Đạo luật về khả năng phục hồi không gian mạng: Bóp nghẹt tội phạm mạng

Các nhà cung cấp công nghệ kết nối internet - từ phần mềm Apple iPhone đến màn hình trẻ em - sẽ phải đáp ứng các yêu cầu an ninh mạng mới ở Liên minh châu Âu hoặc đối mặt với tiền phạt, theo một dự thảo đề xuất được Bloomberg đưa ra.

Các quy tắc mới của Ủy ban Châu Âu được gọi là Đạo luật về khả năng phục hồi không gian mạng, được công bố vào tuần tới, nhằm cải thiện tính bảo mật của các thiết bị trước các cuộc tấn công trực tuyến đang gia tăng trên toàn cầu. Thiệt hại từ phần mềm và phần cứng của tội phạm mạng đã lên tới khoảng 6 nghìn tỷ đô la chỉ riêng trong năm ngoái.

Các thiết bị gia dụng và các thiết bị công nghê khác ngày càng được trang bị cảm biến và kết nối trực tuyến, tạo ra cái được gọi là Internet of Things. Theo dự thảo, các sản phẩm này có thể có "mức độ an ninh mạng thấp, được phản ánh bởi các lỗ hổng bảo mật phổ biến và việc cung cấp các bản cập nhật bảo mật không đầy đủ và không nhất quán để giải quyết chúng".

Đồng thời, người dùng không được cung cấp đầy đủ thông tin về các tính năng an ninh mạng của thiết bị được kết nối để đưa ra lựa chọn sáng suốt khi mua thiết bị đó.

Để giải quyết những lo ngại này, Ủy ban đang trình bày luật đầu tiên trên thế giới giới thiệu một khuôn khổ pháp lý cho tất cả các thiết bị được kết nối sẽ đảm bảo an ninh mạng của các sản phẩm này trong toàn bộ vòng đời của chúng.

"Trong một môi trường kết nối, sự cố an ninh mạng ở một sản phẩm có thể ảnh hưởng đến toàn bộ tổ chức hoặc toàn bộ chuỗi cung ứng, thường lan truyền qua biên giới của thị trường nội bộ trong vòng vài phút", dự thảo mới cho biết. "Điều này có thể dẫn đến sự gián đoạn nghiêm trọng của các hoạt động kinh tế và xã hội hoặc thậm chí đe dọa đến tính mạng".

Theo các quy tắc được đề xuất của EU, các sản phẩm sẽ phải đáp ứng các tiêu chuẩn mạng khác nhau để nhận được dấu phê duyệt và được bán trong khu vực. Các thiết bị mã nguồn mở sẽ không phải đáp ứng các quy tắc này trừ khi chúng được bán trên thị trường Châu Âu.

Các quốc gia EU - hoặc cơ quan mạng của EU, khi được ủy ban yêu cầu - sẽ có thể điều tra bất kỳ thiết bị nào được bán trong khu vực về sự không tuân thủ. Ngay cả khi đáp ứng các quy tắc mạng, chúng vẫn có thể bị phát hiện là "có nguy cơ an ninh mạng đáng kể", gây nguy hiểm cho sức khỏe và sự an toàn của mọi người hoặc không tuân thủ các quyền cơ bản.

Cơ quan An ninh mạng của Liên minh Châu Âu, được gọi là ENISA, cũng sẽ thiết lập cơ sở dữ liệu lỗ hổng để giúp đánh giá các cuộc tấn công xuyên biên giới.

Nếu một thiết bị không đáp ứng các tiêu chuẩn mới, các cơ quan quản lý quốc gia có thể yêu cầu thu hồi hoặc đưa sản phẩm đó ra khỏi thị trường EU. Trong những trường hợp đặc biệt, Ủy Ban Châu Âu cũng có thể làm như vậy.

