Технологии

Он внесет изменения, которые должны быть гармонизированы с CRA. Учитыл ли Польский законодатель согласованность как юридических актов, риска чрезмерной регуляции и вопроса первенства законодательства ЕС против национального права?

Предприятия, работающие в ЕС, уже должны подготовиться к значительным изменениям в области управления Безопасность продукта с цифровыми элементами и учитывайте кибербезопасность в производственном цикле.

Регламент 2024/2489 (CRA) налагает на производителей (а также импортеры и дистрибьюторы) многие обязательства, направленные на обеспечение соответствия продукции с требованиями Кибербезопасность: Оценка риска, подготовка технической документации, восприимчивость и инциденты отчетности, используя декларации соответствия (CE).

Неспособность соблюдать требования регулирования связана с высокими административными штрафами. Штраф в размере до 15 миллионов или 2,5 процента угрожает не соответствию основным требованиям в области кибербезопасности. Годовая глобальная торговля предприятием, в зависимости от того, какая из этих сумм выше. Дополнительные нарушения могут привести к штрафам до 10 миллионов евро или 2 процента. Годовой оборот, который направлен на то, чтобы эффективно отговорить компании игнорировать новые стандарты.

Продукт подход к кибер -сопротивлению

Новое регулирование вводит специальные требования для конкретных категорий продуктов, таких как: микропроцессоры и микроконтроллеры (в основном производится в Соединенных Штатах, Южной Корее, Японии, Тайване и Китае), но также и игрушки, подключенные к Интернету, носимым и маршрутизаторам. При внедрении продукта с цифровыми элементами на рынке следует гарантировать, что он разработан, разработан и изготовлен в соответствии с основными требованиями в области кибербезопасности, предусмотренных в CRA.

Ключевым аспектом нового регулирования является принятие продукта, который сосредоточен непосредственно на самих продуктах с цифровыми элементами, а не на поставщиках этих продуктов. Это означает, что каждый продукт, введенный на рынок ЕС, должен будет соответствовать определенным стандартам кибербезопасности, независимо от того, кто является его производителем. Этот подход направлен на стандартизацию требований безопасности на уровне всего рынка ЕС, исключая различия в стандартах между отдельными государствами -членами. Это совершенно другой подход, чем решения, предложенные в поправке к Закону о национальной системе кибербезопасности, где предлагается субъективный подход.

Закон о юридическом Законе ЕС имеет приоритет

Внедрение процедуры соответствия для продуктов с цифровыми элементами, о которых идет речь В искусстве 32 акта кибер -сопротивления, Поднимает сомнения относительно подтверждения соответствия требованиям в случае применения процедуры для поставщиков высокого риска или команд безопасности. Возникает вопрос о том, может ли продукт, например, маршрутизатор, который считается совместимым в соответствии с регулированием, подвергается сомнению как противоречивые в соответствии с механизмами, предложенными в поправке к положениям Закона о национальной системе кибербезопасности. Эта проблема требует, чтобы Польский законодатель был решен, особенно в контексте единого цифрового рынка.

Тем не менее, правила ЕС указывают на исключения из совместной оценки риска для критических цепочек поставок (статья 22 ЕС (ЕС) 2022/2555) и дополнительных требований, принимающих во внимание некваренные факторы, как указано в Комиссии (ЕС) 2019/534, оценка риска ЕС 5G инструментов кибербезопасности кибербезопасности 5G (мотивы. 52). Они учитывают как технические, так и нетехнические факторы риска, включая чрезмерное влияние третьих стран на поставщиков. Это означает, что вы должны основываться на общих механизмах исключения поставщиков, когда они должны включать широкий спектр регулирования или покрывать сети 5G. Следовательно, кажется, что в той степени, в которой продукты перекрываются, но акт кибер -сопротивления будет иметь приоритет.

