בספטמבר 2022, פרסמה הנציבות האירופית את ה- Cyber Resilience Act, הצעת חקיקה אשר כוללת הוראות שמטרתן הגברת בטיחות הסייבר של מכשירים ותוכנות דיגיטליות באיחוד האירופי. ביום 12.03.2024 הצעת החקיקה אושרה בפרלמנט האירופי. ביום 10.10.2024 החקיקה אושרה במועצת האיחוד האירופי וביום 20.11.2024 היא פורסמה ואושרה רשמית. החובות העיקריות שקובע החוק נוגעות לצעדים שצריכים לנקוט יצרני המכשירים, ומאפיינים שיש לאמץ בתכנון ופעולת המכשירים (best practices) על מנת לשמור על רמה גבוהה ומיטבית של אבטחת סייבר.
הצורך בחקיקה ומטרותיה
הצעת החוק מצביעה על כך כי קיים צורך לעדכן את חקיקת אבטחת הסייבר הקיימת באיחוד האירופי, מכיוון שהסיכונים הקיימים במצב הנוכחי גורמים לעלויות נוספות למשתמשים ולחברה. סיכונים אלה נובעים משתי בעיות עיקריות: הבנה לא מספקת וחוסר בגישה למידע על ידי משתמשים, מונעים מהם לבחור מוצרים עם תכונות אבטחת סייבר נאותות או להשתמש בהם בצורה מאובטחת; ורמה נמוכה של אבטחת סייבר במוצרים ושירותים מקוונים, אשר מובילה לפגיעות נרחבות במשתמשים ובתשתיות ולחוסר בעדכוני אבטחה עקביים ומתאימים. הצעת החוק מסבירה שבעוד החקיקה הקיימת חלה על מוצרים מסוימים עם אלמנטים דיגיטליים, מרבית מוצרי החומרה והתוכנה אינם מכוסים כיום על ידי חקיקה של האיחוד בנוגע לאבטחת הסייבר שלהם. בנוסף, בסביבה דיגיטלית מחוברת כפי שקיימת היום, אירוע אבטחת סייבר במוצר אחד יכול להשפיע על ארגון שלם או על אספקה של שרשרת שלמה. מצב שכזה, יכול להוביל לשיבוש חמור של פעילויות כלכליות וחברתיות או אפילו לסכן חיים.
הצעת החוק קבעה ארבע יעדים ספציפיים בהם עליה לעמוד כדי לעמוד במטרות אבטחת הסייבר:
- להבטיח שהיצרנים משפרים את אבטחת המוצרים בעזרת אלמנטים דיגיטליים משלב התכנון והפיתוח ולאורך כל מחזור החיים של המוצר;
- להבטיח מסגרת אבטחת סייבר קוהרנטית, המאפשרת ציות של יצרני חומרה ותוכנה;
- שיפור השקיפות של תכונות האבטחה של מוצרים עם אלמנטים דיגיטליים;
- מתן האפשרות לעסקים ולצרכנים להשתמש במוצרים עם אלמנטים דיגיטליים בצורה מאובטחת.
תמצית הוראות החקיקה
ה-Cyber Resilience Act ייכנס לתוקף ביום ה-20 לאחר פרסומו הרשמי לציבור. חלקים מהחקיקה יחולו בהדרגה, וכלל הוראות החוק יחולו במלואן על הציבור 3 שנים לאחר פרסומו. לאחר שהחקיקה תעבור ותיכנס לתוקף, יצרנים של תוכנה וחומרה יצטרכו ליישם אמצעי אבטחת מידע לאורך כל חיי המוצר, החל מעיצובו ופיתוחו, ועד להפצתו בשוק לצרכנים. עמידה בתנאי החקיקה תהיה תנאי לקבלת תו התקן האירופי שמעיד על עמידה בתנאים למכירתו באיחוד האירופי לצרכנים.
