabile acelorași produse.
1.9CESE observă că propunerea prevede un volum considerabil de activități și sarcini pentru autoritățile de certificare, a căror funcționare practică trebuie asigurată. Acest lucru are și scopul de a evita ca ARC să ducă la o creștere a sarcinilor birocratice, astfel încât să-i penalizeze pe producătorii care vor trebui să respecte o serie de cerințe de certificare suplimentare pentru a putea continua să-și desfășoare activitatea pe piață.
2.Analiza propunerii
2.1Prin propunerea de act privind reziliența cibernetică (ARC), Comisia intenționează să raționalizeze și să redefinească într-un mod cuprinzător și orizontal legislația actuală în materie de securitate cibernetică, actualizând-o în lumina inovațiilor tehnologice nou-apărute.
2.2ARC urmărește, în esență, patru obiective: garanția că producătorii îmbunătățesc siguranța produselor care au elemente digitale în faza de proiectare și dezvoltare și pe parcursul întregului lor ciclu de viață; asigurarea unui cadru coerent de norme în materie de securitate cibernetică, care să faciliteze respectarea normelor de către producătorii de hardware și software; îmbunătățirea transparenței elementelor de siguranță ale produselor cu elemente digitale; garanția că întreprinderilor și consumatorilor le este permis să utilizeze aceste produse în condiții de siguranță. În esență, propunerea introduce un marcaj CE privind securitatea cibernetică, impunând ca acest marcaj să fie aplicat tuturor produselor care intră sub incidența ARC.
2.3Aceasta este o intervenție orizontală, prin care Comisia intenționează să reglementeze într-un mod organic tot sectorul, deoarece vizează practic toate produsele cu componente digitale. Sunt excluse numai produsele cu caracter medical și legate de aviația civilă, vehiculele civile și cele militare. De asemenea, propunerea nu se referă la serviciile SaaS (software ca serviciu – cloud), cu excepția cazului în care sunt utilizate pentru dezvoltarea de produse cu elemente digitale.
2.4Definiția „produselor cu elemente digitale” este foarte largă și include orice produs software sau hardware, precum și orice software sau hardware care nu este încorporat în produs, dar este introdus pe piață separat.
2.5Legislația introduce cerințe obligatorii de securitate cibernetică pentru produsele cu componente digitale pentru întregul lor ciclu de viață, dar nu le înlocuiește pe cele deja existente. Dimpotrivă, produsele care au fost deja certificate ca fiind conforme cu standardele UE preexistente vor fi, de asemenea, considerate „valabile” în temeiul noului regulament.
2.6Principiul general de bază este că numai produsele sigure sunt comercializate în Europa, iar producătorii lor acționează astfel încât aceste produse să rămână sigure pe tot parcursul ciclului lor de viață.
2.7Un produs este considerat sigur dacă este proiectat și fabricat astfel încât să aibă un nivel de securitate adecvat riscurilor cibernetice pe care le implică utilizarea sa, să nu aibă vulnerabilități cunoscute în momentul vânzării, să aibă o configurație implicită securizată, să fie protejat de conexiuni ilegale, să protejeze datele pe care le colectează, iar colectarea datelor să se limiteze la cele care servesc funcționării sale.
2.8Un producător este considerat apt să își comercializeze produsele dacă, printre altele, face cunoscută lista diferitelor componente software ale produselor sale, pune rapid la dispoziție măsuri corective gratuite în cazul unor noi vulnerabilități, face publice și detaliază vulnerabilitățile pe care le detectează și le rezolvă, verifică periodic robustețea produselor pe care le comercializează. Aceste activități, precum și alte activități impuse de actul legislativ privind reziliența cibernetică trebuie să se desfășoare pe toată durata de viață a unui produs sau timp de cel puțin cinci ani după introducerea sa pe piață. Producătorul trebuie să se asigure că vulnerabilitățile sunt eliminate prin actualizări periodice ale software-ului.
2.9Conform unui principiu general aplicat în diferite sectoare, aceste obligații le revin și importatorilor și distribuitorilor.
2.10Actul privind reziliența cibernetică are în vedere o macrocategorie de produse și software așa numite „normale” pentru care se poate recurge la o autoevaluare de către producător, astfel cum se întâmplă deja în cazul altor tipuri de certificare cu marcajul CE. Potrivit Comisiei, 90 % din produsele de pe piață se încadrează în această categorie.
