Отговор от APPLiA относно предложението за Европейска схема за сертифициране на продукти и услуги в областта на ИКТ

6.5.2018 г

Тъй като все повече и повече домакински уреди се свързват, онлайн дейностите и услугите се увеличават и цифровизацията на индустрията на домакинските уреди се развива, киберсигурността е решаващ въпрос за приложимост.

За нашите членове, осигуряващи киберсигурността от етапите на проектирането, развитието и производството на уредите до свързването на уредите с цифровата екосистема у дома и обезпечаване на сигурността до края на живота е наложително да се гарантира доверието на потребителите в нашите уреди и в нашата индустрия. Това в нашата индустрия е  ангажимент за “сигурност по проект”.
Затова искаме да работим с европейските политици Акта за киберсигурността наистина да защитава европейските потребители. В същото време смятаме, че е важно да се насърчават иновациите и да се стимулира растежът на промишлеността в Европа. Ние използваме възможността да представим приноса си за предизвикателствата и възможностите, които виждаме в предложения Акт за киберсигурността, най-вече:Предложената рамка за сертифициране на киберсигурността трябва да бъде доброволна, а схемите трябва да бъдат динамични, за да удостоверят способността да могат да реагират на нови предизвикателства и рискове.

  • Предложената рамка следва да дава възможност за самодеклариране по подразбиране, а въвеждането на трета страна за сертифициране да бъде само за критични изисквания. В допълнение, задължителен е силен надзор на пазара.
  • Установяването и опционалното удостоверяване на подходящите процеси на разработване, изпитване и мониторинг се считат за по-ефективни в сравнение със сертификацията на продукта.
  • Предложената рамка следва да гарантира общоевропейска схема.
  • Стандартите и практиките зад всяка сертификационна схема ще бъдат от решаващо значение. Те следва да разработени бъдат ръководени с водеща роля на индустрията и по открит, прозрачен и основан на консенсус начин.

1. Доброволен подход

APPLiA сме убедени, че създаването на европейска рамка за киберсигурността може да бъде от полза, но само ако рамката дава възможност за конкретни, доброволни, динамични, отраслови и достъпни схеми за сертифициране. В допълнение, поради глобалната значимост на пазара на домакински, уреди трябва да се има предвид международното признаване и съвместимостта на такива схеми. Освен това рамката следва да отчита, че различните групи продукти и услуги ще изискват различен подход. Въпреки че някои способности за реагиране на кибер заплахите могат да бъдат стандартизирани, не съществува един универсален подход, който да обхваща асортимента от настоящи и бъдещи IoT технологии и потенциалните рискове, свързани с тях. Затова са необходими различни подходи за различните сектори. Нещо повече, елементите, които трябва да се включат, трябва да бъдат водещи и да не преписват или използват във всяка схема. Решение следва да се вземе въз основа на приноса на заинтересованите от всяка една схема страни.

Все пак, настоящото предложение може да има вече непредвидени последици от това някои схеми да бъдат задължителни по подразбиране. Тъй като предложението дава възможност на ENISA да определя схемите чрез съотнасяне към други стандарти на Европейския Съюз или на международната общност, всяко позоваване на “състоянието на техниката” (например в областта на неприкосновеността на личния живот по проект) може автоматично да го обоснове като задължително на практика. Макар това да не е намерението на това предложение, следва да се даде предимство на правната сигурност.
Освен това разпокъсаността на националните правила за киберсигурността се разпространи и може да представлява бариери пред единния пазар, особено в области, в които се използват за достъп до пазара. Ето защо ние подкрепяме предложението на Комисията, че след приемането на конкретна схема на ЕС и на свързания с него сертификат да отпадне обхващаща същата област националната схема. В противен случай ще съществува правно несигурен и объркан пазар за тези технологии.

2. Само-декларация

Ние вярваме, че законът за киберсигурността трябва да включва самостоятелно деклариране като опция по подразбиране.

Самосто-декларация без участието на трета страна, е добре установен и ефективен подход в производството на домакински уреди. Тя дава възможност за необходимата гъвкавост, бързина, налични ресурси и не създава ненужни административни и финансови тежести за производителите и властите.

