Các nhà cung cấp công nghệ kết nối internet – từ phần mềm Apple iPhone đến màn hình trẻ em – sẽ phải đáp ứng các yêu cầu an ninh mạng mới ở Liên minh châu Âu hoặc đối mặt với tiền phạt, theo một dự thảo đề xuất. do Bloomberg đưa tin.
Các quy tắc mới của Ủy ban Châu Âu được gọi là Đạo luật về khả năng phục hồi không gian mạng, sẽ được công bố vào tuần tới, nhằm mục đích cải thiện tính bảo mật của các thiết bị trước các cuộc tấn công trực tuyến đang gia tăng. trên toàn cầu. Thiệt hại từ phần mềm và phần cứng của tội phạm mạng lên tới khoảng 6 nghìn tỷ USD chỉ trong năm ngoái.
Đề xuất đang cố gắng giải quyết các lỗ hổng phổ biến trong lĩnh vực Internet of Things (IoT) đang bùng nổ, nơi mà ngay cả việc hack một thiết bị duy nhất, được gọi là ‘liên kết yếu nhất’, có thể dẫn đến tác động lan tỏa đến toàn bộ tổ chức hoặc chuỗi cung ứng. Ảnh: @AFP.
Các thiết bị gia dụng và các thiết bị công nghệ khác ngày càng được trang bị cảm biến và kết nối trực tuyến, tạo ra cái được gọi là Internet of Things. Theo dự thảo, các sản phẩm này có thể có “mức độ an ninh mạng thấp, được phản ánh bởi các lỗ hổng bảo mật phổ biến và việc cung cấp các bản cập nhật bảo mật không đầy đủ và không nhất quán để giải quyết các vấn đề bảo mật.” họ”.
Đồng thời, người dùng không được cung cấp đầy đủ thông tin về các tính năng bảo mật mạng của thiết bị được kết nối để đưa ra lựa chọn sáng suốt khi mua thiết bị đó.
Để giải quyết những lo ngại này, Ủy ban đang trình bày luật đầu tiên trên thế giới để đưa ra một khuôn khổ quy định cho tất cả các thiết bị được kết nối sẽ đảm bảo an ninh mạng của các sản phẩm này trong toàn bộ vòng đời của chúng. cuộc sống của họ.
“Trong một môi trường kết nối, một sự cố an ninh mạng của sản phẩm đơn lẻ có thể ảnh hưởng đến toàn bộ tổ chức hoặc toàn bộ chuỗi cung ứng, thường lan rộng qua biên giới của thị trường nội bộ trong vòng vài phút.” dự thảo mới cho biết. “Điều này có thể dẫn đến gián đoạn nghiêm trọng các hoạt động xã hội và kinh tế hoặc thậm chí đe dọa tính mạng.”
Theo các quy tắc đề xuất của EU, các sản phẩm sẽ phải đáp ứng các tiêu chuẩn mạng khác nhau để nhận được con dấu phê duyệt và được bán trong khu vực. Ảnh: @AFP.
Theo các quy tắc đề xuất của EU, các sản phẩm sẽ phải đáp ứng các tiêu chuẩn mạng khác nhau để nhận được con dấu phê duyệt và được bán trong khu vực. Các thiết bị nguồn mở sẽ không phải đáp ứng các quy tắc này trừ khi chúng được bán trên thị trường ở Châu Âu.
Các quốc gia EU – hoặc cơ quan mạng của EU, khi được ủy ban yêu cầu – sẽ có thể điều tra bất kỳ thiết bị nào được bán trong khu vực về việc không tuân thủ. Ngay cả khi các quy tắc mạng được đáp ứng, chúng vẫn có thể bị coi là “rủi ro an ninh mạng đáng kể”, gây nguy hiểm cho sức khỏe và sự an toàn của mọi người hoặc không tuân thủ các quyền cơ bản. .
Cơ quan An ninh mạng của Liên minh châu Âu, được gọi là ENISA, cũng sẽ thiết lập cơ sở dữ liệu lỗ hổng để giúp đánh giá các cuộc tấn công xuyên biên giới.
Nếu một thiết bị không đáp ứng các tiêu chuẩn mới, các cơ quan quản lý quốc gia có thể yêu cầu thu hồi hoặc loại bỏ sản phẩm đó khỏi thị trường EU. Trong những trường hợp ngoại lệ, Ủy ban Châu Âu cũng có thể làm như vậy.