Будет ли поправка к KSC соответствовать CRA

Акт кибер -сопротивления Он гармонизирует с директивой NIS2, которая уже регулировала аспекты кибербезопасности. Новое регулирование распространяет эти правила на продукты, содержащие цифровые элементы. Тем не менее, внедрение Регламента 2024/2489 возникает проблемы, связанные с его гармонизацией с национальными правовыми системами. В Польше действует закон о национальной системе кибербезопасности, который еще не реализует директиву NIS2. С 2020 года началась работа над последующими версиями поправки к настоящему Закону на уровне комитетов Совета министров.

Анализ содержания поправки к Закону о национальной системе кибербезопасности поднимает вопросы об их взаимной последовательности. Это особенно относится к механизмам командования безопасности (статья 67G (8) (6)) и процедуры для поставщиков высокого риска (статья 67B и последующие). Эти механизмы включают ключевые и важные сущности, которые поднимают сомнения, потребует ли их использование адаптация к надзорным механизмам, указанным в искусстве. 54 Закона о кибер -сопротивлении. Другими словами, возникает вопрос, являются ли в настоящее время эти два механизма, включая все важные и ключевые сущности, на самом деле не являются чрезмерной регуляцией в отношении акта в отношении кибер -сопротивления. Это связано с тем, что поправка приняла широкий подход к регулированию, выходя за рамки телекоммуникационного сектора и, в частности, за пределами сети 5G. Это может не только вызвать трудности при определении того, какие положения должны применяться в конкретных ситуациях, но и сомнения в характере приоритета применения закона.

Важная дилемма

Подводя итог: поправка к Закону о национальной системе кибербезопасности в Польше вносит изменения, которые должны быть согласованы с Законом о кибер -устойчивости ЕС (Регламент 2024/2489). Акт кибер -сопротивления Принимает продукт подхода к правилам цифровой безопасности, применяя строгие стандарты для продуктов, содержащих цифровые элементы независимо от их производителей. В свою очередь, поправка к национальному закону фокусируется на субъективном подходе, включая ключевые и важные объекты, и вводит процедуры для поставщиков высокого риска и инструкции по безопасности.

Такой двойной подход может привести к регулированию и трудностям при определении того, какие положения приоритет в конкретных ситуациях, особенно за пределами сектора телекоммуникаций и сетей 5G. Закон о кибер -сопротивлении допускает возможность применения субъективного подхода, но только в двух ситуациях: когда он является результатом скоординированной оценки на основе Директива NR2 или применимо к 5GПолем Анализ содержания положений о поправках показывает, что предлагаемые механизмы исключения выходят за рамки этой области, что может потребовать дополнительного анализа с точки зрения согласованности обоих правил.

В крайнем случае может возникнуть ситуация, в которой продукт функционирует и одобрен для рынка в одном государстве -члене (например, в Германии), будет запрещена в Польше. Такой сценарий подорвал бы фактическую гармонизацию правил на уровне ЕС, и де -факто отрицает свои цели. Анализ содержания положений о поправках показывает, что предлагаемые механизмы исключения выходят за рамки этой области, что может потребовать дополнительного анализа с точки зрения согласованности обоих правил.

Опасные предметы в конфетах

Как сообщила Кинге Шостко из Фонда Safe Child в звучании «Мистер Краб, у меня есть идея», которая поступает из популярного мультфильма Sponge Bob, там 3579 постов (125 000 звуковых взглядов), в которых дети могут похвастаться другими детьми, которые они поместят в свои сладости.

Самые молодые пользователи Tiktok намеревались положить камни, рыболовные крючки, трубы, крысы, камины, капсулы для посудомоечной машины, капсулы для посудомоечной машины и даже фентанил в сладостях.

Как пишет Шостко, первые посты приходят с сентября 2024 года, за которой следует волна постов «Я не собираю сладости на Хэллоуин, потому что я боюсь того, что найду в них».

RPD -реакция

Пресс -секретарь по правам ребенка уведомила Национальную прокуратуру, центральное управление киберпреступности, dykurnet.pl и tiktok.