Tiền phạt do vi phạm một phần thiết yếu của đề xuất quy định có thể lên tới 15 triệu euro, hoặc 2,5% doanh thu hàng năm trên toàn thế giới của một công ty, tùy theo mức nào cao nhất. Các vi phạm ít nghiêm trọng hơn có thể bị phạt 10 triệu euro hoặc 2% doanh thu hàng năm toàn cầu.

Nếu một công ty bị phát hiện cung cấp thông tin "không chính xác, không đầy đủ hoặc gây hiểu nhầm", công ty đó có thể bị phạt 5 triệu euro hoặc lên đến 1% doanh thu hàng năm.

"Trong một thị trường đơn lẻ được kết nối với nhau, chúng tôi chỉ mạnh bằng liên kết yếu nhất" Ủy viên Thị trường Nội bộ Thierry Breton đã viết trong một bài đăng năm 2021. "Do đó, chúng ta phải nâng cao mức độ an ninh chung của mình".

Ủy ban Châu Âu dự đoán rằng đề xuất này sẽ tiết kiệm từ 180 tỷ euro đến 290 tỷ euro mỗi năm. Tuy nhiên, các công ty và cơ quan công quyền sẽ phải chi khoảng 29 tỷ euro để tuân thủ và thực thi các quy tắc mạng mới.

Cơ quan điều hành EU sẽ công bố đề xuất của mình được gọi là Đạo luật về khả năng phục hồi trên mạng vào ngày 13 tháng 9. Nó có khả năng trở thành luật sau khi có ý kiến đóng góp từ các nước EU.

Phạm vi

Quy định bao gồm "sản phẩm có các yếu tố kỹ thuật số", được định nghĩa là "bất kỳ sản phẩm phần mềm hoặc phần cứng nào và các giải pháp xử lý dữ liệu từ xa của nó, bao gồm cả phần mềm hoặc các thành phần phần cứng được đưa ra thị trường một cách riêng biệt".

Các sản phẩm được điều chỉnh bởi luật ngành, chẳng hạn như thiết bị y tế, đã bị loại trừ.

Yêu cầu

Các nhà sản xuất sản phẩm IoT sẽ phải tuân thủ các yêu cầu thiết yếu về thiết kế, phát triển và sản xuất trước khi thiết bị được tung ra thị trường. Họ sẽ tiếp tục theo dõi và giải quyết các lỗ hổng trong toàn bộ vòng đời của nó thông qua các bản cập nhật tự động miễn phí.

"Các nghĩa vụ sẽ được thiết lập cho các nhà điều hành kinh tế, bắt đầu từ các nhà sản xuất, cho đến các nhà phân phối và nhập khẩu, liên quan đến việc đưa vào thị trường các sản phẩm có yếu tố kỹ thuật số, phù hợp với vai trò và trách nhiệm của họ trong chuỗi cung ứng", dự thảo nêu rõ.

Danh sách các yêu cầu thiết yếu bao gồm mức độ an ninh mạng 'thích hợp', cấm khởi chạy các sản phẩm có bất kỳ lỗ hổng đã biết nào, bảo mật theo cấu hình mặc định, bảo vệ khỏi truy cập trái phép, hạn chế các bề mặt tấn công và giảm thiểu tác động của sự cố.

Các sản phẩm phải đảm bảo tính bảo mật của dữ liệu, bao gồm sử dụng mã hóa, bảo vệ tính toàn vẹn của sản phẩm và chỉ xử lý dữ liệu thực sự cần thiết cho hoạt động của nó.

Các nhà sản xuất sẽ phải xác định các lỗ hổng trong sản phẩm thông qua các bài kiểm tra thường xuyên và giải quyết chúng mà không bị chậm trễ. Tương tự như chỉ thị sửa đổi gần đây về An ninh mạng và Thông tin (NIS2), đạo luật được đề xuất được thiết lập để yêu cầu các nhà sản xuất báo cáo các lỗ hổng và sự cố bị khai thác.

Tờ Financial Times lần đầu tiên đưa tin về bản dự thảo của đề xuất này.