O δεύτερος κύκλος διοργανικών διαπραγματεύσεων αναφορικά με την Πράξη για την Ανθεκτικότητα στον Κυβερνοχώρο έθεσε το πλαίσιο για μια πολιτική συμφωνία που αναμένεται εντός του μήνα. Ωστόσο, το αμφιλεγόμενο ζήτημα του ποιος θα πρέπει να λαμβάνει τις ευαίσθητες πληροφορίες δεν έχει ακόμη διευθετηθεί πλήρως.
Η Πράξη για την Ανθεκτικότητα στον Κυβερνοχώρο είναι ένα σχέδιο νόμου που εισάγει απαιτήσεις ασφαλείας για τις συνδεδεμένες συσκευές. Ο φάκελος βρίσκεται στο τελευταίο στάδιο της νομοθετικής διαδικασίας, του λεγόμενου τριμερούς διαλόγου μεταξύ της Επιτροπής της ΕΕ, του Κοινοβουλίου και του Συμβουλίου.
Την Τετάρτη (8 Νοεμβρίου), ο δεύτερος πολιτικός τριμερής διάλογος είχε ως αποτέλεσμα την έγκριση της περιόδου υποστήριξης μέσω της οποίας θα πρέπει να διασφαλίζονται οι επιδιορθώσεις ασφαλείας. Παράλληλα, δόθηκαν ορισμένες κατευθύνσεις σε τεχνικό επίπεδο προκειμένου να τα όργανα να συμφωνήσουν σε τελικό συμβιβασμό σε δύο σημεία του νομοσχεδίου, στα οποία κωλυσιεργούν: τις υποχρεώσεις υποβολής εκθέσεων και τα κρίσιμα προϊόντα.
Υποχρεώσεις υποβολής εκθέσεων
Το νομοσχέδιο για την κυβερνοασφάλεια απαιτεί από τους κατασκευαστές να αναφέρουν περιστατικά ασφαλείας και ενεργά εκμεταλλευόμενα τρωτά σημεία.
Αυτή η παράμετρος αποδείχθηκε η πιο αμφιλεγόμενη των διαπραγματεύσεων, καθώς η Επιτροπή και το Ευρωκοινοβούλιο ήθελαν η αρμοδιότητα αυτή να υπόκεινται στον ENISA, τον οργανισμό της ΕΕ για την ασφάλεια στον κυβερνοχώρο, ενώ το Συμβούλιο (οι εθνικές κυβερνήσεις)  ήθελαν να τη μεταφέρουν στα χέρια των εθνικών ομάδων απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT).
Ενώ φαίνεται τα όργανα να επιμένουν στη θέση τους το καθένα ξεχωριστά, μια πιθανή μέση λύση διερευνάται τώρα ώστε να παραμείνει η υποβολή εκθέσεων στις CSIRT, αλλά με ενισχυμένο ρόλο του ENISA. Ενώ οι ευρωβουλευτές φαίνονται ανοιχτοί σε μια ενιαία πλατφόρμα υποβολής εκθέσεων, το σημείο διαφοράς στις διαπραγματεύσεις παραμένει στο ποια οντότητα θα πρέπει να είναι ο πρώτος αποδέκτης των εκθέσεων.
Ειδικότερα, η Επιτροπή πρότεινε να γίνεται αναφορά τόσο στον οργανισμό της ΕΕ όσο και στην εθνική CSIRT. Ωστόσο, η λύση αυτή θα διεύρυνε σημαντικά την επιφάνεια επίθεσης για εξαιρετικά ευαίσθητες πληροφορίες.
Εν τω μεταξύ, σε ένα κείμενο συμβιβασμού που κυκλοφόρησε λίγο πριν από τον τριμερή διάλογο, ο ορισμός της ενεργά εκμεταλλευόμενης ευπάθειας τροποποιήθηκε ώστε να καλύπτει μόνο τις ευπάθειες που έχουν χρησιμοποιηθεί επιτυχώς, εξαιρουμένων των αποτυχημένων προσπαθειών.
Επιπλέον, το κείμενο διευκρινίζει ότι πρέπει να αναφέρονται μόνο περιστατικά με σοβαρές επιπτώσεις. Οι ορισμοί των περιστατικών και των «παρ’ ολίγον» ατυχημάτων συμφωνήθηκαν με την οδηγία NIS2.
Οι ευρωβουλευτές εισήγαγαν την ιδέα ότι ο ENISA θα πρέπει να συμπεριλάβει την ευπάθεια στην ευρωπαϊκή βάση δεδομένων που δημιουργήθηκε στο πλαίσιο της NIS2 μόλις κυκλοφορήσει ένα διορθωτικό ασφαλείας. Είναι σημαντικό ότι το κείμενο διευκρινίζει τώρα ότι αυτό θα αφορά μόνο τις δημόσια γνωστές ευπάθειες.
Κρίσιμες κατηγορίες
Η Πράξη για την ανθεκτικότητα στον κυβερνοχώρο προβλέπει ότι οι περισσότεροι κατασκευαστές προϊόντων μπορούν να αυτοαξιολογήσουν κατά πόσον πληρούν τις απαιτήσεις ασφαλείας του. Αντίθετα, οι κρίσιμες κατηγορίες προϊόντων πρέπει να υποβάλλονται σε διαδικασίες αξιολόγησης της συμμόρφωσης με πιστοποιημένους ελεγκτές.
