AB Komisyonu’nun Siber Dayanıklılık Yasası (CRA), yazıcılar ve yönlendiricilerden akıllı ev aletlerine ve endüstriyel kontrol sistemlerine kadar ağ bağlantılı cihaz ve sistemleri çevreleyen dijital parçalanma sorununu kapatmayı amaçlamaktadır. Endüstriyel ağlar ve kritik altyapılar özel koruma gerektirir.
Avrupa Birliği’ne göre, şu anda her on bir saniyede bir fidye yazılımı saldırısı yaşanıyor. Yalnızca son birkaç hafta içinde, diğerlerinin yanı sıra, önde gelen bir Alman çocuk maması üreticisi ve merkezi Almanya’da bulunan küresel bir Tier1 otomotiv tedarikçisi saldırıya uğradı ve ikincisi büyük bir fidye yazılımı saldırısının kurbanı oldu. Böyle bir saldırı, Ocak 2023’te Alman üretici Prophete’de iflasa bile yol açtı. Üreticileri, distribütörleri ve ithalatçıları harekete geçirmek için, cihazlardaki güvenlik açıklarının keşfedilmesi ve uygun şekilde bildirilip kapatılmaması durumunda önemli cezalarla karşılaşıyorlar.
“Endüstri üzerindeki baskı – üreticiler, distribütörler ve ithalatçılar – muazzam bir şekilde artıyor. ONEKEY CEO’su Jan Wendenburg, “Örneğin, yerel ülke yetkilileriyle ilgili olarak yapılması gereken bazı iş paketleri olsa da AB, bu düzenlemeyi taviz vermeden uygulayacaktır” dedi.
15 milyon Euro para cezası – veya yıllık gelirin yüzde 2,5’i
Bu nedenle, etkilenen imalatçılara ve distribütörlere yönelik mali cezalar ağırdır: 15 milyon avroya veya geçen mali yıldaki küresel yıllık gelirlerin yüzde 2,5’ine kadar – daha büyük sayı önemlidir. Wendenburg, “Bu kesinlikle şunu gösteriyor: Gereksinimler yerine getirilmezse üreticilere önemli cezalar verilecek” diye devam ediyor.
Üreticilerin, distribütörlerin ve ithalatçıların, ürünlerinden birindeki bir güvenlik açığından yararlanılması durumunda Avrupa Birliği’nin siber güvenlik ajansı ENISA’ya 24 saat içinde bildirimde bulunmaları gerekmektedir. Bildirim sürelerini aşmak zaten yaptırımlara tabidir.
Üreticilerin siber esnekliğe hazır olma konusunda şimdi harekete geçmeleri gerekiyor
Komisyonun önerisi, yeni gerekliliklerin düzenlemenin yürürlüğe girmesinden 24 ay sonra yürürlüğe girmesine izin veriyor. Güvenlik olaylarını bildirme zorunluluğu gibi münferit unsurlar, 12 ay sonra zaten geçerli olmalıdır.
“BT ürünleri siparişlerinin bu yıl OEM üreticilerine önümüzdeki 12-18 ay için verildiği düşünülürse, zaman ufku dar. Bu nedenle, bir ürün kusurlar nedeniyle piyasaya sürülmeden veya ertelenmeden önce, zamanlama durumunun hemen değerlendirilmesi ve çözülmesi gerekiyor,” diye açıklıyor Wendenburg.