Mnenje Evropskega ekonomsko-socialnega odbora – Predlog uredbe Evropskega parlamenta in Sveta o horizontalnih zahtevah glede kibernetske varnosti za izdelke z digitalnimi elementi in spremembi Uredbe (EU) 2019/1020

(COM(2022) 454 final – 2022/0272 (COD))

(2023/C 100/15)

Poročevalec:	Maurizio MENSI
Soporočevalec:	Marinel Dănuț MURESAN

Zaprosili	Evropski parlament, 9. 11. 2022 Svet Evropske unije, 28. 10. 2022
Pravna podlaga	člen 114 Pogodbe o delovanju Evropske unije
Pristojnost	strokovna skupina za enotni trg, proizvodnjo in potrošnjo
Datum sprejetja na seji strokovne skupine	10. 11. 2022
Datum sprejetja na plenarnem zasedanju	14. 12. 2022
Plenarno zasedanje št.	574
Rezultat glasovanja (za/proti/vzdržani)	177/0/0

1.   Sklepi in priporočila

1.1

Evropski ekonomsko-socialni odbor (EESO) pozdravlja predlog Komisije za akt o kibernetski odpornosti (Cyber Resilience Act), s katerim se določijo višji standardi kibernetske varnosti, ki bodo omogočili vzpostavitev zanesljivega sistema za gospodarske subjekte in državljanom EU zagotovili varno uporabo izdelkov na trgu. Ta pobuda je del evropske strategije za podatke, ki krepi varnost podatkov, vključno z osebnimi, in temeljne pravice, kar so v naši digitalni družbi bistvene zahteve.

1.2

EESO meni, da je bistveno okrepiti skupni odziv na kibernetske napade in utrditi postopek usklajevanja kibernetske varnosti na nacionalni ravni v smislu operativnih pravil in orodij, da bi preprečili pravne negotovosti in ovire zaradi različnih nacionalnih pristopov.

1.3

EESO pozdravlja pobudo Komisije, ki ne bo prispevala zgolj k zmanjšanju stroškov podjetij zaradi kibernetskih napadov, ampak bo tudi okrepila varstvo temeljnih pravic državljanov/potrošnikov, kot je npr. njihova zasebnost. Kaže, da zlasti Komisija upošteva posebne potrebe MSP pri storitvah certifikacijskih organov; vendar pa EESO poudarja, da je treba pojasniti merila za izvajanje akta.

1.4

Čeprav je po eni strani dobrodošlo, da akt o kibernetski odpornosti obravnava skoraj vse digitalne izdelke, pa je po mnenju EESO treba poudariti, da se lahko po drugi strani pojavijo težave pri njegovem praktičnem izvajanju zaradi njegovih obsežnih in zapletenih dejavnosti preverjanja in nadzora. Zato je treba okrepiti orodja za spremljanje in preverjanje.

1.5

EESO ugotavlja, da je treba natančno pojasniti stvarno področje uporabe akta o kibernetski odpornosti, zlasti v zvezi z izdelki z digitalnimi elementi in programsko opremo.

1.6

EESO ugotavlja, da bodo morali proizvajalci poročati tako o ranljivosti izdelkov kot o morebitnih varnostnih incidentih ter o tem obvestiti agencijo Evropske unije za kibernetsko varnost (ENISA). V zvezi s tem je pomembno, da ima agencija ENISA na voljo potrebna sredstva za pravočasno in učinkovito izvajanje pomembnih in občutljivih nalog, ki ji bodo dodeljene.

1.7

Da bi se izognili negotovostim pri razlagi, EESO predlaga, naj Komisija pripravi ustrezne smernice za usmerjanje proizvajalcev in potrošnikov glede pravil in postopkov, ki se dejansko uporabljajo, saj za številne izdelke, ki spadajo na področje uporabe predloga, velja tudi druga zakonodaja s področja kibernetske varnosti. V zvezi s tem bi bilo pomembno tudi, da imajo zlasti MSP in mikro, mala in srednja podjetja dostop do podpore kvalificiranih strokovnjakov, ki lahko nudijo konkretne strokovne storitve.

1.8

EESO ugotavlja, da odnos med certifikacijskimi organi na podlagi akta o kibernetski odpornosti in drugimi organi, pooblaščenimi za certificiranje kibernetske varnosti v skladu z drugimi veljavnimi predpisi, ni povsem jasen. Enaka težava glede operativnega usklajevanja se lahko pojavi tudi med nadzornimi organi, predvidenimi v predlogu, in tistimi, ki so že dejavni v skladu z drugo zakonodajo, ki se uporablja za iste izdelke.