Διαφοροποιήσεις εξακολουθούν να υπάρχουν σχετικά με το κατά πόσον η λέξη «κρίσιμη (critical)» πρέπει να χρησιμοποιείται για αυτές τις κατηγορίες προϊόντων. Η Επιτροπή πρότεινε τη χρήση της λέξης «αποτελεσματική (impactful, δεδομένου ότι η λέξη αυτή έχει εμφανιστεί και στον νόμο για την ΤΠ, αλλά η συζήτηση πρόκειται να συνεχιστεί σε τεχνικό επίπεδο.
Ένα πολιτικό ερώτημα που πρέπει να επιλυθεί ακόμη είναι ποιο είδος δευτερογενούς νομοθεσίας απαιτείται, δηλαδή εκτελεστικές ή κατ’ εξουσιοδότηση πράξεις. Μια σημαντική παράμετρος αφορά τη δυνατότητα της Επιτροπής να επικαιροποιεί τον κατάλογο των «κρίσιμων» προϊόντων.
Στον τελευταίο συμβιβασμό, το Συμβούλιο εισήγαγε ορισμένα κριτήρια φιλτραρίσματος των προϊόντων που εμπίπτουν στις κατηγορίες που απαριθμούνται για να θεωρηθούν κρίσιμα.
Κατά τον τριμερή διάλογο, τα όργανα προσπάθησαν να τελειοποιήσουν τα κριτήρια αυτά: το προϊόν πρέπει είτε να έχει κρίσιμη λειτουργία για την ασφάλεια στον κυβερνοχώρο άλλων προϊόντων είτε να ενέχει σημαντικό κίνδυνο να διαταράξει πολλά άλλα προϊόντα ή την υγεία και την ασφάλεια ευάλωτων ατόμων.
Ο συμβιβασμός υποδεικνύει επίσης ότι μόνο οι συνδεδεμένες συσκευές με «βασική» λειτουργία που εμπίπτουν σε μία από τις ειδικές κατηγορίες που απαριθμούνται στο παράρτημα με τα κρίσιμα προϊόντα.
Επιπλέον, εάν ένα προϊόν με βασική λειτουργία που εμπίπτει στις κρίσιμες κατηγορίες ενσωματωθεί σε άλλο προϊόν, το τελευταίο δεν θεωρείται αυτομάτως κρίσιμο.
Η Επιτροπή έχει την εξουσία να αλλάξει αυτές τις ειδικές κατηγορίες προϊόντων, αλλά θα πρέπει να διασφαλίσει «επαρκή μεταβατική περίοδο», ιδίως για τις νέες κατηγορίες. Η Κομισιόν πρέπει να προσδιορίσει αυτές τις κατηγορίες προϊόντων εντός 16 μηνών από την έναρξη ισχύος του κανονισμού.
Μετά από αξιολόγηση αντικτύπου, η Επιτροπή πιθανόν να ζητήσει τα ιδιαίτερα κρίσιμα προϊόντα να αποκτήσουν υφιστάμενη πιστοποίηση κυβερνοασφάλειας. Ωστόσο, μια διευκρίνιση των ευρωβουλευτών ότι η υποχρέωση αυτή θα χρειαζόταν ένα έτος για να εφαρμοστεί, αφαιρέθηκε.
Ο κατάλογος των κρίσιμων προϊόντων εξακολουθεί να αποτελεί αγκάθι στις διαπραγματεύσεις, με τις χώρες της ΕΕ να προσπαθούν να τον  συντομεύσουν και το Ευρωπαϊκό Κοινοβούλιο να τον προσπαθεί να τον επεκτείνει. Υπάρχει το ενδεχόμενο να βρεθεί μια ενδιάμεση λύση, αλλά τα δύο θεσμικά όργανα δεν έχουν ακόμη αποκαλύψει τις προτεραιότητές τους.
Περίοδος στήριξης
Οι βουλευτές πέτυχαν μια ελάχιστη περίοδο υποστήριξης πέντε ετών, κατά τη διάρκεια της οποίας οι κατασκευαστές θα πρέπει να εξασφαλίζουν ότι θα αναβαθμίσουν και θα ενημερώσουν τα συστήματα ασφαλείας τους και θα διαχειριστούν επαρκώς την ευαλωτότητα των συστημάτων, εκτός εάν το προϊόν έχει μικρότερη διάρκεια ζωής.
Επιπλέον, σε σύγκριση με μια προηγούμενη έκδοση του κειμένου που έχει αναφέρει το Euractiv σε προηγούμενο άρθρο, η νέα έκδοση της διάταξης μετά τον τριμερή διάλογο διευκρινίζει ότι «τα στοιχεία για τον καθορισμό της περιόδου υποστήριξης εξετάζονται κατά τρόπο που να διασφαλίζει την αναλογικότητα».
Η Επιτροπή θα έχει την εξουσία να επιβάλει μια ελάχιστη περίοδο στήριξης για ορισμένες κατηγορίες προϊόντων μέσω της δευτερογενούς νομοθεσίας, όταν υπάρχουν ενδείξεις για συστηματικά ανεπαρκείς περιόδους στήριξης.
Επόμενα βήματα
Σύμφωνα με πηγή που πρόσκειται στο θέμα, μετά τον τριμερή διάλογο της Τετάρτης, είναι ακόμη πιο πιθανό να επιτευχθεί τελική συμφωνία στην επόμενη πολιτική συνάντηση στις 30 Νοεμβρίου, αν και μέχρι τότε αναμένεται να γίνουν εντατικές εργασίες σε τεχνικό επίπεδο.

Πηγή: euractiv.gr