Unia Europejska wprowadza nowe zasady. Ureguluje Internet of Things

Partnerem publikacji jest organizator CYBERSEC, wydarzenia poświęconego współczesnym zagrożeniom w cyberprzestrzeni oraz wyzwaniom związanym z cyberbezpieczeństwem. Tegoroczna edycja CYBERSEC FORUM/EXPO odbyła się 21-22 czerwca w Katowicach.

Pojęcie, z którym coraz łatwiej spotkać się w życiu codziennym oznacza w wolnym tłumaczeniu Internet Rzeczy, czyli nowoczesny system przetwarzania i przesyłania informacji pomiędzy urządzeniami. W dużym skrócie można go określić jako zdolność urządzeń elektronicznych do wzajemnej komunikacji - bez konieczności ingerencji człowieka. Zanim skojarzymy to z filmami sci-fi, warto przybliżyć przykłady IoT z życia codziennego.

Najbliższym wielu z nas przykładem działania koncepcji Internet of Things jest Smart Home, gdzie przy pomocy aplikacji zrzeszamy wiele elektronicznych urządzeń zamontowanych w naszym domu. Wspólnym mianownikiem wszystkich z nich jest podłączenie do sieci internetowej przez Wi-Fi. Internet jest w tym wypadku kluczowym elementem. Za jego pomocą dochodzi do komunikacji, czyli przesyłu informacji pomiędzy urządzeniami i bazami danych. Dom to oczywiście jeden z wielu przykładów. IoT może być bowiem równie dobrze wykorzystywany w branżach przemysłowych, podczas produkcji żywności, leków, samochodów czy zadań logistycznych. W przyszłości czekają nas również inteligentne miasta.

Szybki rozwój koncepcji internetu łączącego usługi, działanie urządzeń i zarządzanie procesami na masową skalę to nie jedyny element nowości w życiu codziennym, które mogą wpłynąć na nasze funkcjonowanie. W tym miejscu należy wymienić sztuczną inteligencję. Narzędzia z tej dziedziny idealnie wpasowują się w pojęcie Internet of Things, mogąc dostarczyć nieocenione wsparcie. Pojawia się jednak pewien problem - nic z tym rzeczy nie podlegało do tej pory właściwym regulacjom prawnym.

Nie trzeba dogłębnie analizować sytuacji, aby dostrzec potrzebę aktów prawnych, które nakładałyby na rozwój rzeczonych technologii pewne ramy. Głównie po to, aby te nie wymknęły się spod kontroli i zamiast służyć, ograniczały czy utrudniały społeczeństwom funkcjonowanie. Poza tym, w tym wypadku ewentualne działania Unii Europejskiej tu i teraz nosiłyby znamiona prewencji - nie zaś reagowania po fakcie. Co uważają na ten temat eksperci?

- To ważny akt regulujący kwestie cyberbezpieczeństwa, a w szczególności bezpieczeństwa tzw. oprogramowania niewbudowanego, czyli mówiąc prościej urządzeń łączących się z Internetem. Biorąc pod uwagę już utworzone w tym zakresie cyber security instytucje i obowiązujące regulacje, począwszy od utworzenia w 2004 r. ENISA (European Union Agency for Cybersecurity), poprzez dyrektywy NIS i NIS2 - dyskutowany Cyber Resilience Act będzie rozporządzeniem komplementarnym w stosunku do poprzednich. Poza wszelkimi wątpliwościami, obowiązkowe wymogi cyberbezpiecześtwa dla dóbr z elementami cyfrowymi w całym cyklu życia produktu umożliwią zwiększenie skuteczności ochrony zarówno przedsiębiorców, jak i konsumentów. Będzie to możliwe dzięki zdefiniowanym wymogom dotyczącym cech produktów z elementami cyfrowymi oraz postępowania w przypadku wykrycia ich podatności na cyfrowe niebezpieczeństwa. Z punktu widzenia inwestorów, pracowników oraz konsumentów, którzy coraz chętniej korzystają z rozwiązań IoT, AI, ML zarówno po stronie podażowej, jak i popytowej - projektowane przepisy należy całościowo ocenić pozytywnie. Oczywiście, jak zawsze w przypadku nowych przepisów przysłowiowy diabeł tkwi w szczegółach (np. dotyczących nowych obowiązków związanych z raportowaniem podatności i incydentów). Po przyjęciu rozporządzenia państwa członkowskie będą miały dwa lata na dostosowanie się do nowych wymogów. Obowiązek zgłaszania podatności i incydentów będzie obowiązywał już po 12 miesiącach od wejścia w życie - dodaje dr hab. Rafał Żelazny.

Jednym z ważniejszych produktów prawnych Unii w zakresie IoT jest zdecydowanie Cyber Resilience Act. Mowa o szeroko rozumianym pakiecie przepisów, które jasno wyznaczają zasady gry na polu Internetu rzeczy. Dotyczą one nie tylko praw, ale i obowiązków - na przykład nakładanych na producentów sprzętu i oprogramowania. Zgodnie z unijnymi rozporządzeniami, wszystko, co ma dostęp do danych, musi zawierać odpowiednie szyfrowanie. Żaden program czy technologia nie mogą być wykorzystywane do poddawaniu obywateli ocenom (jak Social Credit System w Chinach), a całość świata cyfrowego w Europie ma podlegać jednolitym przepisom.

Unijne regulacje świata cyfrowego:

• stworzenie warunków do bezpiecznego rozwoju produktów
• wymaganie, aby producenci dbali o bezpieczeństwo produktu przez cały cykl jego życia
• bezpieczeństwo produktu już od fazy projektowej, aż po kres jego obsługi na rynku
• spójne ramy cyberbezpieczeństwa
• ochrona danych osobowych obywateli

Można uznać, że wspólnym mianownikiem walki o regulowanie prawne IoT jest cyberbezpieczeństwo. To duży problem nie tylko z perspektywy jednostki, ale i całej wspólnoty. Zgodnie z danymi z 2021 roku, globalny koszt cyberprzestępczości wyniósł wówczas 5,5 biliona euro. Bezpieczeństwo się zatem opłaca, a jego brak jest kosztownym przedsięwzięciem.

Chociaż wspólne porozumienie się wielu państw członkowskich Unii nie jest zadaniem prostym, to wypracowanie konsensusu na tak dużym rynku jest kluczowe do zapewnienia cyberbezpieczeństwa i odpowiedniego rozwoju nowych technologii. Nie bez powodu nad podobnymi regulacjami pracują Chiny czy Stany Zjednoczone - prawne ramy są kluczowe, aby nic nie wymknęło nam się z rąk.

Siłą Unii Europejskiej, a więc i państw członkowskich jest duża wspólnota, która własnymi siłami jest zdolna do kreowania dużych ustaw i aktów. Są one tym istotniejsze, im większej wagi problem jawi się na horyzoncie. Internet of Things i sztuczna inteligencja to przyszłość nas wszystkich - tym bardziej konieczne są prawa i kontrola.

Partnerem publikacji jest organizator CYBERSEC, wydarzenia poświęconego współczesnym zagrożeniom w cyberprzestrzeni oraz wyzwaniom związanym z cyberbezpieczeństwem. Tegoroczna edycja CYBERSEC FORUM/EXPO odbyła się 21-22 czerwca w Katowicach.