דרישות אבטחה ממוצרים עם אלמנטים דיגיטליים
החוק קובע שמוצרים עם אלמנטים דיגיטליים יוכלו להיות בשוק רק כאשר: (1) הם עומדים בדרישות החיוניות המפורטות בנספח לחוק בתנאי שהם מותקנים כראוי, מתוחזקים, מעודכנים, משמשים למטרה המיועדת להם או עבור מטרה שניתן היה לצפות מראש; (2) ושתהליך היצרן תואם את הדרישות המפורטות בנספח החוק:
(1) מוצרים בעלי אלמנטים דיגיטליים יתוכננו, יפותחו וייוצרו בצורה כזו שתבטיח רמה נאותה של אבטחת סייבר המבוססת על סיכונים;
(2) מוצרים עם אלמנטים דיגיטליים יסופקו ללא כל ידיעה על נקודות תורפה שניתנות לניצול;
(3) על בסיס הערכת הסיכון האמורה בסעיף 10(2) והיכן שזה רלוונטי, מוצרים עם אלמנטים דיגיטליים:
(א) יסופקו עם תצורת ברירת מחדל מאובטחת, כולל אפשרות לאפס את המוצר למצבו המקורי;
(ב) יבטיחו הגנה מפני גישה בלתי מורשית בעזרת אך לא רק, אימות, זהות או מערכות ניהול גישה;
(ג) יגנו על הסודיות של מידע מאוחסן, משודר או מעובד בדרך אחרת ועל נתונים, אישיים או אחרים, כגון על ידי הצפנת נתונים רלוונטיים באמצעות מנגנונים חדישים;
(ד) יגנו על שלמות הנתונים מפני הודעות, מניפולציות או שינויים שלא אושרו על ידי המשתמש;
(ה) יעבדו רק נתונים, אישיים או אחרים, שהם נאותים ורלוונטיים לשימוש המיועד במוצר ('מזעור נתונים');
(ו) יגנו על זמינותן של פונקציות חיוניות;
(ז) ימזערו את ההשפעה השלילית שלהם על זמינות שירותים המסופקים על ידי מכשירים או רשתות אחרים;
(ח) יתוכננו, יפותחו וייוצרו בצורה שתגביל משטחי תקיפה, לרבות ממשקים חיצוניים;
(ט) יתוכננו, יפותחו וייוצרו בצורה שתפחית את ההשפעה של אירוע;
(י) יספקו מידע הקשור לאבטחה על ידי הקלטה ו/או ניטור של פעילות פנימית רלוונטית;
(יא) יבטיחו שניתן יהיה לטפל בפרצות באמצעות עדכוני אבטחה, כולל, היכן שניתן, באמצעות עדכונים אוטומטיים;
חובות על יצרנים של מוצרים עם אלמנטים דיגיטליים
בעת הוצאת מוצר עם אלמנטים דיגיטליים לשוק, היצרנים יצטרכו לוודא שהוא תוכנן, פותח ויוצר בהתאם לדרישות המפורטות לעיל. לצורך עמידה בחובה זו היצרנים יבצעו הערכה של סיכוני אבטחת הסייבר הקשורים במוצר ויקחו בחשבון את תוצאות ההערכה במהלך התכנון, העיצוב, הפיתוח, הייצור, האספקה ושלבי תחזוקה של המוצר.
בנוסף, לצורך עמידה בחובה זו, יבצעו היצרנים בדיקת נאותות בעת שילוב רכיבים מצדדים שלישיים במוצרים עם אלמנטים דיגיטליים. כמו כן, בעת הוצאת מוצר עם אלמנטים דיגיטליים לשוק, ולצפי משך חיי המוצר או לתקופה של חמש שנים מהצבת המוצר על השוק, הקצר מביניהם, יבטיחו היצרנים שנקודות התורפה של המוצר מטופלות ביעילות ובהתאם לדרישות הבאות מיצרנים של מוצרים עם אלמנטים דיגיטליים:
(1) על היצרנים לזהות ולתעד פגיעויות ורכיבים הכלולים במוצר;
(2) ביחס לסיכונים הנשקפים למוצרים עם אלמנטים דיגיטליים, על היצרנים לפעול לתקן נקודות תורפה אלו ללא דיחוי, לרבות באמצעות עדכוני אבטחה;
(3) על היצרנים לבצע בדיקות וסקירות יעילות וקבועות של אבטחת המוצר;
(4) לאחר שעדכון אבטחה הפך לזמין, על היצרנים לחשוף לציבור מידע על נקודות תורפה שתוקנו, כולל תיאור של נקודות התורפה, מידע המאפשר למשתמשים לזהות את המוצר המושפע, ההשפעות של הפגיעות, חומרתן, ומידע שיסייע למשתמשים לתקן את נקודות התורפה;
(5) על היצרנים לקבוע ולאכוף מדיניות בנושא חשיפת פגיעויות במכשיר;
(6) על היצרנים לנקוט באמצעים כדי להקל על שיתוף מידע על פוטנציאל נקודות תורפה במוצר שלהם עם צד שלישיים להם רכיבים במוצר;
(7) על היצרנים לספק מנגנונים להפצה מאובטחת של עדכונים עבור מוצרים
כדי להבטיח שפגיעויות שניתנות לניצול יתוקנו או יצומצמו ללא דיחוי;
(8) על היצרנים לוודא כי, כאשר תיקוני אבטחה או עדכוני אבטחה לטיפול בבעיות אבטחה מוכרות זמינים, הם מופצים ללא דיחוי וללא תשלום, מלווים בהודעות ייעוץ המספקות למשתמשים את המידע הרלוונטי;
הוראות נוספות בהצעת החקיקה
חובות דיווח של יצרנים (סעיף 11): יצרנים נדרשים לדווח תוך 24 שעות לרשות אבטחת הסייבר של האיחוד על כל נקודת תורפה או תקלה שהתגלתה במוצר. בנוסף, על היצרן לדווח ללא דיחוי לצרכן על כל נקודת תורפה או תקלה שהתגלתה.
