Wspólnota planuje wprowadzenie obowiązku dostarczania poprawek bezpieczeństwa oraz aktualizacji oprogramowania dla urządzeń przez dłuższy niż dotąd czas. Producenci musieliby zapewniać takie wsparcie przez cały czas “życia” produktu lub przez 5 lat. Przestrzeganie reguły mają zapewnić dotkliwe kary finansowe.
Obecnie okres wsparcia w zakresie łatania luk bezpieczeństwa i innych udoskonaleń oprogramowania, które steruje urządzeniami, zależy głównie od strategii producenta. W efekcie wiele sprzętów ma przestarzałe systemy. Tymczasem, jak zaznaczają eksperci badający włamania do systemów przedsiębiorstw, przestępcy często wykorzystują tego rodzaju podatności. Znaczna część włamań jest możliwa za sprawą “dziur” w oprogramowaniu takich urządzeń, jak np. drukarki czy klimatyzatory podłączone do sieci firmowej. Intruzi wiedzą, że podobne elementy infrastruktury są rzadko aktualizowane.
Nowe obowiązki i nowe kary
UE zamierza nałożyć na producentów obowiązek zapewniania poprawek bezpieczeństwa i aktualizacji przez cały czas użytkowania urządzenia lub przez 5 lat – zależnie od tego, który okres jest krótszy. W projektowanych przepisach jest też lista 38 typów sprzętu, w przypadku których wytwórca będzie musiał wystąpić o certyfikat cyberbezpieczeństwa. W tym gronie są m.in. inteligentne czujniki, mikrokontrolery i urządzenia przemysłowego internetu rzeczy. Firmy, które nie będą przestrzegały zasad, mogą zostać ukarane kwotą do 15 mln euro lub równowartością 2,5% przychodów.
Głosy za i przeciw
Sceptycznie do pomysłu odnosi się niemieckie stowarzyszenie ZVEI, skupiające firmy działające na rynku nowych technologii, elektroniki i rozwiązań cyfrowych. Zdaniem organizacji, nowe regulacje spowodują wzrost kosztów produkcji urządzeń i wydłużą czas ich powstawania. Komisarz UE ds. rynku wewnętrznego, Thierry Breton, przyznaje, że wymagania wobec dostawców będą surowe. Jednak, jak podkreśla urzędnik, z perspektywy klienta podstawową potrzebą jest to, aby produkt nie miał luk w zabezpieczeniach. Unijny pomysł nie dotyczy urządzeń medycznych oraz rynku motoryzacyjnego, ponieważ w tych dziedzinach są już osobne przepisy.