Kyberresilienssisäädös

Wikipediasta
Siirry navigaatioon Siirry hakuun

Kyberresilienssisäädös on Euroopan unionin asetus, joka vaatii tuotteillta ja ohjelmistoilta tiettyjen kyberturvallisuusvaatimuksien noudattamista. Asetus koskee sekä valmistajia että jälleenmyyjiä. Asetuksen tavoitteina on, että: digitaalisen komponentin sisältäviä tuotteita koskevat yhdenmukaiset säännöt; tuotteiden suunnittelussa, kehityksessä, valmistuksessa ja ylläpidossa koko ketjun kautta noudatetaan vaatimuksia; sekä tuotteiden elinkaaren ajan on tarjottava tukea.[1]

Ehdotus asetuksesta julkaistiin syyskuussa 2022.[2] Keväällä 2023 asetusta kritisoitiin sen aiheuttamista ongelmista avoimen lähdekoodin ohjelmistojen kehityksessä.[3] Eri tahot kuten Eclipse Foundation kirjoittivat yhdessä avoimeen kirjeen Euroopan komissiolle näkökohtien huomioon ottamiseksi.[4] Esimerkiksi Mozilla tuki asetuksen ajatusta, mutta halusi selvennyksiä mitä "kaupallinen aktiviteetti" tarkoittaa avoimen lähdekoodin ohjelmistoille.[5] Open Source Initiative kiinnitti huomiota "kaupallisen" epämääräiseen määrittelyyn, joka on määritelty EU:n "sinisessä oppaassa".[6][7] Kritiikin kohteena oli myös, että useilla avoimen lähdekoodin kehittäjillä ei ole liikevaihtoa eikä resursseja vaadittuun tasoon. The Registerin mukaan ohjelmistoja eivät kehitä vain yritykset, vaan yksittäisellä elintärkeän ohjelmiston kehittäjällä ei ole liikevaihtoa eikä kontrollia sen käyttäjistä.[8]

1. joulukuuta 2023 ilmoitettiin lainsäätäjien yhteisymmärryksestä.[9][10] Avoimen lähdekoodin edustajat olivat tyytyväisiä annetun palautteen huomiointiin ja muutokset otettiin hyvin vastaan. Muun muassa täsmällisempää ymmärrystä kiitettiin ja edustajan rooli säätiöiden tapauksessa huomattiin.[11][12]

Asetus julkaistiin joulukuussa 2023. Asetus on jatkoa vuoden 2020 kyberturvallisuusstrategialle.[10] Asetus tulee voimaan vuoden 2024 puolivälissä ja avoimen lähdekoodin kehitykseen tulee edustajien roolit, jotka ovat valmistajien kaltaisia rooleja.[13] Arvioiden mukaan vapaa ja avoin lähdekoodi kattaa noin 70-90 prosenttia moderneista ohjelmistoratkaisuista.[14][15]

Useimmat vaatimukset ovat yleisesti hyväksyttyjä parhaita käytäntöjä, kuten turvalliset oletusasetukset, tietoturvapäivitykset, suojaus luvattomalta pääsyltä ja julkaisut ilman tunnettuja haavoittuvuuksia. Osa vaatimuksista on vaikeammin määriteltäviä. Jokaisen tuotteen (joka tarkoittaa jokaista ohjelmiston julkaisua) on sisällytettävä arvio kyberturvallisuusriskeistä sekä julkaisuun liittyvä dokumentaatio, jossa on muun muassa ennakoidut käyttökohteet, tuen aikajakso ja tietoturvapäivityksien asennusmenetelmä. Ohjelmistot voidaan sijoittaa eri luokkiin, jossa luokan II ohjelmistojen on käytävä läpi pakollinen ulkoinen tietoturva-arviointi, ja luokan I ohjelmistojen vain tietyissä tapauksissa.[16][17]

  1. EU Cyber Resilience Act digital-strategy.ec.europa.eu. Viitattu 26.4.2024. (englanniksi)
  2. State of the Union: New EU cybersecurity rules ensure more secure hardware and software products ec.europa.eu. 15.9.2022. Viitattu 26.4.2024. (englanniksi)
  3. Paul Sawers: In letter to EU, open source bodies say Cyber Resilience Act could have ‘chilling effect’ on software development techcrunch.com. 18.4.2023. Viitattu 26.4.2024. (englanniksi)
  4. Jacob Harris: Open Letter to the European Commission on the Cyber Resilience Act newsroom.eclipse.org. 17.4.2023. Viitattu 26.4.2024. (englanniksi)
  5. Tasos Stampelos: Mozilla weighs in on the EU Cyber Resilience Act blog.mozilla.org. 15.5.2023. Viitattu 26.4.2024. (englanniksi)
  6. What is the Cyber Resilience Act and why it’s dangerous for Open Source opensource.org. 24.1.2023. Viitattu 26.4.2024. (englanniksi)
  7. The ‘Blue Guide’ on the implementation of EU product rules 2022 (PDF) eur-lex.europa.eu. Viitattu 26.4.2024. (englanniksi)
  8. Steven J. Vaughan-Nichols: EU's Cyber Resilience Act contains a poison pill for open source developers theregister.com. 12.5.2023. Viitattu 26.4.2024. (englanniksi)
  9. Good News on the Cyber Resilience Act eclipse-foundation.blog. Viitattu 26.4.2024. (englanniksi)
  10. a b Commission welcomes political agreement on Cyber Resilience Act ec.europa.eu. 1.12.2023. Viitattu 26.4.2024. (englanniksi)
  11. The European regulators listened to the Open Source communities! opensource.org. 2.2.2024. Viitattu 26.4.2024. (englanniksi)
  12. Astor Nummelin Carlberg: EU Cyber Resilience Act Takes a Leap Forward openforumeurope.org. 4.12.2023. Viitattu 26.4.2024. (englanniksi)
  13. EU Cyber Resilience Act: The Linux Foundation Enables Open Source Software Stewardship for the CRA linuxfoundation.eu. Viitattu 26.4.2024. (englanniksi)
  14. Jason Perlow: A Summary of Census II: Open Source Software Application Libraries the World Depends On linuxfoundation.org. 7.3.2022. Viitattu 26.4.2024. (englanniksi)
  15. Fred Bals: 2024 Open Source Security and Risk Analysis Report synopsys.com. 27.2.2024. Viitattu 14.4.2024. (englanniksi)
  16. Marta Rybczyńska: The European Cyber Resilience Act lwn.net. 19.9.2023. Viitattu 26.4.2024. (englanniksi)
  17. Ashwin Ramaswami & Mirko Boehm: Understanding the Cyber Resilience Act: What Everyone involved in Open Source Development Should Know linuxfoundation.org. 8.9.2023. Viitattu 26.4.2024. (englanniksi)