Uvod

Oslanjanje društva na digitalnu infrastrukturu, tehnologije i internetske sustave koji omogućuju pokretanje poslovanja i korištenje proizvoda i usluga, otvorila je put valu kiberkriminaliteta. Budući da ključni sektori kao što je promet, energetika, zdravstvo i financije sve više ovise o digitalnim tehnologijama, potrebno je osvijestiti okolinu i preduhitriti potencijalne probleme kiberprijetnje kojem je izloženo gospodarstvo Europske unije (u nastavku teksta: EU) i njezini građani.

Važnost toga uvidjeli su i čelnici i čelnice EU-a, koji su na izvanrednom sastanku Europskog vijeća, 1. i 2. listopada 2020., između ostaloga, pozvali i na jačanje sposobnosti EU-a za zaštitu od kiberprijetnje^[1], dok su Europska komisija i Europska služba za vanjsko djelovanje (ESVD) u prosincu iste godine predstavile novu Strategiju EU-a za kibersigurnost^[2] (u nastavku teksta: Strategija). Vezano uz to, Vijeće Europe je 22. ožujka 2021. usvojilo zaključke o Strategiji, gdje ističe njezinu važnost pri izgradnji otporne, zelene i digitalne Europe^[3].

Strategija predlaže integraciju kibersigurnosti u svaki element lanca opskrbe i daljnje povezivanje aktivnosti i resursa EU-a u četiri zajednice – unutarnjem tržištu, zakonodavstvu, diplomaciji i obrani te se temelji na zakonodavnim aktima, mjerama i inicijativama koje je EU proveo radi jačanja kapaciteta kibersigurnosti i otpornosti Europe na kiberprijetnje.

Okvir EU-a za kibersigurnost čine: Direktiva o sigurnosti mrežnih i informacijskih sustava^[4] (Direktiva NIS), Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije^[5] (Direktiva NIS 2), koju su nedavno dogovorili Europski parlament i Vijeće, Akt EU-a o kibersigurnosti^[6] i najnoviji Prijedlog akta o kiberotpornosti.

Kiberprijetnje unutar EU-a

Kako je napomenuto u Strategiji, kibersigurnost je  sastavni  dio sigurnosti Europljana. Prema izvješću ENISA-e o prijetnjama iz 2021.^[7] (podaci za razdoblje od travnja 2020. do srpnja 2021.), glavne kiberprijetnje u EU-u su:

• ransomware - vrsta zlonamjernih napada pri kojima kiberkriminalci šifriraju podatke određene organizacije i zahtijevaju novac kako bi joj ponovno omogućili pristup tim podacima. Prosječan iznos tražene otkupnine se udvostručio.
• malware - zlonamjerni softver osmišljen tako da ošteti ili poremeti uređaj ili stekne neovlašten pristup uređaju. Napadi zlonamjernim softverom u EU-u smanjili su se za 43 %.
• zlonamjerno ili prikriveno rudarenje kriptovaluta - neovlaštena uporaba nečijeg računala, pametnog telefona ili tableta radi generiranja kriptovalute. Kriptovalute i dalje su najčešća metoda isplate kojom se koriste kiberkriminalci.
• napadi putem e-pošte - pokušaji krađe lozinki ili podataka o kreditnim karticama raznim metodama, kao što su phishing, smishing i neželjena pošta. U napadima putem e-pošte i dalje su najzastupljeniji mamci povezani s COVID-om.
• povrede i curenje osobnih podataka - objava osjetljivih, povjerljivih ili zaštićenih podataka u nepouzdanom okružju. Zabilježeno je povećanje broja povreda osobnih podataka u području zdravstva.
• distribuirani napadi uskraćivanjem usluga (DDoS) - napadi koji korisnicima određene mreže ili sustava onemogućuju pristup važnim informacijama, uslugama i drugim resursima. Dosad je izvršeno više od 10 milijuna DDoS napada povezanih s COVID-om.
• dezinformacije - namjerni napadi u obliku stvaranja ili širenja netočnih i obmanjujućih informacija radi manipuliranja javnim mišljenjem. COVID-19 je jedna od glavnih tema dezinformacijskih napada.
• nezlonamjerne prijetnje - uglavnom su posljedica ljudske pogreške, a katkad i fizičkih katastrofa povezanih s oštećenjem IT infrastrukture. Pogreške u konfiguraciji uzrok su 50 % takvih napada.
• prijetnje u lancu opskrbe - strategija napada usmjerena na ranjivosti u lancu opskrbe određene organizacije koja bi mogla imati domino-efekt. Cilj 58 % napada u lancu opskrbe stjecanje je pristupa podacima.

