חזרה לעמוד הקודם

האיחוד האירופי: הצעת חוק חוסן הסייבר (Cyber Resilience Act)

בספטמבר 2022, פרסמה הנציבות האירופית את ה- Cyber Resilience Act, הצעת חקיקה אשר כוללת הוראות שמטרתן הגברת בטיחות הסייבר של מכשירים ותוכנות דיגיטליות באיחוד האירופי. החובות העיקריות שקובעת הצעת החוק נוגעות לצעדים שצריכים לנקוט יצרני המכשירים, ומאפיינים שיש לאמץ בתכנון ופעולת המכשירים (best practices) על מנת לשמור על רמה גבוהה ומיטבית של אבטחת סייבר.

הצורך בחקיקה ומטרותיה

הצעת החוק מצביעה על כך כי קיים צורך לעדכן את חקיקת אבטחת הסייבר הקיימת באיחוד האירופי, מכיוון שהסיכונים הקיימים במצב הנוכחי גורמים לעלויות נוספות למשתמשים ולחברה. סיכונים אלה נובעים משתי בעיות עיקריות: הבנה לא מספקת וחוסר בגישה למידע על ידי משתמשים, מונעים מהם לבחור מוצרים עם תכונות אבטחת סייבר נאותות או להשתמש בהם בצורה מאובטחת; ורמה נמוכה של אבטחת סייבר במוצרים ושירותים מקוונים,  אשר מובילה לפגיעות נרחבות במשתמשים ובתשתיות ולחוסר בעדכוני אבטחה עקביים ומתאימים. הצעת החוק מסבירה שבעוד החקיקה הקיימת חלה על מוצרים מסוימים עם אלמנטים דיגיטליים, מרבית מוצרי החומרה והתוכנה אינם מכוסים כיום על ידי חקיקה של האיחוד בנוגע לאבטחת הסייבר שלהם. בנוסף, בסביבה דיגיטלית מחוברת כפי שקיימת היום, אירוע אבטחת סייבר במוצר אחד יכול להשפיע על ארגון שלם או על אספקה ​של שרשרת שלמה. מצב שכזה, יכול להוביל לשיבוש חמור של פעילויות כלכליות וחברתיות או אפילו לסכן חיים.

הצעת החוק קבעה ארבע יעדים ספציפיים בהם עליה לעמוד כדי לעמוד במטרות אבטחת הסייבר:

  • להבטיח שהיצרנים משפרים את אבטחת המוצרים בעזרת אלמנטים דיגיטליים משלב התכנון והפיתוח ולאורך כל מחזור החיים של המוצר;
  • להבטיח מסגרת אבטחת סייבר קוהרנטית, המאפשרת ציות של יצרני חומרה ותוכנה;
  • שיפור השקיפות של תכונות האבטחה של מוצרים עם אלמנטים דיגיטליים;
  • מתן האפשרות לעסקים ולצרכנים להשתמש במוצרים עם אלמנטים דיגיטליים בצורה מאובטחת.

תמצית הוראות החקיקה

דרישות אבטחה ממוצרים עם אלמנטים דיגיטליים

הצעת החוק קובעת שמוצרים עם אלמנטים דיגיטליים יוכלו להיות בשוק רק כאשר: (1) הם עומדים בדרישות החיוניות המפורטות בנספח להצעה  בתנאי שהם מותקנים כראוי, מתוחזקים, מעודכנים, משמשים למטרה המיועדת להם או עבור מטרה שניתן היה לצפות מראש; (2) ושתהליך היצרן תואם את הדרישות המפורטות בנספח הצעת החוק:

(1) מוצרים בעלי אלמנטים דיגיטליים יתוכננו, יפותחו וייוצרו בצורה כזו שתבטיח רמה נאותה של אבטחת סייבר המבוססת על סיכונים;

(2) מוצרים עם אלמנטים דיגיטליים יסופקו ללא כל ידיעה על נקודות תורפה שניתנות לניצול;

(3) על בסיס הערכת הסיכון האמורה בסעיף 10(2) והיכן שזה רלוונטי, מוצרים עם אלמנטים דיגיטליים:

     (א) יסופקו עם תצורת ברירת מחדל מאובטחת, כולל אפשרות לאפס את המוצר למצבו המקורי;

     (ב) יבטיחו הגנה מפני גישה בלתי מורשית בעזרת אך לא רק, אימות, זהות או מערכות ניהול גישה;

     (ג) יגנו על הסודיות של מידע מאוחסן, משודר או מעובד בדרך אחרת ועל נתונים, אישיים או אחרים, כגון על ידי הצפנת נתונים רלוונטיים באמצעות מנגנונים חדישים;

     (ד) יגנו על שלמות הנתונים מפני הודעות, מניפולציות או שינויים שלא אושרו על ידי המשתמש;