2.11Produsele în cauză pot fi introduse pe piață în urma unei autoevaluări a securității lor cibernetice de către producător, care prezintă documentația corespunzătoare stabilită prin orientările pentru punerea în aplicare a normelor. Același producător trebuie să repete evaluarea în cazul în care produsul este modificat.
2.12Restul de 10 % din produse sunt împărțite în alte două categorii (clasa I, mai puțin periculoase și clasa II, mai periculoase), a căror introducere pe piață necesită o atenție sporită. Acestea sunt așa numitele „produse critice cu elemente digitale”, ale căror defecte pot duce la alte încălcări periculoase și mai ample ale securității.
2.13Pentru produsele din aceste două clase, declarațiile pe propria răspundere de bază sunt eligibile numai dacă producătorul demonstrează că a respectat standardele de piață și specificațiile de securitate specifice sau certificările de securitate cibernetică deja prevăzute de UE. În caz contrar, producătorul poate obține certificarea produsului de la un organism de certificare acreditat a cărui atestare este obligatorie pentru produsele din clasa II.
2.14Sistemul de clasificare a produselor în categorii de risc este, de asemenea, inclus în propunerea de regulament privind IA (inteligența artificială). Pentru a evita îndoielile cu privire la dispozițiile aplicabile, ARC ia în considerare produsele cu elemente digitale care sunt clasificate simultan ca „sisteme de IA cu grad ridicat de risc” în sensul propunerii privind IA. Astfel de produse vor trebui, în general, să respecte procedura de evaluare a conformității prevăzută în Regulamentul privind IA, cu excepția „produselor digitale esențiale”, pentru care normele de evaluare a conformității prevăzute în ARC se vor aplica în plus față de „cerințele esențiale ale agențiilor prevăzute de ARC”.
2.15Pentru a asigura respectarea Legii privind reziliența cibernetică, este prevăzută o activitate de supraveghere pe care fiecare stat membru va trebui să o încredințeze unei autorități naționale. În conformitate cu normele care reglementează siguranța altor produse, în cazul în care o autoritate națională constată că un produs nu prezintă caracteristicile de securitate cibernetică, comercializarea acestuia poate fi suspendată în statul în cauză. ENISA are competența de a evalua în detaliu un produs raportat, iar evaluările sale, în cazul în care se stabilește că un produs nu este sigur, pot duce la suspendarea comercializării acestui produs în UE.
2.16Sistemul de sancțiuni prevăzut de ARC este garantat printr-o serie de sancțiuni – în raport cu gravitatea încălcării – care, în cazul unei încălcări a cerințelor esențiale privind securitatea cibernetică a produselor, se pot ridica la 15 milioane EUR sau 2,5 % din cifra de afaceri din anul fiscal precedent.
3.Observații
3.1CESE salută inițiativa Comisiei de a include un element-cheie în mozaicul normativ mai larg reprezentat de securitatea cibernetică, venind în completarea directivei NIS și a Regulamentului privind securitatea cibernetică. Standardele înalte de securitate cibernetică au un rol esențial în crearea unui sistem solid de securitate cibernetică al UE pentru toți operatorii economici, scopul fiind de a garanta că cetățenii UE pot utiliza toate produsele de pe piață în condiții de siguranță și de a le consolida încrederea în lumea digitală.
3.2Regulamentul abordează, așadar, două aspecte: nivelul scăzut de securitate cibernetică al multor produse și, mai ales, faptul că mulți producători nu furnizează actualizări pentru a remedia vulnerabilitățile. În timp ce reputația producătorilor de produse cu elemente digitale are uneori de suferit atunci când produsele lor nu sunt sigure, costul vulnerabilităților este suportat în principal de utilizatorii profesioniști și de consumatori. Din această cauză producătorii sunt mai puțin interesați să investească în proiectarea și dezvoltarea de produse sigure și să furnizeze actualizări pentru a crește nivelul de siguranță. În plus, întreprinderile și consumatorii adesea nu dispun de informații suficiente și exacte în ceea ce privește alegerea produselor sigure și deseori nu știu cum să se asigure că produsele pe care le cumpără sunt configurate pentru a fi utilizate în condiții de siguranță. Noile norme vizează aceste două aspecte prin abordarea problemei actualizărilor și a furnizării de informații actualizate clienților. CESE consideră că, în acest sens, atunci când este aplicat corect, regulamentul propus poate deveni un criteriu de referință și un model la nivel internațional în materie de securitate cibernetică.
