STA novice / Evropska komisija s predlogom pravil za kibernetsko varnost izdelkov (dopolnjeno)

"Stroški pomanjkljive varnosti izdelkov so ogromni. Na svetu vsakih 11 sekund pride do napada z zlonamerno programsko opremo, samo lani so stroški teh napadov znašali 20 milijard evrov, zato smo se odločili za ukrepanje," je ob predstavitvi predloga povedal podpredsednik Evropske komisije, pristojen za spodbujanje evropskega načina življenja, Margaritis Schinas.

Cilj zakonodaje je po njegovih besedah zaščititi tako potrošnike kot podjetja pred izdelki, ki niso dovolj varni.

Zakonodaja bo glede na predlog komisije veljala za vse izdelke, ki so neposredno ali posredno povezani z drugimi napravami ali omrežji. Leta 2025 bo po besedah evropskega komisarja za notranji trg Thierryja Bretona na svetu 75 milijard tovrstnih izdelkov.

Med drugim gre za gospodinjske aparate, računalnike, mobilne telefone, pa tudi operacijske sisteme, trde diske, požarne zidove, urejevalnike fotografij, mobilne aplikacije in drugo programsko opremo.

Predlog med drugim predvideva določitev pravil glede dajanja teh izdelkov na trg, da bi zagotovili njihovo kibernetsko varnost. Obenem vključuje zahteve glede dizajna, razvoja in proizvodnje tovrstnih izdelkov ter obveznosti gospodarskih subjektov v povezavi z njimi.

Komisija predlaga še uvedbo zahtev glede postopkov za zagotovitev kibernetske varnosti skozi celotno življenjsko dobo, za kar so odgovorni proizvajalci. Obveznosti glede tega bodo imeli tudi gospodarski subjekti. Proizvajalci bodo morali poročati tudi o kibernetskih incidentih, povezanih z njihovimi izdelki.

Pri okoli 90 odstotkih izdelkov bodo lahko proizvajalci sami podali izjavo o skladnosti s pravili. Za približno 30 bolj kritičnih izdelkov, kot so procesorji, požarni zidovi, operacijski sistemi, pa bodo morali proizvajalci pridobiti potrdilo zunanjega izvajalca, je pojasnil Breton. Varni izdelki bodo nosili oznako CE.

Predlog poleg tega predvideva pravila za nadzor trga. Za to bodo skrbele pristojne nacionalne oblasti, o varnostnih incidentih pa bodo morali proizvajalci poročati Evropski agenciji za kibernetsko varnost (Enisa) s sedežem v Grčiji.

Če proizvajalec ne bo upošteval pravil, ga bodo najprej pozvali, naj to stori. Če tega še vedno ne bo storil, bodo izdelek umaknili s trga. Možna pa bo tudi uvedba finančne kazni, ki bo lahko dosegla največ 15 milijonov evrov ali pa največ 2,5 odstotka prometa na svetovnem trgu, je pojasnil evropski komisar za notranji trg.

Schinas je ob tem poudaril, da ne gre za dodatno evropsko oviro, ki se ji bodo skušali ljudje izogniti. "Nasprotno, prepričan sem, da bo to postal globalni standard, kot že večkrat v preteklosti," je poudaril.

Na vprašanje, ali predlog obsega tudi vohunsko opremo, katere tarča so v zadnjem času številni politiki, aktivisti in novinarji, pa je odgovoril, da same uporabe vohunske opreme ne pokriva. Bo pa zagotovil večjo varnost naprav in programske opreme, prek katerih izvajajo napade z vohunsko opremo.

Predlog bosta zdaj obravnavala Svet EU, v katerem so države članice, in Evropski parlament. Članice in gospodarski subjekti bodo imeli po uveljavitvi dve leti časa za prilagoditev novim pravilom.