בספטמבר 2022, פרסמה הנציבות האירופית את ה- Cyber Resilience Act, הצעת חקיקה אשר כוללת הוראות שמטרתן הגברת בטיחות הסייבר של מכשירים ותוכנות דיגיטליות באיחוד האירופי. החובות העיקריות שקובעת הצעת החוק נוגעות לצעדים שצריכים לנקוט יצרני המכשירים, ומאפיינים שיש לאמץ בתכנון ופעולת המכשירים (best practices) על מנת לשמור על רמה גבוהה ומיטבית של אבטחת סייבר.
הצורך בחקיקה ומטרותיה
הצעת החוק מצביעה על כך כי קיים צורך לעדכן את חקיקת אבטחת הסייבר הקיימת באיחוד האירופי, מכיוון שהסיכונים הקיימים במצב הנוכחי גורמים לעלויות נוספות למשתמשים ולחברה. סיכונים אלה נובעים משתי בעיות עיקריות: הבנה לא מספקת וחוסר בגישה למידע על ידי משתמשים, מונעים מהם לבחור מוצרים עם תכונות אבטחת סייבר נאותות או להשתמש בהם בצורה מאובטחת; ורמה נמוכה של אבטחת סייבר במוצרים ושירותים מקוונים, אשר מובילה לפגיעות נרחבות במשתמשים ובתשתיות ולחוסר בעדכוני אבטחה עקביים ומתאימים. הצעת החוק מסבירה שבעוד החקיקה הקיימת חלה על מוצרים מסוימים עם אלמנטים דיגיטליים, מרבית מוצרי החומרה והתוכנה אינם מכוסים כיום על ידי חקיקה של האיחוד בנוגע לאבטחת הסייבר שלהם. בנוסף, בסביבה דיגיטלית מחוברת כפי שקיימת היום, אירוע אבטחת סייבר במוצר אחד יכול להשפיע על ארגון שלם או על אספקה של שרשרת שלמה. מצב שכזה, יכול להוביל לשיבוש חמור של פעילויות כלכליות וחברתיות או אפילו לסכן חיים.
הצעת החוק קבעה ארבע יעדים ספציפיים בהם עליה לעמוד כדי לעמוד במטרות אבטחת הסייבר:
- להבטיח שהיצרנים משפרים את אבטחת המוצרים בעזרת אלמנטים דיגיטליים משלב התכנון והפיתוח ולאורך כל מחזור החיים של המוצר;
- להבטיח מסגרת אבטחת סייבר קוהרנטית, המאפשרת ציות של יצרני חומרה ותוכנה;
- שיפור השקיפות של תכונות האבטחה של מוצרים עם אלמנטים דיגיטליים;
- מתן האפשרות לעסקים ולצרכנים להשתמש במוצרים עם אלמנטים דיגיטליים בצורה מאובטחת.
תמצית הוראות החקיקה
דרישות אבטחה ממוצרים עם אלמנטים דיגיטליים
הצעת החוק קובעת שמוצרים עם אלמנטים דיגיטליים יוכלו להיות בשוק רק כאשר: (1) הם עומדים בדרישות החיוניות המפורטות בנספח להצעה בתנאי שהם מותקנים כראוי, מתוחזקים, מעודכנים, משמשים למטרה המיועדת להם או עבור מטרה שניתן היה לצפות מראש; (2) ושתהליך היצרן תואם את הדרישות המפורטות בנספח הצעת החוק:
(1) מוצרים בעלי אלמנטים דיגיטליים יתוכננו, יפותחו וייוצרו בצורה כזו שתבטיח רמה נאותה של אבטחת סייבר המבוססת על סיכונים;
(2) מוצרים עם אלמנטים דיגיטליים יסופקו ללא כל ידיעה על נקודות תורפה שניתנות לניצול;
(3) על בסיס הערכת הסיכון האמורה בסעיף 10(2) והיכן שזה רלוונטי, מוצרים עם אלמנטים דיגיטליים:
(א) יסופקו עם תצורת ברירת מחדל מאובטחת, כולל אפשרות לאפס את המוצר למצבו המקורי;
(ב) יבטיחו הגנה מפני גישה בלתי מורשית בעזרת אך לא רק, אימות, זהות או מערכות ניהול גישה;
(ג) יגנו על הסודיות של מידע מאוחסן, משודר או מעובד בדרך אחרת ועל נתונים, אישיים או אחרים, כגון על ידי הצפנת נתונים רלוונטיים באמצעות מנגנונים חדישים;
(ד) יגנו על שלמות הנתונים מפני הודעות, מניפולציות או שינויים שלא אושרו על ידי המשתמש;
(ה) יעבדו רק נתונים, אישיים או אחרים, שהם נאותים ורלוונטיים לשימוש המיועד במוצר ('מזעור נתונים');
(ו) יגנו על זמינותן של פונקציות חיוניות;
(ז) ימזערו את ההשפעה השלילית שלהם על זמינות שירותים המסופקים על ידי מכשירים או רשתות אחרים;
(ח) יתוכננו, יפותחו וייוצרו בצורה שתגביל משטחי תקיפה, לרבות ממשקים חיצוניים;
(ט) יתוכננו, יפותחו וייוצרו בצורה שתפחית את ההשפעה של אירוע;
(י) יספקו מידע הקשור לאבטחה על ידי הקלטה ו/או ניטור של פעילות פנימית רלוונטית;
(יא) יבטיחו שניתן יהיה לטפל בפרצות באמצעות עדכוני אבטחה, כולל, היכן שניתן, באמצעות עדכונים אוטומטיים;
חובות על יצרנים של מוצרים עם אלמנטים דיגיטליים
בעת הוצאת מוצר עם אלמנטים דיגיטליים לשוק, היצרנים יצטרכו לוודא שהוא תוכנן, פותח ויוצר בהתאם לדרישות המפורטות לעיל. לצורך עמידה בחובה זו היצרנים יבצעו הערכה של סיכוני אבטחת הסייבר הקשורים במוצר ויקחו בחשבון את תוצאות ההערכה במהלך התכנון, העיצוב, הפיתוח, הייצור, האספקה ושלבי תחזוקה של המוצר.