Продукти и приложения, които са сертифицирани от трета страна, не са непременно по-сигурни или по-надеждни от самостоятелно декларираните продукти, тъй като декларацията се основава на тест, направен в съответствие с предварително определените правила и изисквания в определен момент. Това означава, че динамичните промени, които винаги присъстват в средата на киберсигурността, и параметрите, които не са предвидени в тестовите процедури, не могат да бъдат открити при сертифициране от трета страна на прототип. От друга страна, процедурата за самодеклариране на производителя дава възможност за бърза и гъвкава реакция на променящите се условия и може да предостави съответната актуализирана информация за киберсигурността. Когато се комбинира със силен надзор на пазара самодекларирането осигурява надеждна и законово ефективна информация. Следователно тя може да постигне поне същата степен на прозрачност и доверие като сертификация от трета страна, но преди всичко може да осигури изпълнението на техническите изисквания, които са необходими за сигурността на крайния потребител.

Затова ние предлагаме в рамката за сертифициране, предложена в Закона за киберсигурността, самодекларацията да остане признат принцип, докато сертификацията на трети страни ще бъде изключение само за критичните области. В случай на сертифициране от трета страна лабораториите, които ще тестват критичните продукти, следва да бъдат признати на европейско ниво и оценени от акредитиран орган.

3. Етикетиране и надзора на пазара

Предложената рамка може да въведе или по-нататъшно разработване на практики за етикетиране от компаниите, за да се докаже доброволното съответствие. Наличието на етикет обаче не гарантира (продължаващата) сигурност на продукта. Освен това всеки етикет ще бъде също толкова полезен, колкото и последващия надзор на пазара, тъй като дружествата, които инвестират в етикетиране, трябва да могат да правят това в условия на равнопоставеност и без заплахата от конкуриране с нелоялни компании, които могат да поставят етикети на несъответстващи технологии.
Това ще изисква значителни инвестиции на държавите-членки, за да следват пазара. Нашият дългогодишен опит показа, че наблюдението на пазара създава равнопоставеност и гарантира надеждността на предоставената на пазара информация (напр. декларации за съответствие от производителя). За да се гарантира ефективната оценка на киберсигурността на продуктите, органите за надзор на пазара се нуждаят от значително повече ресурси, което означава повече бюджет и персонал, тъй като оценката на киберсигурността изисква изчерпателни и задълбочени познания, както и ефективни процедури за тестване.

Понастоящем Законът за киберсигурността не дава силна роля за надзора на пазара и разчита основно на дейностите по оценяване на съответствието, извършвани от трети страни, които вероятно няма да могат да предприемат подходящи или ефективни действия срещу неправилна употреба и нарушения на закона, докато органите за надзор на пазара биха могли да направят това.

4. Стандартизация

При разработването на схемите за сертифициране съгласно рамката за киберсигурността, предложена в съответствие със Закона за киберсигурността трябва да вземем предвид, че 100% сигурност просто не е възможна. Следователно схемите и изискванията, включени в схемите, следва да отразяват, че ще съществува приемлив граничен риск.
Определянето на изискванията обикновено е ролята на организациите разработващи стандартите. Европейските организации за стандартизация като CEN/CENELEC и ETSI и международните организации за стандартизация като ISO и IEC имат богат опит в разработването на технически спецификации на европейско и международно равнище, поради което те, заедно с индустрията, трябва да бъдат в основата на разработването на стандартите на киберсигурността, прилагани в рамките на схемите за сертифициране. Тъй като ин технологиите се развиват и се разширяват с бързи темпове ние вярваме, че е необходимо да имаме специфични за сектора стандарти, които са в основата на основните стандарти за сигурност в отрасъла и разработките са водени от индустрията по открит и прозрачен начин и с консенсус.

Вижте предложените изменения на предложението за Регламент на Европейския парламент и на Съвета относно ENISA, Агенцията на ЕС за киберсигурността (Акт за киберсигурността), (COM (2017) 477 окончателен) & пълната позиция ТУК.

http://www.applia-europe.eu/