Avrupa Birliği, Akıllı Cihazlar için Siber Güvenlik Kuralları Sunmaya Hazırlanıyor 

Avrupa Birliği’nin (AB) yürütme organı olan Avrupa Komisyonu, yetersiz siber güvenlik içerikleri ve uygulamaları kapsamında ürün sunan elektronik üreticilerine yönelik siber-direnç yasası sunmaya hazırlanıyor. Uzmanlara göre yasa kapsamında üreticilere yönelik siber güvenlik derecelendirmesi ve cezalar gündeme gelebilir.

Önerilen kapsamlı yasa, Avrupa Birliği’nde satılan “dijital özellikli” tüm ürünler ile herhangi bir ağa bağlı donanım ve yazılımları kapsıyor. Cyber Resilience Act (CRA), insanların kullanımı için geliştirilen medikal cihazlar dışında neredeyse tüm ağ bağlantılı cihazları içerirken aynı zamanda “ticari faaliyetler dışında sunulan ücretsiz veya tedarik edilebilir açık kaynaklı yazılımları” da içeriyor. Bu tanıma temelde “yüksek riskli AI (yapay zeka) sistemleri” ve elektronik hasta kayıtlarının girdiği kaydedildi.

Satışının ardından, üreticilerin ürünleri hakkında öngörülen kullanım süresinde veya beş yıl boyunca güvenlik hassasiyetlerini “etkin bir şekilde kontrol edeceğine” dair garanti vermesi gerekiyor.

Güvenlik ihlalleri 24 saat içerisinde bildirilecek

Yasa kapsamında, Avrupalı elektronik üreticileri bir güvenlik ihlalinden haberdar olmaları halinde ilk 24 saat içinde Avrupa siber güvenlik idaresi ENISA’yı bilgilendirmek zorunda. CRA, AB yasasındaki eksiklikleri gidermeye çalışacağı gibi mevcut Ağ ve Bilgi Sistemlerini (NIS Direktifi) tamamlamak için sunulacak.

Yasa diğer taraftan yakın geçmişte hayata geçen NIS 2 Direktifi (özetle yazılım hizmeti sunanlar ve bulut hizmet sağlayıcılarını içeriyor) ve AB Siber Güvenlik Yasası güçlendirmeyi de amaçlıyor.

Güvenlik uzmanları, siber güvenlik alanında Avrupa’nın “zayıf halka” sorunu şeklinde ifade ediyor, dolayısıyla söz konusu zayıf halkanın altyapısı yetersiz bir üye ülke veya tedarik zincirindeki tehlikeli bir ürün olabileceği” kaydediliyor.

Uzmanlar, yüz milyonlarca bilgisayar, telefon, akıllı ev cihazı, sanal asistan cihazı, bağlantılı araçlar ve akıllı oyuncakların siber saldırı için başlangıç noktasını temsil ettiğini hatırlatıyor. Dahası, birçok donanım ve yazılım halen hiçbir siber güvenlik denetimine tabi tutulmuyor. Cyber Resilience Act yasasının bu aşamada “Avrupa’nın ekonomisine ve ortak güvenliğine” katkıda bulunması öne çıkan beklentiler arasında.

Gerekli şartlara uyum süresi 24 ay

Yasanın hayata geçmesinin ardından, elektronik üreticilerinin gerekli şartlara uyum sağlamak için 24 ay süresi olacak. Bu süre zarfı içinde, ürünlerin yeni siber güvenlik standartlarına uyduğunu gösteren CE damgası taşıması gerekecek.

Yasa kapsamındaki şartlara uyulmaması halinde, şirketler 15 milyon dolara kadar para cezası veya bir önceki mali yılda elde edilen gelirin %2,5’lik kısmını ceza maiyetinde ödemek zorunda kalacak (detay: Hangisi daha yüksekse ceza olarak belirlenecek).

AB, farklı cihazları siber unsurların doğurabileceği olumsuz sonuçlar kapsamında Class II veya Class I olarak sınıflandıracak. Class I, belli bir aralıkta yer alan güvenlik donanımı ve yazılımlarını içerecek. Class II işletim sistemlerinden işlemcilere, router’lara, akıllı kartlara, IoT cihazlarına, robotik alıcılara ve sanayi otomasyon & kontrol sistemlerine kadar her türlü ürünü içerecek.

Diğer detaylar

Siber güvenlik politikaları ve regülasyonlar anlamında dikkat çekici bir gelişmeyi temsil eden yasa tasarısı, ek olarak üreticilerin “koordineli hassasiyet raporlama politikası” bulundurmasını şart koşuyor. Söz konusu şart altında üçüncü partilere ait raporlamaların nasıl bildirildiği ve ödül avcılığı programlarına yönelik izinler detaylandırılacak.

Avrupa’ya elektronik ürün ithalatı yapan şirketler de ürünlerinin CRA ile uyumlu olduğundan, CE etiketi taşıdığından ve üzerlerinde iletişim bilgileri bulundurduğundan emin olmak zorunda. Üreticilerin, ürün uyumluluğuna dair belgeleri, satıştan sonra takip eden 10 yıl içinde bulundurması gerekiyor.

Avrupa Parlamentosu ve Konseyi taslak durumdaki CRA yasalarını değerlendirecek ve son safhası oylamaya sunulacak. Yasa uygulama geçtiği andan itibaren üreticiler ve üye ülkeler, iki yıl içinde yeni şartlara uyum sağlamak zorunda.

Avrupa Komisyonu ya da tam adıyla Avrupa Toplulukları Komisyonu, yaklaşık 30 bin personelle desteklenip 27 komisyon üyesinden oluşan Avrupa Birliği politikalarının tasarlayıcısı ve koordinatörü, başka bir deyişle Avrupa Birliği’nin yürütme organıdır.