1.9

EESO ugotavlja, da predlog predvideva precejšnje število dejavnosti in odgovornosti za certifikacijske organe, ki jim je treba zagotoviti dejansko delovanje. Tako bi tudi preprečili, da bi se z aktom o kibernetski odpornosti povečalo birokratsko breme in bi bili s tem kaznovani proizvajalci, ki bodo morali izpolnjevati vrsto dodatnih zahtev za certificiranje, da bi lahko še naprej delovali na trgu.

2.   Analiza predloga

2.1

S predlogom akta o kibernetski odpornosti namerava Komisija celovito in horizontalno racionalizirati in ponovno opredeliti veljavno zakonodajo o kibernetski varnosti ter jo istočasno posodobiti glede na tehnološke inovacije.

2.2

Akt o kibernetski odpornosti ima v glavnem štiri cilje: zagotoviti, da proizvajalci izboljšajo varnost izdelkov z digitalnimi elementi v fazi zasnove in razvoja ter v njihovem celotnem življenjskem ciklu; zagotoviti skladen okvir zakonodaje na področju kibernetske varnosti, da bodo proizvajalci strojne in programske opreme lažje dosegali skladnost; povečati preglednost varnostnih značilnosti izdelkov z digitalnimi elementi; omogočiti podjetjem in potrošnikom varno uporabo teh izdelkov. V bistvu uvaja predlog oznako CE za kibernetsko varnost z zahtevo, da mora biti ta oznaka nameščena na vse izdelke, ki jih zajema akt.

2.3

Gre za horizontalni ukrep, s katerim namerava Komisija celovito urediti celotno področje, saj zajema skoraj vse izdelke z digitalnimi elementi. Izključuje samo zdravstvene izdelke, izdelke, povezane s civilnim letalstvom, vozila in vojaške izdelke. Predlog prav tako ne zajema programske opreme kot storitev (oblak), razen če se ta ne uporablja za razvoj izdelkov z digitalnimi elementi.

2.4

Opredelitev „izdelkov z digitalnimi elementi“ je zelo široka in vključuje vse izdelke programske ali strojne opreme kot tudi programsko ali strojno opremo, ki ni vgrajena v izdelek, temveč je dana na trg ločeno.

2.5

Zakonodaja uvaja obvezne zahteve glede kibernetske varnosti za izdelke z digitalnimi elementi v celotnem življenjskem ciklu, vendar ne nadomešča že obstoječih. Izdelki, ki so že bili certificirani v skladu s predhodnimi standardi EU, se bodo prav tako šteli za veljavne v skladu z novo uredbo.

2.6

Osnovno splošno načelo je, da se v Evropi tržijo le varni izdelki, katerih proizvajalci ravnajo na tak način, da ti ostanejo varni v njihovem celotnem življenjskem ciklu.

2.7

Izdelek šteje kot „varen“, kadar je zasnovan in izdelan tako, da njegova raven varnosti ustreza kibernetskim tveganjem, ki jih prinaša njegova uporaba, če v času prodaje nima znanih ranljivih točk, ima varno privzeto konfiguracijo, je zaščiten pred nezakonitimi povezavami, varuje podatke, ki jih zbira, zbiranje podatkov pa je omejeno samo na tiste, ki služijo njegovemu delovanju.

2.8

Proizvajalec se šteje kot primernega za trženje svojih izdelkov, če objavi seznam različnih komponent programske opreme svojih izdelkov, hitro izda brezplačne rešitve v primeru novih ranljivosti, javno objavi in podrobno navede ranljive točke, ki jih odkrije in odpravi, ter redno preverja robustnost trženih izdelkov. Te in druge dejavnosti, ki jih določa akt o kibernetski odpornosti, je treba izvajati v celotnem življenjskem ciklu izdelka ali vsaj pet let po tem, ko je bil dan na trg. Proizvajalec mora zagotoviti odpravo ranljivosti z rednim posodabljanjem programske opreme.

2.9

V skladu s splošnim načelom, ki se uporablja v različnih sektorjih, se obveznosti naložijo tudi uvoznikom in distributerjem.