Tiền phạt do vi phạm một phần thiết yếu của đề xuất quy định có thể lên đến 15 triệu euro, hoặc 2,5% doanh thu hàng năm trên toàn thế giới của một công ty, tùy theo mức nào cao nhất. Các vi phạm ít nghiêm trọng hơn có thể bị phạt 10 triệu euro hoặc 2% tổng doanh thu hàng năm toàn cầu.
Nếu một công ty bị phát hiện cung cấp thông tin “không chính xác, không đầy đủ hoặc gây hiểu nhầm”, công ty đó có thể bị phạt 5 triệu € hoặc lên đến 1% doanh thu hàng năm.
“Trong một thị trường được kết nối với nhau, chúng tôi chỉ mạnh bằng liên kết yếu nhất,” Ủy viên Thị trường Nội bộ Thierry Breton đã viết trong một bài đăng năm 2021. “Do đó, chúng ta phải nâng cao tiêu chuẩn. an ninh chung của nó ”.
Ủy ban châu Âu dự đoán rằng đề xuất này sẽ tiết kiệm từ 180 tỷ euro đến 290 tỷ euro mỗi năm. Tuy nhiên, các công ty và cơ quan công quyền sẽ phải chi khoảng 29 tỷ euro để tuân thủ và thực thi các quy tắc mạng mới.
Cơ quan điều hành EU sẽ công bố đề xuất của mình được gọi là “Đạo luật về khả năng phục hồi” vào ngày 13 tháng 9. Nó có khả năng trở thành luật sau khi có ý kiến đóng góp từ các nước EU.
Phạm vi
Quy định bao gồm “sản phẩm có các yếu tố kỹ thuật số”, được định nghĩa là “bất kỳ sản phẩm phần mềm hoặc phần cứng nào và các giải pháp xử lý dữ liệu từ xa của nó, bao gồm các thành phần phần mềm hoặc phần cứng được bán trên thị trường riêng”.
Các sản phẩm thuộc phạm vi điều chỉnh của luật ngành, chẳng hạn như thiết bị y tế, đã bị loại trừ.
Nếu một thiết bị không đáp ứng các tiêu chuẩn mới, các cơ quan quản lý quốc gia có thể yêu cầu thu hồi hoặc loại bỏ sản phẩm đó khỏi thị trường EU. Ảnh: @AFP.
Lời yêu cầu
Các nhà sản xuất sản phẩm IoT sẽ phải tuân thủ các yêu cầu thiết kế, phát triển và sản xuất thiết yếu trước khi thiết bị ra thị trường. Họ sẽ tiếp tục theo dõi và giải quyết các lỗ hổng trong toàn bộ vòng đời của nó thông qua các bản cập nhật tự động miễn phí.
“Các nghĩa vụ sẽ được thiết lập đối với các nhà điều hành kinh tế, bắt đầu từ các nhà sản xuất, đến các nhà phân phối và nhập khẩu, liên quan đến việc đưa ra thị trường các sản phẩm có yếu tố kỹ thuật số, phù hợp với vai trò và trách nhiệm của họ trong chuỗi cung ứng”, dự thảo nêu rõ.
Danh sách các yêu cầu thiết yếu bao gồm mức độ an ninh mạng ‘thích hợp’, cấm tung ra các sản phẩm có bất kỳ lỗ hổng đã biết nào, bảo mật theo mặc định, bảo vệ khỏi truy cập trái phép, hạn chế bề mặt tấn công và giảm thiểu tác động của sự cố.
Sản phẩm phải đảm bảo tính bảo mật của dữ liệu, bao gồm sử dụng mã hóa, bảo vệ tính toàn vẹn của sản phẩm và chỉ xử lý dữ liệu thực sự cần thiết cho hoạt động của sản phẩm.
Các nhà sản xuất sẽ phải xác định các lỗ hổng trong sản phẩm thông qua các bài kiểm tra thường xuyên và giải quyết chúng ngay lập tức. Tương tự như chỉ thị An ninh mạng và Thông tin (NIS2) được sửa đổi gần đây, đạo luật được đề xuất được thiết lập để yêu cầu các nhà sản xuất báo cáo các lỗ hổng và khai thác các sự cố.
Tờ Financial Times lần đầu tiên đưa tin về dự thảo của đề xuất này.
