بررسی اجمالی قانون تاب‌آوری سایبری اتحادیه اروپا

بررسی اجمالی قانون تاب‌آوری سایبری اتحادیه اروپا
تاریخ انتشار : ۰۳ مرداد ۱۴۰۲

این قانون مقرراتی جدید برای ایمنی ابزار‌های شبکه‌محور و محصولات اینترنت اشیا وضع می‌کند.

به گزارش گرداب، کمیته‌ی نمایندگان در شورای اتحادیه اروپا (COREPER) با پیشنهاد کمیسیون اروپا در خصوص قانون تاب‌آوری سایبری این اتحادیه (Cyber Resilience Act) موافقت کرد. این طرح قانونی با هدف کسب اطمینان از ایمنی کافی محصولاتِ دارای قطعات دیجیتال و شبکه‌محور پیشنهاد شده بود.

اتحادیه اروپا پیش از این نیز مقرراتی درباره ایمنی سایبری برخی از ابزار‌ها و دستگاه‌های دیجیتالی نظیر تجهیزات پزشکی، تجهیزات هوانوردی و خودرو‌ها تصویب کرده بود. با این حال قانون جدید بر محصولات اینترنت اشیا و ابزار‌های مشابه متمرکز است. محصولاتی که قصد حضور در بازار اتحادیه اروپا را دارند طبق این قانون ارزیابی خواهند شد.

تمام دستگاه‌هایی که به شکل مستقیم یا غیرمستقیم به دستگاه‌های دیگر اتصال پیدا می‌کنند (به جز استثنائاتی که گفته شد) مشمول این قانون جدید هستند.

قانون تاب‌آوری سایبری قصد دارد دسته‌ای از ملزومات اجباری را برای تمامی زنجیره‌ی تامین اینگونه محصولات (از طراحی و تولید تا بازاریابی) تعریف کند. همچنین این قانون قصد دارد با ایجاد وحدت رویه بین کشور‌های عضو، از هم‌پوشانی و تضاد مقررات کشور‌ها با یکدیگر جلوگیری کند. یکی دیگر از اهداف این قانون نیز ارائه شاخص‌هایی درباره میزان رعایت توصیه‌های ایمنی سایبری در هر یک از ابزار‌ها است تا مصرف‌کنندگان بتوانند انتخاب آگاهانه‌تری بین محصولات داشته باشند.

حرکت دولت‌ها به سمت وضع مقررات ایمنی سایبری

این اقدام اتحادیه اروپا در حالی است که اخیراً دولت آمریکا نیز برای ارتقای سطح ایمنی محصولات و تجهیزات شبکه‌محور و دیجیتال، طرحی را اجرا کرده که در آن محصولات بعد از بررسی استاندارد‌های ایمنی سایبری نشانی با عنوان «نشان اعتماد سایبری» دریافت می‌کنند؛ چیزی شبیه به نشان سیب سلامت محصولات غذایی در کشور ما. هدف از این طرح آگاه‌سازی مصرف‌کنندگان نسبت به ایمنی محصولات و ترغیب تولیدکنندگان به رعایت مقررات امنیتی است.

در کشور ما استفاده از تجهیزات اینترنت اشیا و ابزار‌های متصل به شبکه (نظیر لوازم خانگی و تجهیزات حفاظتی مثل دوربین‌های مداربسته) به شکل روزافزون در حال گسترش است. از طرفی آغاز توسعه‌ی فناوری 5G نیز نوید شتاب گرفتن این روند را در آینده‌ی نزدیک می‌دهد. با این حال خلأ قانون‌گذاری و تنظیم‌گری در حوزه اینترنت اشیا در کشور ما ملموس است. بار‌ها در کشور ما تجربه شده است که خلأ حکمرانی فعال و پیش‌دستانه در حوزه‌ی فناوری‌های نوین باعث شده مقابله با مخاطرات ایجادشده‌ی آتی توسط آن فناوری‌ها، هزینه‌های سنگین و اثربخشی ناکافی داشته باشد.

بهره‌گیری از تجربه‌های جهانی می‌تواند به مجموعه‌های تصمیم‌ساز و تصمیم‌گیر کشور ما کمک کند تا با اعمال مقررات و استاندارد‌های ایمنی، از تبدیل شدن اینترنت اشیا به یک خطر امنیتی بالفعل جلوگیری کنند. همچنین تجربه آمریکا و اروپا نشان می‌دهد آگاه‌سازی و آموزش مردم نسبت به امنیت اطلاعات در تجهیزات متصل به اینترنت باید در متن اقدامات حاکمیتی در این زمینه باشد.

مفاد پیشنهاد کمیسیون چه بود و شورا چه چیز‌هایی به آن افزود؟

اکنون شورای اروپا به عنوان نهاد عالی سیاسی این اتحادیه، با پذیرش پیشنهاد کمیسیون اروپا و افزودن بند‌هایی به آن، قانون تاب‌آوری سایبری را یک گام دیگر به تحقق نزدیک کرده است. اتحادیه حداقل از سال ۲۰۲۰ نیاز اروپا به داشتن قوانین جامع برای تحت پوشش قرار دادن تمام ابعاد امنیت سایبری را اعلام کرده بود.

این‌ها برخی از پیشنهادات کمیسیون اروپا در این قانون بود:

  • ارائه‌ی قواعدی برای مشخص شدن مسئولیت تولیدکنندگان تجهیزات و دستگاه‌ها در خصوص امنیت سایبری محصولات خود؛ نظیر ارزیابی ریسک‌های امنیتی، تعهد تطابق با مقررات و همکاری با مقامات ذی‌ربط
  • تنظیم رویه‌هایی برای رسیدگی به آسیب‌پذیری‌های امنیتی توسط تولیدکنندگان و سایر عاملان زنجیره تولید و توزیع
  • انجام اقداماتی با هدف شفاف‌سازی ایمنی سخت‌افزار‌ها و نرم‌افزار‌ها برای مصرف‌کنندگان و ایجاد یک بستر نظارتی در بازار برای اعمال قواعد مربوط به شفاف‌سازی

شورا نیز پس از بررسی این پیشنهادات نکاتی را به آن افزود، از جمله:

  • تحت پوشش قرار دادن دسته‌های جدیدی از ابزار‌های دیجیتال و شبکه‌محور در قانون
  • لزوم گزارش‌دهی رخداد‌ها و آسیب‌پذیری‌ها به مقامات مسئول ملی در هر کشور به جای نهاد امنیت سایبری اروپا (ENISA) و الزام این نهاد برای ایجاد یک بستر واحد برای گزارش‌دهی
  • ارائه‌ی پیشنهاداتی برای شناخت عناصر مورد نیاز در خصوص محاسبه پیش‌بینی عمر یک دستگاه توسط تولیدکننده
  • اقدامات حمایتی برای شرکت‌های کوچک
  • ساده‌سازی روال تعهددهی تولیدکنندگان

اکنون مقامات ارشد اتحادیه وارد مذاکراتی با پارلمان اروپا برای دست‌یابی به یک نسخه نهایی از این قانون خواهند شد.