בנוסף, לצורך עמידה בחובה זו, יבצעו היצרנים בדיקת נאותות בעת שילוב רכיבים מצדדים שלישיים במוצרים עם אלמנטים דיגיטליים. כמו כן, בעת הוצאת מוצר עם אלמנטים דיגיטליים לשוק, ולצפי משך חיי המוצר או לתקופה של חמש שנים מהצבת המוצר על השוק, הקצר מביניהם, יבטיחו היצרנים שנקודות התורפה של המוצר מטופלות ביעילות ובהתאם לדרישות הבאות מיצרנים של מוצרים עם אלמנטים דיגיטליים:
(1) על היצרנים לזהות ולתעד פגיעויות ורכיבים הכלולים במוצר;
(2) ביחס לסיכונים הנשקפים למוצרים עם אלמנטים דיגיטליים, על היצרנים לפעול לתקן נקודות תורפה אלו ללא דיחוי, לרבות באמצעות עדכוני אבטחה;
(3) על היצרנים לבצע בדיקות וסקירות יעילות וקבועות של אבטחת המוצר;
(4) לאחר שעדכון אבטחה הפך לזמין, על היצרנים לחשוף לציבור מידע על נקודות תורפה שתוקנו, כולל תיאור של נקודות התורפה, מידע המאפשר למשתמשים לזהות את המוצר המושפע, ההשפעות של הפגיעות, חומרתן, ומידע שיסייע למשתמשים לתקן את נקודות התורפה;
(5) על היצרנים לקבוע ולאכוף מדיניות בנושא חשיפת פגיעויות במכשיר;
(6) על היצרנים לנקוט באמצעים כדי להקל על שיתוף מידע על פוטנציאל נקודות תורפה במוצר שלהם עם צד שלישיים להם רכיבים במוצר;
(7) על היצרנים לספק מנגנונים להפצה מאובטחת של עדכונים עבור מוצרים
כדי להבטיח שפגיעויות שניתנות לניצול יתוקנו או יצומצמו ללא דיחוי;
(8) על היצרנים לוודא כי, כאשר תיקוני אבטחה או עדכוני אבטחה לטיפול בבעיות אבטחה מוכרות זמינים, הם מופצים ללא דיחוי וללא תשלום, מלווים בהודעות ייעוץ המספקות למשתמשים את המידע הרלוונטי;
הוראות נוספות בהצעת החקיקה
חובות דיווח של יצרנים (סעיף 11): יצרנים נדרשים לדווח תוך 24 שעות לרשות אבטחת הסייבר של האיחוד על כל נקודת תורפה או תקלה שהתגלתה במוצר. בנוסף, על היצרן לדווח ללא דיחוי לצרכן על כל נקודת תורפה או תקלה שהתגלתה.
חובות של יבואנים (סעיף 13): יבואנים יוציאו לשוק רק מוצרים העומדים בדרישות המפורטות בסעיף 1 של נספח 1 ושתהליך הייצור תואם את הדרישות המפורטות בסעיף 2 בנספח 1. על היבואן לוודא כי המוצר עומד בכל התנאים וכי יש לו את האישורים הנדרשים.
חובות של מפיצים (סעיף 14): יבואנים יוציאו לשוק רק מוצרים העומדים בדרישות המפורטות בסעיף 1 של נספח ואשר מחזיקים בכל האישורים הנדרשים.