2.10

Akt o kibernetski odpornosti ureja makrokategorijo t. i. običajnih izdelkov in programske opreme, za katere se je mogoče zanesti na samooceno proizvajalca, kot že velja za druge vrste certificiranja z oznako CE. Po ugotovitvah Komisije v to kategorijo spada 90 % izdelkov na trgu.

2.11

Te izdelke lahko proizvajalec da na trg po samooceni njihove kibernetske varnosti, pri čemer mora predložiti ustrezno dokumentacijo, določeno v smernicah zakonodaje. Isti proizvajalec mora ponoviti oceno, če se izdelek spremeni.

2.12

Preostalih 10 % izdelkov je razdeljenih v dve drugi kategoriji (razred I, manj nevarni, in razred II, bolj nevarni), katerih dajanje na trg zahteva večjo pozornost. Gre za t. i. „kritične izdelke z digitalnimi elementi“, ki v primeru napake lahko privedejo do drugih nevarnih in obširnejših kršitev varnosti.

2.13

Za izdelke teh dveh razredov je osnovna samoocena dovoljena le, če proizvajalec dokaže, da je upošteval posebne tržne standarde in varnostne specifikacije ali certifikate kibernetske varnosti, ki jih je EU že določila. V nasprotnem primeru lahko pridobi certifikat za izdelek od akreditiranega certifikacijskega organa, katerega potrdilo je obvezno za izdelke razreda II.

2.14

Sistem za razvrščanje izdelkov v kategorije tveganja je vključen tudi v predlog uredbe o umetni inteligenci. Da bi se izognili dvomom o določbah, ki se uporabljajo, akt o kibernetski odpornosti upošteva tudi izdelke z digitalnimi elementi, ki so hkrati razvrščeni kot „umetnointeligenčni sistemi velikega tveganja“ na podlagi predloga uredbe o umetni inteligenci. Taki izdelki bodo morali na splošno upoštevati postopke ugotavljanja skladnosti, ki jih določa uredba o umetni inteligenci, razen v primeru „kritičnih digitalnih izdelkov“, za katere se bodo poleg bistvenih zahtev akta o kibernetski odpornosti uporabljala tudi pravila za ugotavljanje skladnosti iz tega akta.

2.15

Za zagotovitev spoštovanja akta o kibernetski odpornosti naj bi vsaka država članica določila nacionalni organ, ki bo izvajal dejavnosti nadzora. Če nacionalni organ ugotovi, da izdelek ne izpolnjuje več lastnosti glede kibernetske varnosti, se lahko v skladu z zakonodajo o varnosti drugih izdelkov njegovo trženje v tej državi prekine. Agencija ENISA je pristojna za podrobno oceno prijavljenega izdelka in njena ocena lahko v primeru zaznane nevarnosti izdelka privede do njegovega umika s trga EU.

2.16

Akt o kibernetski odpornosti vsebuje vrsto sankcij, ki so odvisne od resnosti kršitve in lahko v primeru kršitve bistvenih zahtev za kibernetsko varnost izdelkov znašajo tudi 15 milijonov EUR ali 2,5 % prometa v prejšnjem davčnem letu.

3.   Ugotovitve

3.1

EESO pozdravlja pobudo Komisije, s katero v širši okvir mozaika zakonodaje o kibernetski varnosti vključuje bistven element, usklajen z direktivo o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (1), ki jo skupaj z aktom o kibernetski varnosti (2) tudi dopolnjuje. Visoki standardi kibernetske varnosti imajo namreč temeljno vlogo pri vzpostavitvi trdnega sistema kibernetske varnosti EU za vse gospodarske subjekte, ki bo državljanom EU jamčil varno uporabo vseh izdelkov na trgu in krepil njihovo zaupanje v digitalni svet.

3.2

Uredba torej obravnava dve vprašanji: nizko raven kibernetske varnosti številnih izdelkov in predvsem dejstvo, da številni proizvajalci ne zagotavljajo posodobitev za odpravo ranljivosti. Kadar izdelki z digitalnimi elementi niso varni, to včasih škoduje ugledu njihovih proizvajalcev, vendar pa stroške ranljivosti izdelkov nosijo predvsem poklicni uporabniki in potrošniki. To zmanjšuje interes proizvajalcev za vlaganje v zasnovo in razvoj varnih izdelkov ter za zagotavljanje varnostnih posodobitev. Poleg tega podjetja in potrošniki pogosto nimajo zadostnih in točnih informacij, ki bi jim pomagale izbrati varne izdelke, in pogosto ne vedo, kako se prepričati, da so kupljeni izdelki varno konfigurirani. Nova pravila obravnavajo ta dva vidika tako, da urejajo vprašanji posodobitev in posredovanja posodobljenih informacij strankam. EESO zato meni, da bi lahko predlagana uredba ob pravilni uporabi postala mednarodno merilo in zgled na področju kibernetske varnosti.