Пресс -секретарь по правам ребенка отправила уведомление в Национальную прокуратуру о подозрении в совершении преступлений, связанных с воздействием непосредственной опасности потери своей жизни или здоровья, как сообщает искусство. 160 § 1 Уголовного кодекса.

Пресс -секретарь по правам детей также попросила Центральный офис за киберпреступность.

В этом вопросе RPD также находится в контакте с Duty.pl. и затяжка. Она спросила о предоставлении информации, которую эти учреждения имеют по этому вопросу, и о том, какие действия были предприняты по делу. Пресс -секретарь также призвал принять меры по удалению этих опасных и незаконных материалов из виртуального пространства.

Dykurnet.pl — это команда научных экспертов и академической компьютерной сети, выступая в качестве контактной точки для сообщения о незаконном контенте в Интернете, особенно связанных с сексуальным насилием над детьми.
В соответствии с Законом о национальной системе кибербезопасности, Наск-Пиб был указан как одна из команд реагирования на компьютерные инциденты, так называемые CSIRT.

Наск не знал об угрозе

Мы спросили Наска о том, когда дежурные эксперты .pl узнал об угрозеПолем — К 05.11.2024, для этих материалов не было никакого приложения для этих материалов по всем каналам, обслуживающим приложения, — говорит д -р Krzysztof Hanusz, аналитик по исследованиям, разработке и инновациям.

— Это явление было известно нам, прежде чем получить вопросы от государства. Мы отслеживаем и анализируем эту ситуацию, чтобы защитить здоровье, безопасность и здоровье детей и подростков, то есть самые молодые пользователи Интернета — добавляет Хануш

Наск 4 ноября сообщил об этих материалах на платформе Tiktok с просьбой проанализировать их и предоставить подробную информацию об их внешнем виде и распространении.

— На этом этапе мы не можем определить, нарушают ли указанные материалы закон, в то же время они, безусловно, могут быть потенциально вредными и опасными, — добавляет Хануш.

— Мы также хотели бы обратиться ко всем пользователям интернета через вас, чтобы использовать его ответственно и сознательно, имея в виду, что контент, опубликованный в Интернете

Европейские ограничения и сомнения

Предложение о поправке к Закону о национальной системе кибербезопасности, представленной Министерством оцифровки, направлено на реализацию директивы NIS2. Это юридический закон ЕС, который вводит единую рамку безопасности в киберпространстве Секторы важны и ключ к обеспечению непрерывности функционирования польской и европейской экономики. Наиболее противоречивым элементом предлагаемого изменения является институт поставщиков с высоким уровнем риска — согласно проекту, важные и ключевые организации должны будут избавиться от всех компонентов ИКТ, которые поступают от организации, признанного таким поставщиком. Важно отметить, что министр оцифровки, который может выносить этот тип решения, должен руководствоваться не только техническими параметрами, которые связаны с безопасностью, но и нетехническими критериями, такими как состояние происхождения поставщика. Это кажется интуитивно понятным для нас — в конце концов, с нашей точки зрения государства, естественно, «рискованно», что может повлиять на нашу (кибер) безопасность.

Однако, что важно с точки зрения законодательного процесса, хотя эта процедура была включена в нашу местную реализацию директивы NIS2, она никоим образом не показывает. Размещать его в польском акте так называют Goldplicing (позолота), которое включает в себя «добавление» дополнительных обязательств в законах, перенесших в Европейские правила польского правопорядка. Стоит отметить, что, хотя это нежелательное явление — как создание экономической «Европы многих скоростей», где единый европейский рынок соответствует внутренним нормативным барьерам — это не запрещено. В частности, сама директива NIS2 указывает на то, что государства -члены могут предоставить дополнительные, дальнейшие, дальнейшие правила кибербезопасности.

