EU-lovgivere har foreslått et nytt sett med produktregler som skal gjelde for smarte enheter som er ment å tvinge produsenter av Internett-tilkoblet maskinvare – for eksempel “smarte” vaskemaskiner eller tilkoblede leker – til å ta stor hensyn til enhetssikkerhet.
Det foreslåtte EU Lov om cyberresiliens vil innføre obligatoriske nettsikkerhetskrav for produkter som har «digitale elementer» solgt i hele blokken, med krav som gjelder gjennom hele livssyklusen deres – noe som betyr at gadgetprodusenter må tilby løpende sikkerhetsstøtte og oppdateringer for å korrigere nye sårbarheter – kommisjonen sa i dag.
Utkastet til forskrift har også fokus på at produsenter av smarte enheter kommuniserer til forbrukerne «tilstrekkelig og nøyaktig informasjon» – for å sikre at kjøpere kan forstå sikkerhetshensyn ved kjøpet og sette opp enheter sikkert etter kjøpet.
Straffer foreslått av kommisjonen for manglende overholdelse av «essensielle» nettsikkerhetskrav skalerer opp til det høyeste av €15 millioner eller 2,5 % av verdensomspennende årlig omsetning, med andre brudd på reguleringsforpliktelser med en maksimal sanksjon på €10 millioner eller 2 % av omsetningen.
EUs leder sa at den foreslåtte forordningen vil gjelde for alle produkter som er koblet “enten direkte eller indirekte til en annen enhet eller et annet nettverk” – med noen unntak for produkter som krav til nettsikkerhet allerede er fastsatt for i eksisterende EU-regler, for eksempel medisinsk utstyr, luftfart og biler.
Pan-EU-regler for smartenhetssikkerhet
I en oppsummering av de foreslåtte tiltakene, som er basert på en Lovgivende rammeverk for EUs produktlovgivning som ble oppdatert i 2008, sa kommisjonen at de vil fastsette:
(a) regler for markedsføring av produkter med digitale elementer for å sikre deres nettsikkerhet;
(b) vesentlige krav for design, utvikling og produksjon av produkter med digitale elementer, og forpliktelser for økonomiske aktører i forbindelse med disse produktene;
c) essensielle krav for sårbarhetshåndteringsprosesser som er på plass av produsenter for å sikre cybersikkerheten til produkter med digitale elementer gjennom hele livssyklusen, og forpliktelser for økonomiske aktører i forhold til disse prosessene. Produsenter vil også måtte rapportere aktivt utnyttede sårbarheter og hendelser;
d) regler om markedsovervåking og håndheving.
“De nye reglene vil rebalansere ansvar overfor produsenter, som må sikre samsvar med sikkerhetskravene til produkter med digitale elementer som er gjort tilgjengelig på EU-markedet,” skrev den i en pressemelding. “Som et resultat vil de være til fordel for forbrukere og innbyggere, så vel som bedrifter som bruker digitale produkter, ved å øke gjennomsiktigheten av sikkerhetsegenskapene og fremme tillit til produkter med digitale elementer, samt ved å sikre bedre beskyttelse av deres grunnleggende rettigheter, som f.eks. som personvern og databeskyttelse.”
En kommisjon Spørsmål og svar på initiativet fastsetter videre at produsenter vil gjennomgå “en samsvarsvurderingsprosess for å vise om de spesifiserte kravene knyttet til et produkt er oppfylt”. Den bemerker at dette kan gjøres via egenvurdering eller av en tredjeparts samsvarsvurdering “avhengig av hvor kritisk det aktuelle produktet er”.
Der samsvar med gjeldende krav er påvist, vil enhetsprodusenter kunne påføre EUs CE-merke – som indikerer samsvar for digitale elementer med produktsikkerhetsforskriften.
Manglende etterlevelse vil bli håndtert av markedsovervåkingsmyndigheter utnevnt av medlemsstatene som vil være ansvarlige for håndhevelse – med foreslåtte fullmakter til ikke bare å beordre en stopper for manglende overholdelse, men «eliminere risikoen» ved å forby et produkt fra å selges eller på annen måte begrense tilgjengeligheten på markedet. Kompetente myndigheter kan også beordre krenkende produkter som skal trekkes tilbake eller tilbakekalles. Selv om feil, ufullstendig eller villedende informasjon til regulatorer og overvåkingsmyndigheter oppgis, risikerer du en bot på opptil 5 millioner euro eller 1 % av omsetningen.
Margrethe Vestager, EVP for digital strategi, la til: «Vi fortjener å føle oss trygge med produktene vi kjøper i det indre markedet. Akkurat som vi kan stole på et leketøy eller et kjøleskap med CE-merking, vil Cyber Resilience Act sikre at de tilkoblede objektene og programvaren vi kjøper overholder sterke sikkerhetstiltak for nettsikkerhet. Det vil legge ansvaret der det hører hjemme, hos de som plasserer produktene på markedet.»
Smarte enheter har vært en varm seng av skrekkhistorier om sikkerhet i årevis. Selv om det har vært tidligere lovgivningsmessige grep for å tette skarpe sikkerhetshull – for eksempel en 2018 California lov forbyr produsenter å angi enkelt gjettebare standardpassord i enheter.
Storbritannia har også jobbet med enlov om sikkerhet ved design for tilkoblede gadgets i en årrekke — lufte et utkast tilbake i 2019 (selv om dette produktsikkerhetsregningsom samler sikkerhetsbestemmelser for telekominfrastruktur, er fortsatt på vei gjennom det britiske parlamentet).
Til tross for at EU ikke er først ute med sikkerhet for smartenheter, håper EU at dens begynnende tilnærming vil bli et internasjonalt referansepunkt, med kommisjonens pressemelding som antyder: «EU-standarder basert på Cyber Resilience Act vil lette implementeringen og vil bli en ressurs for EUs cybersikkerhetsindustri i globale markeder.»
Det er imidlertid fortsatt en ganske lang vei for forslaget å reise før det kan bli EU-lov, ettersom Europaparlamentet og rådet må undersøke utkastet – og kan forsøke å endre det.
Kommisjonen har også foreslått en tidsramme på to år når forordningen er vedtatt, slik at enhetsprodusenter og EU-medlemsstater kan tilpasse seg hele spekteret av de nye reglene. Så forskriften vil sannsynligvis ikke bite mye før 2025.
Når det er sagt, er det en kortere tidsramme for rapporteringsplikten på produsenter for “aktivt utnyttede sårbarheter og hendelser” – som vil gjelde ett år fra datoen for ikrafttredelse av forordningen, ettersom kommisjonen forventer at den delen skal være lettere å implementere .