Предложениот Закон за сајбер отпорност (CRA) воведува неколку клучни мерки, вклучувајќи основни безбедносни барања за производите и обврски за нивните производители да се справат со ранливостите штом ќе бидат откриени.
CRA бара од компаниите да имаат механизми за да ги поправат сите дефекти откриени во нивните уреди откако ќе бидат продадени на потрошувачите во период до пет години, или барем за време на очекуваниот век на траење на производот. Уредите кои не ги исполнуваат овие стандарди би можеле да бидат повлечени од пазарот, а производителите би можеле да се соочат со казни од 15 милиони евра или 2,5% од нивниот глобален годишен приход поради непочитување на правилата.
Практиките на производство и дизајн значат дека многу IoT производи на (Interent of Things) внесуваат дополнителни ризици во домашните и деловните мрежи на кои се поврзани. Во еден често цитиран случај, хакерите, наводно, биле во можност да украдат податоци од инаку добро заштитената компјутерска мрежа на казино откако упаднале во мрежата преку сензор за температура поврзан на Интернет, сместен во аквариум.
„Кога станува збор за сајбер безбедноста, Европа е силна само како нејзината најслаба алка: без разлика дали е ранлива земја-членка или небезбеден производ во синџирот на снабдување“, предупреди Тиери Бретон, европски комесар за индустрија.
„Компјутери, телефони, домашни апарати, виртуелни асистенти, автомобили, играчки – секој од овие стотици милиони поврзани производи е потенцијална влезна точка за сајбер напад“, додаде Бретон.
Предлог-законот вклучува принудување на производителите на „производи со дигитални елементи“ да ги дизајнираат, развиваат и произведуваат „на таков начин што ќе обезбедат соодветно ниво на сајбер безбедност“.
Со законот ќе им се забрани на компаниите да испраќаат производи со „секоја позната експлоатирачка ранливост“ и исто така ќе ги принуди компаниите да пријават значајни инциденти до агенцијата за сајбер безбедност на ЕУ ENISA во рок од 24 часа, а потоа да преземат соодветни мерки за да го решат проблемот.
Увозниците и дистрибутерите ќе треба да проверат дали производите се усогласени со правилата на ЕУ, а доколку не се во согласност со законот, можно е производот да се забрани прво на националниот, а потоа и на сите европски пазари.
Европската комисија соопшти дека сајбер нападите врз хардверски и софтверски производи ја чинеле глобалната економија 5,5 трилиони евра само минатата година.
Новиот закон може да ги намали трошоците на компаниите предизвикани од сајбер инциденти од 290 милијарди евра годишно на околу 29 милијарди евра, колку што е проценетата цена за усогласување со законот.
Сличен закон се усвојува и во Велика Британија, со кој на компаниите ќе им се забрани да продаваат уреди кои споделуваат иста стандардна лозинка.
Земјите членки на ЕУ ќе треба да се договорат за овој предлог прво во Европскиот совет, а потоа и во Европскиот парламент пред да стапи на сила.
Земјите-членки и производителите ќе имаат рок од две години да се усогласат со барањата на новиот закон, освен обврските за известување за производителите, кои ќе имаат само една година да ги воспостават своите процеси за откривање активно искористени ранливости и известување инциденти до агенцијата за сајбер безбедност ENISA. .