Uni Eropa membuka kotaknya untuk keamanan perangkat pintar • TechCrunch

Posted on

Anggota parlemen Uni Eropa telah mengusulkan seperangkat aturan produk baru untuk diterapkan pada perangkat pintar yang dimaksudkan untuk memaksa pembuat perangkat keras yang terhubung ke Internet – seperti mesin cuci ‘pintar’ atau mainan yang terhubung – untuk memberikan perhatian penuh pada keamanan perangkat.

UE yang diusulkan Undang-Undang Ketahanan Cyber akan memperkenalkan persyaratan keamanan siber wajib untuk produk yang memiliki “elemen digital” yang dijual di seluruh blok, dengan persyaratan yang berlaku di seluruh siklus hidup mereka — yang berarti pembuat gadget perlu memberikan dukungan keamanan berkelanjutan dan pembaruan untuk menambal kerentanan yang muncul — Komisi mengatakan hari ini.

Rancangan peraturan juga memiliki fokus pada pembuat perangkat pintar yang berkomunikasi dengan konsumen “informasi yang memadai dan akurat” — untuk memastikan pembeli dapat memahami pertimbangan keamanan pada titik pembelian dan mengatur perangkat dengan aman setelah pembelian.

Hukuman yang diusulkan oleh Komisi untuk ketidakpatuhan untuk persyaratan keamanan siber “penting” meningkat hingga €15 juta atau 2,5% dari omset tahunan di seluruh dunia, dengan pelanggaran kewajiban peraturan lainnya memiliki sanksi maksimum €10 juta atau 2% dari omset.

Eksekutif UE mengatakan peraturan yang diusulkan akan berlaku untuk semua produk yang terhubung “baik secara langsung atau tidak langsung ke perangkat atau jaringan lain” – dengan beberapa pengecualian untuk produk yang persyaratan keamanan sibernya sudah ditetapkan dalam aturan UE yang ada, seperti perangkat medis, penerbangan dan mobil.

Aturan Pan-EU untuk keamanan perangkat pintar

Dalam ringkasan langkah-langkah yang diusulkan, yang didasarkan pada Kerangka kerja legislatif untuk undang-undang produk UE yang diperbarui pada tahun 2008, Komisi mengatakan mereka akan menetapkan:

(a) aturan penempatan di pasar produk dengan elemen digital untuk memastikan keamanan sibernya;

(b) persyaratan penting untuk desain, pengembangan dan produksi produk dengan elemen digital, dan kewajiban bagi pelaku ekonomi sehubungan dengan produk ini;

(c) persyaratan penting untuk proses penanganan kerentanan yang diberlakukan oleh produsen untuk memastikan keamanan siber produk dengan elemen digital selama seluruh siklus hidup, dan kewajiban bagi operator ekonomi terkait dengan proses ini. Produsen juga harus melaporkan kerentanan dan insiden yang dieksploitasi secara aktif;

(d) aturan tentang pengawasan dan penegakan pasar.

“Aturan baru akan menyeimbangkan kembali tanggung jawab terhadap produsen, yang harus memastikan kesesuaian dengan persyaratan keamanan produk dengan elemen digital yang tersedia di pasar UE,” tulisnya dalam sebuah jumpa pers. “Akibatnya, mereka akan menguntungkan konsumen dan warga negara, serta bisnis yang menggunakan produk digital, dengan meningkatkan transparansi properti keamanan dan mempromosikan kepercayaan pada produk dengan elemen digital, serta dengan memastikan perlindungan yang lebih baik atas hak-hak dasar mereka, seperti sebagai privasi dan perlindungan data.”

Sebuah Komisi T&J atas inisiatif lebih lanjut menetapkan bahwa produsen akan menjalani “proses penilaian kesesuaian untuk menunjukkan apakah persyaratan tertentu yang berkaitan dengan produk telah terpenuhi”. Ini mencatat bahwa ini mungkin dilakukan melalui penilaian sendiri atau oleh penilaian kesesuaian pihak ketiga “tergantung pada kekritisan produk yang bersangkutan”.

Jika kepatuhan terhadap persyaratan yang berlaku telah ditunjukkan, pembuat perangkat akan dapat membubuhkan tanda CE UE — yang menunjukkan kesesuaian elemen digital dengan peraturan keamanan produk.

Ketidakpatuhan akan ditangani oleh otoritas pengawasan pasar yang ditunjuk oleh Negara-negara Anggota yang akan bertanggung jawab untuk penegakannya — dengan kewenangan yang diusulkan untuk tidak hanya memerintahkan penghentian ketidakpatuhan tetapi juga “menghilangkan risiko” dengan melarang suatu produk dijual atau sebaliknya membatasi ketersediaan pasarnya. Otoritas yang kompeten juga dapat memerintahkan produk yang melanggar untuk ditarik atau ditarik kembali. Saat memberikan informasi yang salah, tidak lengkap, atau menyesatkan kepada regulator dan otoritas pengawasan akan berisiko didenda hingga €5 juta atau 1% dari omset.

Mengomentari dalam sebuah pernyataan, Margrethe Vestager, Komisi EVP untuk strategi digital, menambahkan: “Kami layak merasa aman dengan produk yang kami beli di pasar tunggal. Sama seperti kita dapat memercayai mainan atau lemari es dengan tanda CE, Undang-Undang Ketahanan Siber akan memastikan objek dan perangkat lunak terhubung yang kita beli mematuhi perlindungan keamanan siber yang kuat. Ini akan menempatkan tanggung jawab di tempatnya, dengan mereka yang menempatkan produk di pasar.”

Perangkat pintar telah menjadi sarang cerita horor keamanan selama bertahun-tahun. Meskipun ada langkah legislatif sebelumnya untuk menutup celah keamanan yang mencolok — seperti undang-undang California tahun 2018 yang melarang pembuat mengatur kata sandi default yang mudah ditebak di perangkat.

Inggris juga telah mengerjakan undang-undang ‘keamanan berdasarkan desain’ untuk gadget yang terhubung selama beberapa tahun — menayangkan draf pada tahun 2019 (meskipun ini tagihan keamanan produkyang menggabungkan ketentuan keamanan infrastruktur telekomunikasi, masih melalui parlemen Inggris).

Meskipun bukan yang pertama dalam keamanan perangkat pintar, UE berharap pendekatannya yang baru lahir akan menjadi titik referensi internasional, dengan siaran pers Komisi menyarankan: “Standar UE berdasarkan Undang-Undang Ketahanan Siber akan memfasilitasi implementasinya dan akan aset bagi industri keamanan siber UE di pasar global.”

Namun masih ada jalan yang cukup panjang untuk proposal tersebut sebelum dapat menjadi undang-undang UE, karena Parlemen dan Dewan Eropa perlu memeriksa rancangan tersebut – dan mungkin berusaha untuk mengubahnya.

Komisi juga telah mengusulkan jangka waktu dua tahun setelah peraturan diadopsi untuk pembuat perangkat dan Negara Anggota UE untuk beradaptasi dengan aturan baru secara menyeluruh. Jadi regulasi kemungkinan tidak akan banyak menggigit sebelum tahun 2025.

Yang mengatakan, ada kerangka waktu yang lebih pendek untuk kewajiban pelaporan pada produsen untuk “kerentanan dan insiden yang dieksploitasi secara aktif” – yang akan berlaku satu tahun sejak tanggal berlakunya peraturan, karena Komisi mengharapkan bagian itu lebih mudah untuk diterapkan. .

Leave a Reply

Your email address will not be published.