3.3

EESO pozdravlja predlog za uvedbo zahtev glede kibernetske varnosti za izdelke z digitalnimi elementi. Treba pa se bo izogniti prekrivanju z drugo veljavno zakonodajo s tega področja, kot sta nova direktiva o ukrepih za visoko skupno raven kibernetske varnosti v Uniji (3) in uredba o umetni inteligenci.

3.4

Čeprav je po eni strani dobrodošlo, da akt o kibernetski odpornosti obravnava skoraj vse digitalne izdelke, pa je po mnenju EESO treba poudariti, da se lahko po drugi strani pojavijo težave pri njegovem praktičnem izvajanju zaradi njegovih obsežnih dejavnosti preverjanja in nadzora.

3.5

Stvarno področje uporabe akta o kibernetski odpornosti je široko in zajema vse izdelke z digitalnimi elementi. V skladu s predlagano opredelitvijo so zajeti vsi izdelki programske in strojne opreme ter s tem povezani postopki obdelave podatkov. EESO predlaga, naj Komisija pojasni, ali vsa programska oprema spada na področje uporabe predlagane uredbe.

3.6

Proizvajalci bodo morali poročati o dejavno izkoriščenih ranljivostih in varnostnih incidentih. Agencijo ENISA bodo morali obvestiti o vseh ranljivih točkah izdelka, ki so bile dejavno izkoriščene, in (ločeno) o vseh incidentih, ki vplivajo na varnost izdelka, v vsakem primeru v 24 urah po tem, ko so se seznanili z njimi. V zvezi s tem EESO ugotavlja, da bi bilo treba agenciji ENISA zagotoviti ustrezne vire, tako v smislu števila kot v smislu poklicne usposobljenosti, da bo lahko učinkovito izvajala pomembne in občutljive naloge, ki ji bodo dodeljene v skladu z uredbo.

3.7

Dejstvo, da za veliko izdelkov, ki spadajo na področje uporabe predloga, veljajo tudi določbe druge zakonodaje s področja kibernetske varnosti, bi lahko povzročilo negotovosti glede veljavne zakonodaje. Čeprav naj bi bil akt o kibernetski odpornosti skladen s sedanjim regulativnim okvirom EU za izdelke in z drugimi predlogi, ki se pripravljajo v okviru digitalne strategije EU, se pravila, kot na primer tista za umetnointeligenčne izdelke velikega tveganja, prekrivajo z določbami splošne uredbe o varstvu podatkov. V zvezi s tem EESO predlaga, naj Komisija pripravi posebne smernice, da bodo proizvajalci in potrošniki seznanjeni z njegovim pravilnim izvajanjem.

3.8

EESO ugotavlja, da odnos med certifikacijskimi organi na podlagi akta o kibernetski odpornosti in vsemi drugimi organi, pooblaščenimi za certificiranje kibernetske varnosti v skladu z drugimi enako veljavnimi predpisi, ni povsem jasen.

3.9

Tem certifikacijskim organom so zaupane obsežne naloge in odgovornost, njihovo praktično delovanje pa je treba preverjati in zagotavljati, da akt o kibernetski odpornosti ne bi povečal birokracije, ki že bremeni delovanje proizvajalcev na trgu. V zvezi s tem bi bilo pomembno tudi, da imajo zlasti MSP in mikro, mala in srednja podjetja dostop do podpore kvalificiranih strokovnjakov, ki lahko nudijo konkretne strokovne storitve.

3.10

Akt o kibernetski odpornosti predvideva, da certifikacijski organi pri svojih storitvah upoštevajo posebne potrebe MSP; vendar pa EESO poudarja, da je treba pojasniti merila za izvajanje akta.

3.11

Problem usklajevanja se lahko pojavi tudi med nadzornimi organi, predvidenimi v tej uredbi, in tistimi, ki so že dejavni v skladu z drugimi pravili, ki se uporabljajo za iste izdelke. EESO zato predlaga, da Komisija pozove države članice, naj to spremljajo in po potrebi sprejmejo ukrepe, da se ta problem odpravi.

---

(1)  Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1).

(2)  Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).

(3)  Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).