–
(WO) – Ủy ban Châu Âu hoan nghênh thỏa thuận chính trị an ninh mạng đạt được vào tối thứ Năm giữa Nghị viện Châu Âu và Hội đồng về Đạo luật Phục hồi Mạng, do Ủy ban đề xuất vào tháng 9 năm 2022.
Đạo luật về khả năng phục hồi mạng là đạo luật đầu tiên thuộc loại này trên thế giới. Nó sẽ cải thiện mức độ an ninh mạng của các sản phẩm kỹ thuật số vì lợi ích của người tiêu dùng và doanh nghiệp trên toàn EU, vì nó đưa ra các yêu cầu an ninh mạng bắt buộc tương ứng cho tất cả phần cứng và phần mềm. Các sản phẩm có mức độ rủi ro khác nhau sẽ có yêu cầu bảo mật khác nhau. Dưới 10% sản phẩm sẽ phải chịu sự đánh giá của bên thứ ba.
Với quy định mới này, tất cả các sản phẩm đưa vào thị trường EU sẽ cần phải được bảo mật mạng. Đây là một bước quan trọng trong cuộc chiến chống lại mối đe dọa ngày càng tăng từ tội phạm mạng và các tác nhân độc hại khác.
Sau khi Đạo luật về khả năng phục hồi mạng được áp dụng, các nhà sản xuất phần cứng và phần mềm sẽ phải thực hiện các biện pháp an ninh mạng trong toàn bộ vòng đời của sản phẩm, từ thiết kế và phát triển cho đến sau khi sản phẩm được đưa ra thị trường. Các sản phẩm phần mềm và phần cứng sẽ mang dấu CE để cho biết rằng chúng tuân thủ các yêu cầu của Quy định và do đó có thể được bán ở EU.
Đạo luật cũng sẽ đưa ra nghĩa vụ pháp lý đối với các nhà sản xuất trong việc cung cấp cho người tiêu dùng các bản cập nhật bảo mật kịp thời trong vài năm sau khi mua hàng. Khoảng thời gian này phải phản ánh thời gian sản phẩm dự kiến sẽ được sử dụng.
–
Thông qua các biện pháp này, đạo luật mới sẽ trao quyền cho người dùng đưa ra những lựa chọn sáng suốt hơn và an toàn hơn, vì các nhà sản xuất sẽ phải trở nên minh bạch và có trách nhiệm hơn về tính bảo mật của sản phẩm của họ.
Bước tiếp theo . Thỏa thuận đạt được hiện phải được sự chấp thuận chính thức của cả Nghị viện và Hội đồng Châu Âu. Sau khi được thông qua, Đạo luật phục hồi an ninh mạng sẽ có hiệu lực vào ngày thứ 20 sau khi được công bố trên Tạp chí chính thức.
Sau khi có hiệu lực, các nhà sản xuất, nhà nhập khẩu và nhà phân phối sản phẩm phần cứng và phần mềm sẽ có 36 tháng để thích ứng với các yêu cầu mới, ngoài thời gian ân hạn 21 tháng hạn chế hơn liên quan đến nghĩa vụ báo cáo của nhà sản xuất về các sự cố và lỗ hổng bảo mật.
Lý lịch . Đạo luật Phục hồi an ninh mạng được xây dựng dựa trên Chiến lược An ninh Mạng của EU năm 2020 và Chiến lược của Liên minh An ninh EU năm 2020 và đã được công bố trong bài phát biểu tại Liên minh Châu Âu năm 2021 như một phần trong kế hoạch xây dựng một Châu Âu phù hợp với Thời đại Kỹ thuật số. Nó sẽ bổ sung cho luật pháp hiện hành, đặc biệt là Khung NIS2, được thông qua vào năm 2022.
Trong năm ngoái, số vụ tấn công chuỗi cung ứng phần mềm đã tăng gấp ba lần và mỗi ngày, các doanh nghiệp nhỏ và các tổ chức quan trọng như bệnh viện đều là mục tiêu của tội phạm mạng. Cứ sau 11 giây, một tổ chức lại bị tấn công bằng ransomware, gây thiệt hại ước tính khoảng 20 tỷ euro mỗi năm. Và chỉ riêng trong năm 2021, tội phạm mạng đã có thể hack các thiết bị và thực hiện khoảng 10 triệu cuộc tấn công từ chối dịch vụ (DDoS) phân tán trên toàn thế giới, khiến người dùng không thể truy cập các trang web và dịch vụ trực tuyến.
Bình luận của chuyên gia . George McGregor, Phó chủ tịch, Approov Mobile Security cho biết: “Mặc dù có rất nhiều phản đối, đặc biệt là về các yêu cầu báo cáo vi phạm trong 24 giờ, Đạo luật về khả năng phục hồi an ninh mạng của EU (CRA) hiện sắp có hiệu lực vào năm 2024. Các công ty sẽ có một Thời gian ân hạn 21 tháng trước khi họ phải tuân thủ nghĩa vụ báo cáo của nhà sản xuất về các sự cố và lỗ hổng.”
“Bất kỳ công ty nào hoạt động ở EU sẽ ưu tiên nghiên cứu luật này: nó cung cấp khuôn khổ an ninh mạng và các quy tắc quản lý việc lập kế hoạch, thiết kế, phát triển và bảo trì bất kỳ sản phẩm nào, với các nghĩa vụ phải được đáp ứng ở mọi giai đoạn của quá trình sản xuất. Chuỗi giá trị. Các yêu cầu báo cáo vi phạm đặc biệt khắt khe.
“Đây là một dấu hiệu khác cho thấy áp lực đang đè nặng lên tất cả các công ty và tổ chức trên toàn thế giới trong việc đầu tư vào khả năng phục hồi và phản ứng an ninh mạng của họ. SEC cũng đang tích cực đề xuất các hướng dẫn mới với quy tắc báo cáo trong 4 ngày làm việc.
“Xu hướng này sẽ tiếp tục và điều không thể tránh khỏi là tất cả các công ty sẽ phải tăng cường tập trung và đầu tư vào quản trị, bảo vệ và ứng phó an ninh mạng.
David Ratner, Giám đốc điều hành của HYAS Infosec, cho biết: “Đạo luật về khả năng phục hồi mạng là một khởi đầu tuyệt vời và chắc chắn sẽ giúp tăng cường tính minh bạch và trách nhiệm. Tuy nhiên, các tổ chức không nên để việc chứng thực và tuân thủ thúc đẩy khả năng phục hồi hoạt động tổng thể và chiến lược kinh doanh liên tục của họ. Họ vẫn vậy.” yêu cầu các giải pháp có khả năng cung cấp cho họ khả năng hiển thị và khả năng quan sát cần thiết để thúc đẩy hoạt động kinh doanh một cách tự tin trước sự tấn công liên tục của các cuộc tấn công mạng mới và sáng tạo.”
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