3.3CESE salută propunerea de a introduce cerințe de securitate cibernetică pentru produsele cu elemente digitale. Cu toate acestea, va fi important să se evite suprapunerile cu alte reglementări existente în acest domeniu, cum ar fi noua Directivă NIS 2 și regulamentul privind IA.
3.4CESE consideră că este important să se sublinieze că, deși este lăudabil că ARC vizează practic toate produsele digitale, pot exista probleme în aplicarea practică a ARC, având în vedere activitatea semnificativă de monitorizare și control aferentă.
3.5Domeniul de aplicare material al ARC este amplu și include toate produsele cu elemente digitale. Conform definiției propuse, sunt vizate toate produsele software și hardware și operațiunile conexe de prelucrare a datelor. CESE sugerează Comisiei să precizeze dacă toate programele de software intră în domeniul de aplicare al regulamentului propus.
3.6Producătorii vor fi obligați să raporteze vulnerabilitățile exploatate în mod activ, pe de o parte, și incidentele de securitate, pe de altă parte. Ei vor trebui să informeze ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) cu privire la orice vulnerabilitate exploatată în mod activ conținută în produs și (separat) cu privire la orice incident care afectează securitatea produsului, în orice caz în termen de 24 de ore de la momentul în care a luat cunoștință de acestea. În acest sens, CESE observă că ENISA trebuie să capete resurse adecvate (de natură digitală și pentru pregătire profesională), astfel încât să fie în măsură să îndeplinească în mod eficient sarcinile importante și sensibile care îi vor fi încredințate în temeiul regulamentului.
3.7Faptul că o serie de produse care intră în domeniul de aplicare al propunerii fac, de asemenea, obiectul altor dispoziții legislative privind securitatea cibernetică ar putea duce la incertitudine juridică în legislația aplicabilă. Deși ARC are în vedere consecvența cu actualul cadru de reglementare al UE privind produsele și cu alte propuneri în curs de elaborare în contextul Strategiei digitale a UE, există norme precum cele pentru produsele de IA cu grad ridicat de risc, de exemplu, care se suprapun cu cele prevăzute de Regulamentul privind prelucrarea datelor cu caracter personal. În acest sens, CESE sugerează Comisiei să elaboreze orientări specifice pentru a-i îndruma pe producători și consumatori cu privire la aplicarea sa corectă.
3.8CESE observă că raportul dintre autoritățile de certificare în temeiul ARC și orice alte organisme autorizate să certifice securitatea cibernetică în temeiul altor regulamente aplicabile în egală măsură nu pare a fi în întregime clar.
3.9Autoritățile de certificare au, de asemenea, o sarcină considerabilă pentru autoritățile de certificare, a căror funcționare practică trebuie verificată și garantată, pentru a evita ca ARC să determine o creștere a sarcinilor birocratice ce apasă deja pe umerii producătorilor care și desfășoară activitatea pe piață. În acest sens, ar fi, de asemenea, important ca în special IMM-urile și MIMM-urile să aibă acces la asistență oferită de un expert calificat, care să fie în măsură să furnizeze servicii profesionale specifice.
3.10ARC solicită ca autoritățile de certificare să țină seama de nevoile specifice ale IMM-urilor în momentul prestării acestor servicii. Cu toate acestea, CESE subliniază că trebuie clarificate criteriile de aplicare.
3.11De asemenea, poate apărea o problemă de coordonare între autoritățile de supraveghere prevăzute de acest regulament și cele care își desfășoară deja activitatea în temeiul altor norme aplicabile produselor similare. Prin urmare, CESE sugerează Comisiei să invite statele membre să supravegheze și, dacă este necesar, să ia măsuri pentru a remedia această situație.
Bruxelles, 14 decembrie 2022
Christa SCHWENG
Președinta Comitetului Economic și Social European
_____________