Ένα πρωτοπόρο - σε παγκόσμιο επίπεδο - νομοθετικό πλαίσιο για την κυβερνοασφάλεια εισάγει η Ευρωπαϊκή Ένωση. Με τον νέο κανονισμό, όλα τα προϊόντα, που διατίθενται στην αγορά της Ε.Ε., θα πρέπει να είναι κυβερνοασφαλή.

Αναλυτικά, τα προϊόντα λογισμικού και hardware θα φέρουν τη σήμανση CE, η οποία θα υποδεικνύει ότι συμμορφώνονται με τις απαιτήσεις του κανονισμού και συνεπώς, μπορούν να πωλούνται στην Ε.Ε.

Ο Κανονισμός, η πρώτη νομοθεσία αυτού του είδους στον κόσμο, θα βελτιώσει το επίπεδο κυβερνοασφάλειας των ψηφιακών προϊόντων προς όφελος των καταναλωτών και των επιχειρήσεων.

Συγκεκριμένα, θεσπίζει αναλογικές υποχρεωτικές απαιτήσεις για κάθε είδους hardware και λογισμικό: από τις συσκευές παρακολούθησης βρεφών και τα έξυπνα ρολόγια ως τα βιντεοπαιχνίδια, τα τείχη προστασίας και τους δρομολογητές. Ανάλογα με το επίπεδο κινδύνου, το κάθε προϊόν θα υπόκειται σε διαφορετικές απαιτήσεις ασφάλειας, ενώ λιγότερο από το 10% των προϊόντων θα υπόκειται σε αξιολογήσεις από τρίτους.

Μόλις τεθεί σε εφαρμογή ο κανονισμός για την κυβερνοανθεκτικότητα, οι κατασκευαστές hardware και λογισμικού θα πρέπει να εφαρμόζουν μέτρα κυβερνοασφάλειας καθ' όλη τη διάρκεια του κύκλου ζωής του προϊόντος, τόσο κατά τον σχεδιασμό και την ανάπτυξη, όσο και μετά τη διάθεση του στην αγορά.

Ο κανονισμός θα θεσπίσει, επίσης, νομική υποχρέωση για τους κατασκευαστές να παρέχουν στους χρήστες έγκαιρες ενημερώσεις ασφαλείας για αρκετά χρόνια μετά την αγορά. Αυτή η περίοδος πρέπει να αντικατοπτρίζει το χρονικό διάστημα, για το οποίο αναμένεται να χρησιμοποιηθούν τα προϊόντα.

Πολιτική συμφωνία

Πρόκειται για ένα σημαντικό βήμα για την καταπολέμηση της οξυνόμενης απειλής από κυβερνοεγκληματίες και άλλους κακόβουλους παράγοντες. Επί του νέου Κανονισμού, τον οποίo πρότεινε η Επιτροπή τον Σεπτέμβριο του 2022, επετεύχθη πολιτική συμφωνία μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου επί του κανονισμού για την κυβερνοανθεκτικότητα,

“Ο νέος κανονισμός θα δώσει τη δυνατότητα στους χρήστες να προβαίνουν σε πιο τεκμηριωμένες και ασφαλείς επιλογές, καθώς οι κατασκευαστές θα πρέπει να γίνουν πιο διαφανείς και υπεύθυνοι όσον αφορά την ασφάλεια των προϊόντων τους”, αναφέρει η Επιτροπή.

Η συμφωνία, που επιτεύχθηκε, πρέπει τώρα να λάβει επίσημη έγκριση από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Μόλις εκδοθεί, ο κανονισμός για την κυβερνοανθεκτικότητα θα αρχίσει να ισχύει την 20η ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα.

Με την έναρξη ισχύος του κανονισμού, οι κατασκευαστές, οι εισαγωγείς και οι διανομείς προϊόντων υλισμικού και λογισμικού θα έχουν στη διάθεσή τους 36 μήνες για να προσαρμοστούν στις νέες απαιτήσεις, με εξαίρεση την υποχρέωση υποβολής εκθέσεων από τους κατασκευαστές για συμβάντα και τρωτά σημεία, για την οποία θα δοθεί μικρότερη περίοδος χάριτος 21 μηνών.

Κρούσματα

Κατά το τελευταίο έτος, ο αριθμός των επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού τριπλασιάστηκε, με μικρές επιχειρήσεις και σημαντικά ιδρύματα, όπως νοσοκομεία, να βρίσκονται στο στόχαστρο κυβερνοεγκληματιών. Χαρακτηριστικά, κάθε 11 δευτερόλεπτα ένας οργανισμός πλήττεται από επίθεση λυτρισμικού, με το εκτιμώμενο κόστος να ανέρχεται στα €20 δισ. ετησίως.

Μόνο το 2021, οι εγκληματίες του κυβερνοχώρου κατάφεραν να παραβιάσουν συσκευές και να εξαπολύσουν περίπου 10 εκατομμύρια κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS) παγκοσμίως, με αποτέλεσμα οι χρήστες να μην έχουν πρόσβαση σε ιστότοπους και διαδικτυακές υπηρεσίες.