     (ה) יעבדו רק נתונים, אישיים או אחרים, שהם נאותים ורלוונטיים לשימוש המיועד במוצר ('מזעור נתונים');

     (ו) יגנו על זמינותן של פונקציות חיוניות;

     (ז) ימזערו את ההשפעה השלילית שלהם על זמינות שירותים המסופקים על ידי מכשירים או רשתות אחרים;

     (ח) יתוכננו, יפותחו וייוצרו בצורה שתגביל משטחי תקיפה, לרבות ממשקים חיצוניים;

     (ט) יתוכננו, יפותחו וייוצרו בצורה שתפחית את ההשפעה של אירוע;

     (י) יספקו מידע הקשור לאבטחה על ידי הקלטה ו/או ניטור של פעילות פנימית רלוונטית;

     (יא) יבטיחו שניתן יהיה לטפל בפרצות באמצעות עדכוני אבטחה, כולל, היכן שניתן, באמצעות עדכונים אוטומטיים;

חובות על יצרנים של מוצרים עם אלמנטים דיגיטליים

בעת הוצאת מוצר עם אלמנטים דיגיטליים לשוק, היצרנים יצטרכו לוודא שהוא תוכנן, פותח ויוצר בהתאם לדרישות המפורטות לעיל. לצורך עמידה בחובה זו היצרנים יבצעו הערכה של סיכוני אבטחת הסייבר הקשורים במוצר ויקחו בחשבון את תוצאות ההערכה במהלך התכנון, העיצוב, הפיתוח, הייצור, האספקה ​​ושלבי תחזוקה של המוצר.

בנוסף, לצורך עמידה בחובה זו, יבצעו היצרנים בדיקת נאותות בעת שילוב רכיבים מצדדים שלישיים במוצרים עם אלמנטים דיגיטליים. כמו כן, בעת הוצאת מוצר עם אלמנטים דיגיטליים לשוק, ולצפי משך חיי המוצר או לתקופה של חמש שנים מהצבת המוצר על השוק, הקצר מביניהם, יבטיחו היצרנים שנקודות התורפה של המוצר מטופלות ביעילות ובהתאם לדרישות הבאות מיצרנים של מוצרים עם אלמנטים דיגיטליים:

(1) על היצרנים לזהות ולתעד פגיעויות ורכיבים הכלולים במוצר;

(2) ביחס לסיכונים הנשקפים למוצרים עם אלמנטים דיגיטליים, על היצרנים לפעול לתקן נקודות תורפה אלו ללא דיחוי, לרבות באמצעות עדכוני אבטחה;

(3) על היצרנים לבצע בדיקות וסקירות יעילות וקבועות של אבטחת המוצר;

(4) לאחר שעדכון אבטחה הפך לזמין, על היצרנים לחשוף לציבור מידע על נקודות תורפה שתוקנו, כולל תיאור של נקודות התורפה, מידע המאפשר למשתמשים לזהות את המוצר המושפע, ההשפעות של הפגיעות, חומרתן, ומידע שיסייע למשתמשים לתקן את נקודות התורפה;

(5) על היצרנים לקבוע ולאכוף מדיניות בנושא חשיפת פגיעויות במכשיר;

(6) על היצרנים לנקוט באמצעים כדי להקל על שיתוף מידע על פוטנציאל נקודות תורפה במוצר שלהם עם צד שלישיים להם רכיבים במוצר;

(7) על היצרנים לספק מנגנונים להפצה מאובטחת של עדכונים עבור מוצרים

כדי להבטיח שפגיעויות שניתנות לניצול יתוקנו או יצומצמו ללא דיחוי;

(8) על היצרנים לוודא כי, כאשר תיקוני אבטחה או עדכוני אבטחה לטיפול בבעיות אבטחה מוכרות זמינים, הם מופצים ללא דיחוי וללא תשלום, מלווים בהודעות ייעוץ המספקות למשתמשים את המידע הרלוונטי;

הוראות נוספות בהצעת החקיקה

חובות דיווח של יצרנים (סעיף 11): יצרנים נדרשים לדווח תוך 24 שעות לרשות אבטחת הסייבר של האיחוד על כל נקודת תורפה או תקלה שהתגלתה במוצר. בנוסף, על היצרן לדווח ללא דיחוי לצרכן על כל נקודת תורפה או תקלה שהתגלתה.

חובות של יבואנים (סעיף 13): יבואנים יוציאו לשוק רק מוצרים העומדים בדרישות המפורטות בסעיף 1 של נספח 1 ושתהליך הייצור תואם את הדרישות המפורטות בסעיף 2 בנספח 1. על היבואן לוודא כי המוצר עומד בכל התנאים וכי יש לו את האישורים הנדרשים.

חובות של מפיצים (סעיף 14): יבואנים יוציאו לשוק רק מוצרים העומדים בדרישות המפורטות בסעיף 1 של נספח ואשר מחזיקים בכל האישורים הנדרשים.