Однако, хотя внедрение дополнительных правил по сравнению с европейскими правилами не запрещено, следует отметить, что существуют значительные ограничения в том, как государство -член ЕС может ввести барьеры на рынке Европейского союза. Прежде всего, следует подчеркнуть, что внутренние ограничения на запуск продуктов на европейский рынок или SO Службы информационного общества (и, таким образом, в разговорной речи, услуги, предоставляемые в Интернете), должны быть уведомлены в Европейской комиссии на этапе проекта (до того, как парламент примет их), и после того, как уведомление по уведомлению должно быть приостановлено не менее трех месяцев, чтобы дать комитетам и другим странам время прочитать их и представить какие -либо комментарии. В этом случае важно, чтобы последствия отсутствия уведомлений и нарушения трехмесячного периода, называемого «стойким», — непредвзятые положения, которые должны быть уведомлены, не могут применяться к предпринимателям каким -либо образом. Такие неизвестные положения также могут быть источником затрат на казначейство, поскольку природные и юридические лица, которые понесли расходы в связи с введением национальных положений, могут применяться к компенсации для SO Законодательный беззаконность.

В настоящее время Министерство оцифровки не предоставляет уведомление в сфере запланированной поправки к Закону KSC, хотя нет никаких сомнений в том, что положения, касающиеся поставщиков высокого риска, соответствуют определению технических положений, которые должны быть уведомлены. Эффекты такого решения могут быть чрезвычайно важными — мы помним всю историю отсутствия уведомления Закона об азартных играх относительно одноразовых бандитов и абсолютного юридического хаоса в этом отношении, который мы чувствуем по сей день.

Набор инструментов как инжирный лист

Тем не менее, следует отметить, что он защищает министерство оцифровки, что институт поставщиков с высоким уровнем риска, хотя и отсутствует в каком -либо нормативном акте, который в настоящее время применяется в Европейском союзе, в документах ЕС. Это о так называемом Toolbox 5G, то есть руководящие принципы, выпущенные Агентством Европейского Союза по кибербезопасности (ENISA), которые содержат советы и передовые практики для обеспечения критической безопасности, наиболее важные функции, связанные с работой сети 5G. Они не являются юридическим актом, поэтому у них нет обязательной силы, но они являются важным намеком при создании национальных кадров кибербезопасности.

Но в чем разница между процедурой поставщиков высокого риска и предложениями, содержащимися в наборе инструментов 5G? Во -первых, по его масштабу. Панель инструментов 5G приказывает учитывать при оценке риска нетехнических факторов только для некоторых элементов инфраструктуры, обеспечивающих функционирование сети 5G, то есть критические элементы. В случае положений, предложенных Министерством оцифровки, нет такого ограничения — каждый поставщик, независимо от того, какие продукты он предлагает, его можно считать поставщиком высокого риска, независимо от того, продает ли она электронную няню или часть системы 5G.

Предложение Министерства оцифровки выходит далеко за рамки этого европейского фигового листа, который является набором инструментов 5G. Тем не менее, это не все — в результате с учетом комментариев некоторых сред, подход, вызванный проектом польских правил, должен быть естественным образом расширен в старой сети. Это связано с тем, что, хотя правила никоим образом не ограничивают возможность распознавания организации как поставщика высокого риска, проектор решил указать в приложении к проекту ключевых услуг, который, естественно, будет предметом наблюдения Министерства оцифровки. В ходе работы над проектом этого вложения было указано, что такая услуга представляет собой не только «базовая полоса базовая полоса 5G и другие функции», но и антенны базовых станций, что также означает использование их в сети старшего поколения. Таким образом, ясно, что фиговый лист, который является источником этих правил, слишком мал, чтобы покрыть дальние планы министерства.

Действовать вопреки регулированию ЕС

Также не следует забывать, что правовая система — это просто система, она состоит из многих элементов, которые должны гармонизировать друг с другом. В этом контексте стоит отметить, что само оцифровываемого Министерства оцифровки переходит в параллельные два закона — поправку к Закону KSC, а также Закон о сестринском акте о сертификации кибербезопасности. Сертификация кибербезопасности состоит в проверке данного продукта с точки зрения его «стеснения» или не допускает утечки данных, независимо от того, правильно ли он защищен от внешних помех или может манипулировать. Это Nomen Omen, «Сертификат качества», который показывает, что дизайн и принципы функционирования заданного компонента ИКТ гарантируют, что он не генерирует риск по плохому дизайну.

