Край на безотговорните продажби на уреди и устройства с цифров компонент

Всички играчки с изкуствен интелект ще попадат под тази регулация. Под нея попадат и всички продукти със свързаност в интернет.

Производителите и търговците на дребно ще трябва да спазват изискванията за киберсигурност на продукта си. Това включва сигурни настройки по подразбиране, политики за разкриване на уязвимости и редовни софтуерни актуализации.

Те също така ще бъдат задължени да докладват за сериозни инциденти в киберсигурността на органите на ЕС, а в определени случаи и на засегнатите потребители. Ще се изисква подробна документация относно мерките за сигурност на продукта, оценки на риска и планове за реакция при инциденти.

Дойде краят на времето, в което всеки, който реши да вкара електроника в каквото и да е устройство: умна прахосмукачка, нахален дигитален фритюрник, болнични системи - щом устройството е умно, свързано към друго устройство, към мрежата – директно или индиректно, трябва да отговаря на изискванията за киберсигурност, обяснява пред БНР киберекспертът Ясен Танев.

"Идеята е, че устройствата, които използваме, трябва да бъдат не само умни и красиви, но и киберсигурни."

По думите му, има изискване всяко устройство трябва да се "самоопредели" – дали е с малък, среден или висок риск, но след проверки може да бъде преместено в друга категория.

"Защото всеки ще иска да бъде в малкия списък за контрол."

На брюкселски език законодателният акт за киберустойчивостта ще гарантира правила при пускането на пазара на продукти или софтуер с цифров компонент, рамка от изисквания за киберсигурност, уреждащи планирането, проектирането, разработването и поддръжката на такива продукти, със задължения, които трябва да бъдат изпълнени на всеки етап от веригата за създаване на стойност, задължение за полагане на грижа за целия жизнен цикъл на такива продукти.

При влизането в сила на регламента софтуерът и продуктите, свързани с интернет, ще носят маркировката "СЕ", за да указват, че отговарят на новите стандарти. Органите на ЕС ще имат увеличени правомощия за наблюдение и налагане на спазването на регламента, което потенциално може да доведе до изтегляне на продукти и глоби.

На езика на киберексперта Ясен Танев новите правила звучат така - ако устройствата не са проверени, няма как да бъдат на пазара в ЕС.

Производителите на устройството трябва да се грижат, ако се открият слабости и пропуски, те да бъдат изчистени, подчертава той.

"И то в целия живот на устройството, което не означава – купуваш и те забравям."

В "Амазон" например не се притесняват от определението "детски играчки с изкуствен интелект". У нас предимно вносителите (онлайн магазините) ги рекламират като програмируеми, интерактивни или образователни. Засега никой вносител, производител или търговец на дребно у нас не пожела да сподели притесненията си дали би носил отговорност за продуктите си с цифров компонент. Представител на онлайн магазин ни обясни, че от подобни играчки няма опасност за децата. Роботите например се програмирали, и то с гласови команди. Други играчки се управлявали през приложения на телефона. В упътването на самата играчка било посочено от къде да се изтегли приложението, а търговците уверяват, че няма как да бъдат хакнати, защото става въпрос за детско приложение, самите играчки не са свързани с интернет, а приложението се използва офлайн. Но отговорността за свалянето е, разбира се, на родителя, а отговорността за сигурността - на производителя. Самите сайтове към момента не указват в общите си условия, че носят отговорност за актуализация на софтуера, или че отговарят за нанесени щети при сваляне на приложението за играчката. Изброяват само отговорностите си като администратори на лични данни.

Според Богомил Николов от Асоциация "Активни потребители" новото законодателство ще промени нещата повече за производителите и по-малко за дистрибуторите и търговците.

Изискванията са трудни, например за ъпгрейт, за обновяване на софтуера, когато се налага. За нас като потребителска организация най-големите съмнения остават в това дали ще може вносът да се контролира. Защото в момента е много лесно да си поръчаш каквото и да е през чуждестранен търговец и то да дойде като колет, коментира Николов пред БНР, давайки пример с китайските платформи.

Европа прави тези изисквания, а те трябва да станат световни, посочва още той и припомня, че изискванията се отнасят дори и за свързване на устройството с друго устройство.

"В момента стоките, които носят "CE" маркировка, няма да бъдат същите след влизане в сила на регламента, защото "CE" маркировката ще бъде разширена като обхват. Ще включва и цифровото съдържание, дори само да се свързва с някое друго устройство. Това вече го включва в изискванията - този софтуер ще трябва да бъде обезопасен по съответния начин. В момента е трудно да дадем точна дефиниция каква трябва да бъде тази безопасност. Вероятно ще се изграждат конкретни изисквания за конкретни видове продукти."

Трябва да имаме киберполигони, на които да тестваме устройствата, категоричен е Ясен Танев. Имаме дефицит в тази посока – още нямаме лаборатория, а за тези, които проверяват, такива лаборатории са необходими, отбелязва той.

"В следващата година и половина трябва да се направят лаборатории или да се тестват в европейски лаборатории."

Но дори и да няма такива киберполигони, дистрибуторите на софтуер за IT сигурност не виждат проблем. Новата регулация няма да усложни софтуерните специалисти, изтъква Александър Жеков, управител на фирма за IT продукти.

"Нямам притеснения по линия на производителите и по наша линия, че бихме заобиколили по някакъв начин."

Регламентът на ЕС за киберустойчивост влиза поетапно от декември, но различните задължения за производителите, например докладване на киберуязвимост, няма да влязат в сила до септември 2026 г. Актът за киберустойчивостта ще започне да се прилага напълно през декември 2027 г.

До тази дата софтуерът, всички процедури и органи, които установяват несъответствието, волю-неволю ще трябва да се развият. Има още 3 години, докато влезе в сила. Това е тригодишен период, в който бизнесът трябва да се съобрази, обобщава Богомил Николов. Той очаква пикът на разговора по тази тема да бъде именно след 3 години.