Šefovi velikih evropskih tehnoloških kompanija pozivaju zakonodavce trgovinskog bloka da revidiraju predloženi zakon o sajber bezbjednosti, za koji tvrde da će stvoriti uska grla koja ometaju lanac nabavke.
Zakonodavstvo koje je Evropski parlament brzo usvojio pod nazivom Zakon o sajber otpornosti, zahtijeva od proizvođača određenih visokorizičnih proizvoda da prođu procjenu rizika treće strane prije nego što puste proizvode na tržište. Prijedlog, koji je iznijela Evropska komisija 2022. godine, prošao je ključni parlamentarni odbor u julu i ubrzano je doveo do pregovora između zakonodavaca i Evropskog vijeća, tijela direktnih predstavnika vlada nacionalnih država, u razgovorima uz posredovanje Evropske komisije.
Evropi nedostaje kapacitet da izvrši toliki broj procjena trećih strana, rekli su izvršni direktori kompanija uključujući Siemens, Ericsson i Schneider Electric u pismu koje je predvodilo trgovinsko udruženje Digital Europe.
“Rizikujemo da stvorimo blokadu u evropskim lancima nabavke u stilu COVID-a, poremetivši jedinstveno tržište i naštetiti našoj konkurentnosti”, navodi se u pismima, pozivajući se na prekide u proizvodnji uzrokovane početkom nove pandemije koronavirusa 2020. Prijedlog bi mogao uticati na sve, od mašina za pranje veša do proizvoda za kibernetičku sigurnost, navodi se u pismu.
Kontraprijedlog koji je podržao Evropski savjet uvelike bi suzio broj kritičnih proizvoda koji podliježu obaveznim sigurnosnim procjenama trećih strana. Prema stavu Vijeća, samo “hardverski uređaji sa sigurnosnim kutijama”, pametna brojila i pametne kartice podliježu sertifikaciji treće strane.
Digital Europe je saopštila da će prijedlog i dalje predstavljati rizik od uskog grla čak i ako Vijeće pobijedi u trijalognim pregovorima, zbog jezika u prijedlogu zakona koji zahtijeva da proizvodi s manjim rizikom samosertifikacije ispunjavaju sigurnosne standarde. Samosertifikacija će biti moguća samo ako Evropska unija odobri usklađene standarde samosertifikacije. “Neće biti dovoljno vremena da se standardi finaliziraju i, uopšteno, da se privatni i javni sektor pripreme za novi režim usklađenosti”, rekao je zvaničnik Digital Europe Media Groupe.
Potpisnici pisma su također zabrinuti zbog odredbe koja zahtijeva od programera softvera da prijave ranjivosti u roku od 24 sata od njihovog otkrivanja.
S obzirom na to da je Evropa trenutno svjedok nedostatka radne snage za sajber bezbjednost, navodi se u pismu, predložena klauzula bi mogla rezultovati velikim obimom izvještavanja iznad kapaciteta sajber agencija.
Sličnu zabrinutost izrazili su stručnjaci za kibernetičku sigurnost, koji su nedavno upozorili da bi državne i druge hakerske grupe mogle ciljati centralizovanu bazu podataka za prijavljivanje ranjivosti kako bi pristupili nultim danima i drugim kritičnim nedostacima za hakerske kampanje (pogledajte: Cyber Mavens Slam European’s Cyber Resilience Act ).
U pismu od ponedjeljka, čelnici kompanija pozvali su zvaničnike EU da izmijene predloženi rok za ranjivost od 24 sata kako bi uključili samo aktivno iskorištavane nedostatke koji predstavljaju “značajan rizik za sajber sigurnost”.
Dodali su da bi proizvođačima trebalo dozvoliti da donesu “odluku” o tome koje nedostatke zakrpiti “na osnovu opravdanih osnova vezanih za sajber bezbjednost”.
Izvor: Bank Info Security
