Europos Komisija, atsižvelgdama į kibernetinių incidentų statistiką ir kibernetinio saugumo raidos tendencijas Europoje, pateikė naujo ES teisės akto pasiūlymą – Kibernetinio atsparumo aktą (angl. Cyber resilience act). Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės vadovas Antanas Aleknavičius paaiškina, kad šiuo aktu siekiama nustatyti privalomus kibernetinio saugumo reikalavimus techninės ir programinės įrangos produktams visam jų gyvavimo ciklui.
„Lietuvoje 2021 metais buvo užfiksuota 1890 kibernetinio saugumo incidentų, įvykdytų pasitelkiant kenkimo programinę įrangą, bei 1187 duomenų viliojimo (angl. phishing) atvejai. Kibernetinio atsparumo aktu siekiama ne tik užtikrinti, kad į ES rinką nebepatektų produktai su žinomais kibernetinio saugumo pažeidžiamumais, bet ir įpareigoti tiekėjus suteikti naudotojams išsamią informaciją apie įsigyjamus produktus ir jų kibernetinį saugumą“, – sako A. Aleknavičius.
Skaičiuojama, jog ES kas 11 sekundžių įvykdoma išpirkos reikalavimo programinės įrangos (angl. ransomware) ataka, o per 2021 m. įvykdytų kibernetinių nusikaltimų žala visame pasaulyje siekė 5,5 trln. EUR.
2022 metais paskelbta ES kibernetinio saugumo agentūros (ENISA) grėsmių ataskaita patvirtina, jog pastarųjų metų tendencijos rodo, kad vis labiau tobulėja kibernetinės atakos, kurioms vykdyti pasitelkiami mobilieji tinklai ir daiktų interneto aparatinė bei programinė įranga.
Kibernetinio atsparumo aktas papildys kitų ES kibernetinio saugumo teisės aktų sąrašą, sukurdamas aiškius įpareigojamus skaitmeninių elementų turinčių produktų gamintojams. Naujuoju aktu siekiama:
- užtikrinti, kad gamintojai padidintų produktų su skaitmeniniais elementais saugumą nuo projektavimo ir kūrimo etapo ir per visą gyvavimo ciklą;
- užtikrinti nuoseklią kibernetinio saugumo sistemą, palengvinančią aparatinės ir programinės įrangos gamintojų reikalavimų laikymąsi;
- padidinti produktų su skaitmeniniais elementais saugumo savybių skaidrumą ir
- sudaryti sąlygas įmonėms ir vartotojams saugiai naudoti produktus su skaitmeniniais elementais.
Kibernetinio atsparumo aktas ENISA ir Komisijos atstovų buvo pristatytas Kibernetinio saugumo tarybos nariams Lietuvoje 2022 m. lapkričio 8 d.
ES Taryba palankiai vertina Komisijos pasiūlymą, tačiau išreiškė poreikį patikslinti pasiūlymo turinį bei išaiškinti naujojo akto sąveiką su kitais ES teisės aktais, tokiais kaip neseniai įsigaliojusi Tinklo ir informacinių sistemų saugumo direktyva (NIS2) ir 2019 m. įsigaliojęs Kibernetinio saugumo aktas (CSA). Europos Kibernetinio saugumo organizacija (ECSO) savo ruožtu skatina ES pateikti gaires, kuriomis turėtų vadovautis įmonės, laikanti šio reglamento sąveikoje su kitais teisės aktais, pavyzdžiui, ES finansinių subjektų kibernetinio saugumo reikalavimus reglamentuojančiu skaitmeninės veiklos atsparumo aktu (DORA) ar Dirbtinio intelekto aktu.
Priėmus Kibernetinio atsparumo aktą, gamintojai ES bei valstybės narės prie naujų reikalavimų turės prisitaikyti per dvejus metus. Apie saugumo spragas ir incidentus gamintojai privalės pranešti po vienerių metų nuo kibernetinio atsparumo akto įsigaliojimo.