Подход, основанный на сертификации, является очевидной тенденцией, которая имеет свои источники как в экономических реалиях, так и в юридических правилах ЕС. Компоненты ИКТ играют все более важную роль в нашей жизни, используя в новых областях. Подход, основанный на сертификации, отвечает на эту высоту, предоставляя безопасную ориентир для пользователей продукта. Это явление также имеет свое отражение в законе. Закон ЕС уже предусматривает сертификацию кибербезопасности, и этот подход разрабатывается в одном из ключевых новых актов ЕС — Закона о кибер -устойчивости (CRA). Регламент находится на последнем этапе законодательной работы (возможно, оно будет завершено во время президентства польского президентства в Совете ЕС) и устанавливает основные рамки того, как продукты ИКТ должны получить сертификат безопасности.

Процедура распознавания в качестве поставщика высокого риска, предложенная Министерством оцифровки, просто противоречит запланированной регуляции CRA. Это связано с тем, что CRA четко указывает на то, что государства -члены не могут препятствовать разделению продуктов на рынке с цифровыми элементами в соответствии с CRA (статья 4), а также представляет предположение, что продукт безопасен, при условии, что производитель использует процедуры и нормы, указанные в регулировании (статья 18). Более того, CRA предсказывает, что если существует риск кибер потока, генерируемой сертифицированным продуктом, необходимо использовать специальную процедуру для заказа производителя для ремонта, и только после их неэффективности можно исключить продукты с рынка (статья 46). Тем не менее, правительство, кажется, притворяется, что оно не видит этих решений.

Не вылейте ребенка в ванну

Нет сомнений в том, что в нынешней геополитической ситуации кибербезопасность должна быть приоритетом Польши. Однако стоит подчеркнуть, что мы не одинокий остров, и общее пространство для кибербезопасности должно быть построено рядом с европейскими партнерами. Поэтому мы должны считать вместе, что польский законодатель, осведомленное о проблемах кибербезопасности, не будет изливать ребенка ванной, пересекая общий европейский подход, основанный на сертификации и трудных технических доказательствах. Игра против европейской команды может стоить нам — буквально и портативно — много.

В понедельник министерство должно перенести стратегию польской оцифровки для проконсультирования, которая заключается в том, чтобы установить направления развития в течение следующих десяти лет. «Это первая, целостная, перекрестная стратегия оцифровки, показывающая, как под воздействием технологического развития все сферы жизни, такие как здравоохранение, администрация, образование, наука, бизнес, сельское хозяйство», -говорится на польском радио Gawkowski.

Он добавил, что до 2035 года все услуги в администрации, предлагаемая вами, будут в Интернете. «Мы оставляем бумагу» — подчеркнул он.

Не будет закрытия офисов

Однако глава Департамента оцифровки отметил, что передача административных услуг в Интернет не означает закрытия офисов. «Каждый гражданин сможет прийти и уладить свое дело лично», — заверил он. Он объявил, что новые услуги появятся в ближайшее время.

Gawkowski добавил, что благодаря искусственному интеллекту можно быстрее диагностировать болезни. ИИ также будет использоваться, например, «проверять систему законодательства с точки зрения противоречий», так что, как он объяснял, «не для создания закона, который был бы взаимоисключающим».

Во время разговора Гавковский подчеркнул, насколько важна кибербезопасность для правильного функционирования государства. Он отметил, что в настоящее время Польша является самым атакованным государством в Европейском союзе. Он напомнил, что, например, во время наводнения на 300 процентов Количество фальшивых новостей увеличилось. «Было много ложной информации, которая направлена ​​на то, чтобы вызвать эмоции, панику, хаос», — сказал он. Он напомнил, что люди были расположены и задержаны, которые обслуживали несколько десятков компьютеров, SIM -карт, банковских счетов для ложных сборщиков средств. (PAP)