Razvoj interneta stvari^[8] (The internet of things) i povećana primjena umjetne inteligencije^[9] donijet će nove koristi, ali i novi skup rizika.

Akt EU-a o kiberotpornosti

Europska komisija (u nastavku teksta: EK), 15. rujna 2022. predstavila je Prijedlog akta o kiberotpornosti (Cyber Resilience Act - u nastavku teksta: CRA), koji ima za cilj potrošače i poduzeća zaštititi od proizvoda s neodgovarajućim sigurnosnim obilježjima. Svrha je uskladiti zahtjeve kibersigurnosti za proizvode s digitalnim elementima u svim državama članicama te ukloniti prepreke slobodnom kretanju robe.

Kako obavještava EK, to je „prvi zakonodavni akt te vrste na razini EU-a kojim se uvode obvezni kibersigurnosni zahtjevi za proizvode s digitalnim elementima koji će se primjenjivati tijekom njihova cijelog životnog ciklusa“.

Cilj CRA je osigurati da žični (wired) i bežični (wireless) proizvodi koji su povezani s internetom i softverska rješenja koji se stavljaju na tržište EU-a budu sigurniji te da proizvođači odgovaraju za kibersigurnost tijekom životnog ciklusa proizvoda. Također, omogućilo bi se korisnicima tih proizvoda pravilno informiranje o kibersigurnosti proizvoda koje kupuju i upotrebljavaju.

U tu svhu, CRA adresira dva uočena problema: jedan je niska razina kibersigurnosti mnogih od tih proizvoda i još važnija činjenica da mnogi proizvođači ne pružaju ažuriranja (updates) za rješavanje ranjivosti. Dok se proizvođači digitalnih proizvoda ponekad suočavaju s oštećenjem ugleda kada njihovi proizvodi nemaju sigurnost, trošak ranjivosti uglavnom pada na potrošače. Drugi problem je da poduzeća i potrošači često nemaju dovoljno točnih informacija pri odabiru sigurnih proizvoda i često su u situaciji da nemaju znanja kako osigurati da kupljeni proizvodi budu upotrebljeni na sigurnosan način.Stoga, CRA nalaže da će proizvodi s digitalnim elementima biti dostupni na tržištu EU-a samo ako ispunjavaju specifične bitne zahtjeve kibersigurnosti, što potiče proizvođače da pri dizajniranju i proizvodnji svojih proizvoda uzimaju u obzir kibersigurnosni element.

Kao ključni elementi CRA ističu se potreba za transparentnošću proizvođača glede sigurnosnih svojstava usmjerenu prema potrošačima i već navedeno, pokrivanje cijelog životnog ciklusa proizvoda, posebno obveza za proizvođače i razvojne programere (developere) informirati o kraju životnog vijeka proizvoda i osiguranoj sigurnosnoj podršci, kao i pružanje sigurnosnih ažuriranja i podrške u razumnom razdoblju.

Predložena uredba primjenjivat će se na sve proizvode koji su izravno ili neizravno povezani s drugim uređajem ili mrežom. Postoje neke iznimke za proizvode za koje su kibersigurnosni zahtjevi već utvrđeni u postojećim pravilima EU-a, o npr. medicinskim proizvodima, zrakoplovstvu ili automobilima.