חובות של יבואנים (סעיף 13): יבואנים יוציאו לשוק רק מוצרים העומדים בדרישות המפורטות בסעיף 1 של נספח 1 ושתהליך הייצור תואם את הדרישות המפורטות בסעיף 2 בנספח 1. על היבואן לוודא כי המוצר עומד בכל התנאים וכי יש לו את האישורים הנדרשים.
חובות של מפיצים (סעיף 14): יבואנים יוציאו לשוק רק מוצרים העומדים בדרישות המפורטות בסעיף 1 של נספח 1 ואשר מחזיקים בכל האישורים הנדרשים.
הליך החקיקה ועדכונים להצעת החוק
ב-04.05.2023 פרסמה ועדת התעשייה, המחקר והאנרגיה של הפרלמנט האירופי תיקונים להצעת החוק (חלק ראשון, חלק שני). חלק מהתיקונים, בפרט סעיף 9a, מסבירים את עמדת האיחוד לפיה תוכנות קוד פתוח (open source software) שפתוחות להעתקה, עריכה ולמידה על-ידי הציבור צפויות לקדם מחקר וחדשנות בשוק. מעבר לכך, הגישה החופשית לתוכנות קוד פתוח היא בעלת ערך משמעותי עבור מחקר אקדמי, מוסדות ללא כוונות רווח, סטארט-אפים ועסקים קטנים ובינוניים. בשל היתרונות הללו, האיחוד האירופי ראה לנכון להגן על הגישה החופשית לתוכנות קוד פתוח ולהחריג מהרגולציה המרחיבה של החקיקה המוצעת תוכנות קוד פתוח שמפותחות על-ידי מפתחים עצמאיים. ההחרגה תחול גם לגבי יצרנים שיעשו שימוש בתוכנות הללו במלואן או בחלקן. ההצעות מדגישות הרגולציה עדיין תחול במלואה על תוכנות קוד פתוח שמפותחות לצרכים מסחריים על-ידי ארגון יחיד שמפיק מהן הכנסות משמעותיות.
בנוסף, הוועדה מכירה בכך שהרגולציה עלולה להכביד על מפתחי תוכנה מזעריים או יחידים, במובן שהיא דורשת השקעה כספית ניכרת לפני הכניסה לשוק. לכן, על מנת להתמודד עם האפקט המצנן על העסקים הללו, ולעודד אותם בכל זאת לשלב אלמנטים של תוכנות קוד פתוח ולפתח תוכנה שאותה יוכלו לבדוק בסביבה שוקית, מוצע על-ידי הוועדה בסעיף 10 להצעת החוק לקבוע כי המפתחים הללו יידרשו לעשות "כמיטב יכולתם" לציית להנחיות תוך 12 חודשים מהפצת התוכנה לשוק.
ביחס לדרישה כי "מוצרים בעלי אלמנטים דיגיטליים יתוכננו, יפותחו וייוצרו בצורה כזו שתבטיח רמה נאותה של אבטחת סייבר המבוססת על סיכונים", מוצע על-ידי הוועדה בסעיף 34a להצעת החוק לחייב יישויות שאחראיות על "מוצרים קריטיים עם אלמנטים דיגיטליים" לבצע הערכת סיכונים של מעורבות לא רצויה מצד מדינות זרות בייצור והפצת המוצרים.
בסיום פעילות הועדה ופרסום הטיוטה הסופית שלה, הועברה ההחלטה על המשך החקיקה למוסדות המחוקקים של האיחוד האירופי.