עדכונים להצעת החוק
ב-04.05.2023 פרסמה ועדת התעשיה, המחקר והאנרגיה של הפרלמנט האירופי תיקונים להצעת החוק (חלק ראשון, חלק שני). חלק מהתיקונים, בפרט סעיף 9a, מסבירים את עמדת האיחוד לפיה תוכנות קוד פתוח (open source software) שפתוחות להעתקה, עריכה ולמידה על-ידי הציבור צפויות לקדם מחקר וחדשנות בשוק. מעבר לכך, הגישה החופשית לתוכנות קוד פתוח היא בעלת ערך משמעותי עבור מחקר אקדמי, מוסדות ללא כוונות רווח, סטארט-אפים ועסקים קטנים ובינוניים. בשל היתרונות הללו, האיחוד האירופי ראה לנכון להגן על הגישה החופשית לתוכנות קוד פתוח ולהחריג מהרגולציה המרחיבה של החקיקה המוצעת תוכנות קוד פתוח שמפותחות על-ידי מפתחים עצמאיים. ההחרגה תחול גם לגבי יצרנים שיעשו שימוש בתוכנות הללו במלואן או בחלקן. ההצעות מדגישות הרגולציה עדיין תחול במלואה על תוכנות קוד פתוח שמפותחות לצרכים מסחריים על-ידי ארגון יחיד שמפיק מהן הכנסות משמעותיות.
בנוסף, הוועדה מכירה בכך שהרגולציה עלולה להכביד על מפתחי תוכנה מזעריים או יחידים, במובן שהיא דורשת השקעה כספית ניכרת לפני הכניסה לשוק. לכן, על מנת להתמודד עם האפקט המצנן על העסקים הללו, ולעודד אותם בכל זאת לשלב אלמנטים של תוכנות קוד פתוח ולפתח תוכנה שאותה יוכלו לבדוק בסביבה שוקית, מוצע על-ידי הוועדה בסעיף 10 להצעת החוק לקבוע כי המפתחים הללו יידרשו לעשות "כמיטב יכולתם" לציית להנחיות תוך 12 חודשים מהפצת התוכנה לשוק.
ביחס לדרישה כי "מוצרים בעלי אלמנטים דיגיטליים יתוכננו, יפותחו וייוצרו בצורה כזו שתבטיח רמה נאותה של אבטחת סייבר המבוססת על סיכונים", מוצע על-ידי הוועדה בסעיף 34a להצעת החוק לחייב יישויות שאחראיות על "מוצרים קריטיים עם אלמנטים דיגיטליים" לבצע הערכת סיכונים של מעורבות לא רצויה מצד מדינות זרות בייצור והפצת המוצרים.
ביקורת
ארגון ה-Internet Society, ארגון ללא מטרות רווח אשר פועל להגנה על אינטרנט בטוח, פתוח ושיווני פרסם את התנגדותו להצעת החוק בנוסחה הנוכחי. לפי הארגון, יש לתקן את הצעת החוק כך שלא תפגע בתוכנות עם מקור נגיש (open source software), וכי עליה להחריג מהיקפה כאלה אשר מופצות ללא מטרות רווח. הארגון מאמין שללא החרגה שכזו, יהיו השלכות לא צפויות אשר ישפיעו לרעה על הפיתוח והשימוש של תוכנות כאלה ויפגעו ביכולת להתחבר דיגיטלית, לחנך ולפתח את החברה בעזרת האינטרנט.
באופן דומה, גם RIPE, רשם האינטרנט של אירופה, הביע חששות הנוגעות לנוסח הצעת החוק. הארגון טוען שההצעה הנוכחית משאירה כמה שאלות חשובות ללא מענה, וכי תלוי בהגדרות המדויקות שחסרות כרגע, ייתכן שחלק מהדרישות והחובות אינן מעשיות, או אפילו אפשריות עבור יצרנים מסוימים (אם לא כולם) של מוצרים עם אלמנטים דיגיטליים. לפי הבנת הארגון, הצעת החוק מתכוונת לכסות כל מוצר תוכנה וחומרה, המחוברים לאינטרנט (באופן לוגי או פיזית) ואשר מופצים לשוק כמוצר עצמאי לשימוש סופי. במילים אחרות, תוכנה שמחוברת ל- אינטרנט אך אינה מופצת לשוק כמוצר שמטרתו להגיע למשתמשי קצה, כגון, פורטל לקוחות – לא תכנס תחת היקף החקיקה. עם זאת, ההצעה אינה מפורשת לגבי נקודה זו, ולכן נדרשת בהירות נוספת. הרחבת ההיקף לכל תוכנה שתהיה זמינה באינטרנט תרחיב באופן מסיבי את היקף הרגולציה, תיצור עומס אדמיניסטרטיבי ודרישות ציות משמעותיות במיוחד לאותם מפעלים קטנים יותר שעלולים להתקשות להתמודד עם העלויות הכספיות והקצאת המשאבים הנדרשים לצורך עמידה בהוראות.