Kritični proizvodi s digitalnim elementima podliježu posebnoj ocjeni sukladnosti postupaka i dijele se na klasu I. i klasu II. kako je navedeno u Prilogu III.^[10], odražavajući njihove razine rizika kibersigurnosti, pri čemu klasa II. predstavlja veći rizik. Potencijalni kibernetički incident koju uključuje proizvode u klasi II. može dovesti do većih negativnih učinaka od incidenta koji uključuje proizvode u klasi I., primjerice zbog prirode njihove funkcije ili namjeravanu upotrebu u osjetljivim (industrijskim) okruženjima.

Države članice imenovat će tijela za nadzor tržišta koja će biti odgovorna za provedbu obveza iz CRA, a u slučaju nesukladnosti, tijela za nadzor tržišta mogu zahtijevati od operatera da okončaju nesukladnost i uklone rizik, zabrane ili ograniče stavljanje proizvoda na tržište ili nalože da se proizvod povuče. Svako od tih tijela moći će kazniti tvrtke koje se ne pridržavaju pravila, a CRA utvrđuje maksimalne razine administrativnih kazni koje bi trebale biti predviđene nacionalnim zakonima za nepridržavanje.

Sljedeći korak je da Europski parlament i Vijeće razmotre prijedlog CRA. Nakon njegova donošenja gospodarski subjekti i države članice imat će dvije godine za prilagodbu novim zahtjevima. Iznimno, obveza izvješćivanja o ranjivostima koje se aktivno iskorištavaju i incidentima za proizvođače primjenjivala bi se već nakon godine dana od datuma stupanja na snagu jer je za nju potrebno manje organizacijskih prilagodbi nego za ostale nove obveze. EK će redovito preispitivati CRA i izvješćivati o njegovu funkcioniranju.

Pripremila: Lidija Doko mag. iur.

Izvor:
1. Threat Landscape Mapping – Inforgraphic: https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/threat-landscape-mapping-image-2020/view ; pristupljeno (29.9.2022.)
2. Stanje Unije: nova pravila EU-a o kibersigurnosti za sigurnije hardverske i softverske proizvode, https://ec.europa.eu/commission/presscorner/detail/hr/IP_22_5374; pristupljeno (29.9.2022.)
3. Kibersigurnost: Vijeće usvojilo zaključke o strategiji EU-a za kibersigurnost, https://www.consilium.europa.eu/hr/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/ ; pristupljeno (29.9.2022.)
4. The Cybersecurity Strategy: https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy; pristupljeno (29.9.2022.)
5. Cyber Resilience Act - Impact assessment: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-impact-assessment; pristupljeno (29.9.2022.)
6. The EU's Cybersecurity Strategy in the Digital Decade: https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade; pristupljeno (29.9.2022.)

^[1] https://www.consilium.europa.eu/hr/meetings/european-council/2020/10/01-02/
^[2] https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade-0
^[3]https://www.consilium.europa.eu/hr/press/press-releases/2021/03/22/cybersecurity-council-adopts-conclusions-on-the-eu-s-cybersecurity-strategy/
^[4] Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije: http://data.europa.eu/eli/dir/2016/1148/oj.
^[5] Prijedlog Direktive Europskog Parlamenta i Vijeća o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148: https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=COM:2020:823:FIN.
^[6] Uredba (EU) 2019/881Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (Tekst značajan za EGP): https://eur-lex.europa.eu/legal-content/HR/TXT/?uri=celex%3A32019R0881.
^[7] Agencija Europske unije za kibersigurnost, ENISA threat landscape 2021 : April 2020 to mid-July 2021, Theocharidou, M.(editor), Malatras, A.(editor), Lella, I.(editor), Tsekmezoglou, E.(editor), European Network and Information Security Agency, 2021, https://data.europa.eu/doi/10.2824/324797.
^[8] Sveobuhvatan izraz za sve veći broj elektronike koja nije tradicionalni računalni uređaj, ali je spojena na internet za slanje podataka, primanje uputa ili oboje, primjerice bijela tehnika.
^[9] https://www.europarl.europa.eu/news/hr/headlines/society/20200827STO85804/sto-je-umjetna-inteligencija-i-kako-se-upotrebljava
^[10] Cyber Resilience Act, Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience, https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act.