Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği, Standartlar, Düzenlemeler ve Uyumluluk
Kanun, IoT Cihazları için Zorunlu Yama Uygulamayı Zorunlu Hale Getiriyor
Akşaya Asokan (asokan_akshaya) •
10 Ekim 2024
Avrupa Konseyi Perşembe günü, Avrupa Birliği’ndeki bağlı cihazlar için yama uygulamayı ve güvenlik açığı güncellemelerini zorunlu kılan tasarım gereği güvenlik düzenlemesini kabul etti.
Ayrıca bakınız: Kamu Sektöründe Bulut Korumalı Alan ile Kötü Amaçlı Yazılım Güvenliğinin Modernleştirilmesi
İlk olarak 2022 yılında Avrupa Komisyonu tarafından teklif edilen Siber Dayanıklılık Yasası, üreticilerin, ürünlerindeki siber riskleri belirlemek için bir risk değerlendirmesi yapma, varsayılan veri korumasını sağlama ve kusurlar ve hatalar hakkında düzenli olarak bilgi sağlama gibi “temel siber güvenlik gerekliliklerini” üstlenmelerini gerektiriyor. onları hızlı bir şekilde yamalıyoruz.
Avrupa Konseyi’nin tasarıyı perşembe günü resmi olarak kabul etmesiyle, teklif neredeyse resmen yasa haline geldi. Avrupa Komisyonu ve Konsey başkanları tasarıyı imzalayarak yasanın yürürlüğe girmesi için resmi olarak 36 aylık bir geri sayım başlatacak.
Konsey Perşembe günü yaptığı açıklamada, “Yeni düzenleme, dijital bileşenlere sahip ürünlerin tedarik zinciri boyunca ve yaşam döngüleri boyunca güvenli hale getirilmesini sağlayarak boşlukları doldurmayı amaçlıyor.” dedi.
Satıcıların ayrıca “aktif olarak istismar edilen herhangi bir güvenlik açığını” tespit ettikten sonraki 24 saat içinde Avrupa Birliği Siber Güvenlik Ajansı’na bildirimde bulunmaları gerekecek; bu kurum da bildirimi belirlenmiş bir ulusal bilgisayar güvenliği olay müdahale ekibine iletecek.
Mevzuat uygunluğunu karşılayan ürünlere “CE” işareti iliştirilmesi gerekecektir. Uyumsuzluk, işletmelerin 15 milyon Euro’ya kadar veya küresel cirolarının %2,5’i (hangisi daha yüksekse) ile karşı karşıya kalmasıyla sonuçlanabilir.”
Önerilen düzenleme daha önce güvenlik uzmanları ve diğer sektör paydaşları tarafından eleştirilmişti. Geçtiğimiz yıl AB İç Pazar Komiseri’ne gönderilen açık bir mektupta 56 güvenlik uzmanı, kusurların 24 saat içinde rapor edilmesi gibi hükümlerin, ülke bilgisayar korsanlarının kamuya açıklanan kusurları hedeflemesini kolaylaştıracağı yönündeki endişelerini dile getirdi (bkz: Siber Mavenler Avrupa’nın Siber Dayanıklılık Yasasını Eleştirdi).
Avrupa’nın önde gelen teknoloji şirketlerinin yöneticileri, zorunlu üçüncü taraf risk değerlendirmesi gibi hükümlerin tedarik zincirlerini bozacağını ve pazar rekabetine zarar vereceğini söyledi (bkz: Şirketler, AB Siber Dayanıklılık Yasasının Darboğazlara Neden Olduğunu Söyledi).
AB düzenleyicileri, ticaret bloğu çapındaki düzenlemelerin, şirketlerin AB içinde düzenleyici gerekliliklerin çakışmasını önlemenin yanı sıra Avrupa çapında ürün yerleştirmeyi kolaylaştıracağını savunuyor.