ביום 30.11.2023 מוסדות האיחוד האירופי הגיעו להסכמה פוליטית עקרונית על מרבית סעיפי החקיקה, תוך הטמעת מספר שינויים בחקיקה. בין היתר, הוסכם כי:
- נדרשים שינויים בהגדרה של היקף החקיקה ובקביעה על אילו מוצרים תחול, במטרה לפשט אותה.
- תקופת התמיכה של יצרנים במוצרים שלהם תוגדר בצורה החלטית יותר ותהיה לפחות ל-5 שנים, למעט במקרים בהם צפי תקופת השימוש במוצר קצר מכך.
- הדיווחים של עסקים על חולשות ואירועים חריגים יועברו קודם כל לרשויות של המדינה ורק לאחר מכן לרשות אבטחת הסייבר של האיחוד האירופי.
- החובות מכוח החוק יחולו שלוש שנים לאחר כניסת החוק לתוקף, פרט לחובות של יצרנים לדיווח על אירועים חריגים וחולשות, שייכנסו לתוקף תוך 21 חודשים.
- תינתן תמיכה רחבה יותר לעסקים קטנים וזעירים, כולל תוכניות להעלאת מודעות ולהכשרה להתמודדות עם החקיקה החדשה.
הרשויות באיחוד האירופי יסכמו את פרטי החקיקה הסופיים ולאחר מכן ההסכם יועבר לאישור סופי.
באפריל 2024, סוכנות האיחוד האירופי לאבטחת סייבר (ENISA) פרסמה מחקר שסוקר את הסטנדרטים הקיימים באיחוד האירופי בתחום אבטחת המידע ומשווה אותם לדרישות ה-Cyber Resilience Act. המחקר שואף לסייע למוסדות האיחוד בבניית סטנדרטים ברורים ואחידים של אבטחת מידע במסגרת ה-CRA ולהדגיש פערים בין דרישות ה-CRA לסטנדרטים הקיימים בפועל.
ביום 12.03.2024 הצעת החקיקה אושרה בפרלמנט האירופי. ביום 10.10.2024 החקיקה אושרה במועצת האיחוד האירופי וביום 20.11.2024 היא פורסמה ואושרה רשמית.
ביקורת
ארגון ה-Internet Society, ארגון ללא מטרות רווח אשר פועל להגנה על אינטרנט בטוח, פתוח ושיווני פרסם את התנגדותו להצעת החוק בנוסחה הנוכחי. לפי הארגון, יש לתקן את הצעת החוק כך שלא תפגע בתוכנות עם מקור נגיש (open source software), וכי עליה להחריג מהיקפה כאלה אשר מופצות ללא מטרות רווח. הארגון מאמין שללא החרגה שכזו, יהיו השלכות לא צפויות אשר ישפיעו לרעה על הפיתוח והשימוש של תוכנות כאלה ויפגעו ביכולת להתחבר דיגיטלית, לחנך ולפתח את החברה בעזרת האינטרנט.
באופן דומה, גם RIPE, רשם האינטרנט של אירופה, הביע חששות הנוגעות לנוסח הצעת החוק. הארגון טוען שההצעה הנוכחית משאירה כמה שאלות חשובות ללא מענה, וכי תלוי בהגדרות המדויקות שחסרות כרגע, ייתכן שחלק מהדרישות והחובות אינן מעשיות, או אפילו לא אפשריות עבור יצרנים מסוימים (אם לא כולם) של מוצרים עם אלמנטים דיגיטליים. לפי הבנת הארגון, הצעת החוק מתכוונת לכסות כל מוצר תוכנה וחומרה, המחוברים לאינטרנט (באופן לוגי או פיזית) ואשר מופצים לשוק כמוצר עצמאי לשימוש סופי. במילים אחרות, תוכנה שמחוברת ל- אינטרנט אך אינה מופצת לשוק כמוצר שמטרתו להגיע למשתמשי קצה, כגון, פורטל לקוחות – לא תכנס תחת היקף החקיקה. עם זאת, ההצעה אינה מפורשת לגבי נקודה זו, ולכן נדרשת בהירות נוספת. הרחבת ההיקף לכל תוכנה שתהיה זמינה באינטרנט תרחיב באופן מסיבי את היקף הרגולציה, תיצור עומס אדמיניסטרטיבי ודרישות ציות משמעותיות במיוחד לאותם מפעלים קטנים יותר שעלולים להתקשות להתמודד עם העלויות הכספיות והקצאת המשאבים הנדרשים לצורך עמידה בהוראות.
