Siber Direnç Yasası (CRA) ile AB, ağdaki cihazların güvenlik seviyesini artırmak istiyor. Eylül 2022’de Komisyon, şu anda AB Parlamentosu ve Bakanlar Konseyi tarafından kabul edilmekte olan yönetmeliğin ilk taslağını sundu. Diğer şeylerin yanı sıra, üreticilerin tasarım ve üretim aşamasında hangi yükümlülüklere sahip oldukları ve cihazlar için güncellemeleri ne kadar süreyle sağlamaları gerektiği ile ilgilidir. İlk olarak, CRA, tıbbi cihazlar veya motorlu taşıtlar gibi halihazırda özel bir düzenlemesi olmayan tüm cihazları içerir.
Birden çok kategori
CRA birkaç kategori ayırır: Bilgisayar oyunları gibi daha az kritik olduğu düşünülen ürünler için üreticiler yalnızca bir uygunluk beyanı vermelidir. Bunu yaparken, ürünlerin teknik güvenlik açısından en son teknolojiye uygun olduğuna, bilinen güvenlik açıklarına sahip olmadığına ve birkaç yıl boyunca güncellemeler alacağına dair bağlayıcı bir beyan yayınlarlar. Ayrıca üreticiler, bilinen hale gelen güvenlik açıklarını kapatma konusunda kararlıdır. Bu beyan CE işaretinin bir parçasıdır. İşareti olmayan ürünlerin Avrupa’da piyasaya sürülmesine izin verilmemelidir.
Kriptografik işlemciler, sistem kontrolleri (SCADA), CNC kontrolleri, akıllı sayaçlar, robotik uygulamalar, sunucu işletim sistemleri, masaüstü bilgisayarlar ve mobil cihazlar, güvenlik duvarları ve yönlendiriciler gibi daha kritik ürünler için komisyon ayrıca üçüncü şahıslar tarafından harici testler yapılmasını önermek istiyor. Düzenlemenin arka planında, daha önce internete bağlı olmayan cihazların artan ağ oluşturması yatmaktadır. Çamaşır makineleri, akıllı saatler ve enerji depolama kontrollerindeki kötü amaçlı yazılımlar, en azından yönlendiriciler, buzdolapları, termostatlar veya bebek monitörleri gibi ağa bağlı cihazları etkileyen Mirai botnet kötü amaçlı yazılımlarının olduğu günlerden beri politikacılar için gerçek bir senaryo haline geldi.
Daha sonraki yasal süreçte, hangi ürünlerin daha sıkı test kriterlerine tabi tutulacağı ve hangileri için üreticinin uygunluk beyanının yeterli olacağı belirlenecek. Nicola Danti (Renew Europe Group), AB Parlamentosu raportörü olarak CRA ile müzakere ediyor. Paskalya’dan kısa bir süre önce, ilk değişiklik taslağını komitelere gönderdi.
BSI Başkan Yardımcısı Gerhard Schabhüser, Mart ayında 2022 Dijital Tüketiciyi Koruma Raporu’nu sunuyor.
(Resim: Wolfgang Kumm/dpa)
Diğer şeylerin yanı sıra Danti, akıllı ev cihazlarını harici bir kuruluşun uyumluluğunu doğrulaması gereken kategoriye yerleştirmek istiyor. Ayrıca uygulamayı büyük ölçüde merkezileştirmek istiyor: Avrupa ağ ve bilgi güvenliği otoritesi ENISA, kendi isteğine göre satıcılardan ve satıcılardan güvenlik raporları toplamalıdır. Komisyonun önerisi ise Üye Devlet makamlarına daha güçlü bir rol öngörüyor. Almanya’da uygulanırsa, Federal Bilgi Güvenliği Ofisi (BSI) sorumlu olacaktır.
Yetkili, halihazırda Alman BT güvenlik etiketine sahip ürünleri test etme konusunda aktiftir: Tedarikçiler, ürünlerini 2021’den beri tanımlanmış güvenlik standartlarına göre BSI tarafından sertifikalandırabilir. Ancak, 2021’den 2023 Nisan başına kadar, posta sağlayıcıları da dahil olmak üzere yalnızca 37 ürün , modemler ve yönlendiriciler bu testi tamamladı. Siber Direnç Yasası ile BSI’nın görev yelpazesi büyük ölçüde artacaktır.
BSI’nin bir denetim makamı olarak hareket etmesi muhtemeldir, ancak Teknik İzleme Dernekleri (TÜV) gibi diğer kuruluşlar asıl ürün testini gerçekleştirecektir. Mevcut BSI Başkan Yardımcısı Gerhard Schabhüser, “durumu belirsiz tüketici cihazlarının” CRA ile birlikte piyasadan silineceğini umuyor. Ancak Schabhüser, Mart ayında BSI’nin 2022 tüketiciyi koruma raporu sunulduğunda bunun gönüllü olmaktan daha fazlasını gerektirdiğini vurguladı.
BSI temel görevleri alacak
Federal hükümet, CRA konusundaki tutumunu henüz belirlemedi. ct tarafından sorgulanan Federal İçişleri Bakanlığı (BMI) sözcüsü, “CRA’dan kaynaklanan rollerin ve görevlerin dağılımına ilişkin müzakereler hala devam ediyor” dedi. “BMI açısından, BSI temel görevleri alacak.”
İkinci, ana çekişme noktası, Danti’nin başka bir önerisi: “Dijital unsurlara sahip ürünler” yeni kuralların kapsamına girdiği için geçiş sürelerini büyük ölçüde uzatmak istiyor. Avrupa Parlamentosu Sanayi Komisyonu’nda yer alan Danti, yönetmeliğin yürürlüğe girmesinden sonra en erken 2028 olan Komisyon’un önerdiği 24 ay yerine şirketlere 40 aylık bir geçiş süresi vermek istiyor. bu noktada piyasa, en azından önemli değişiklikler olana kadar korunmalıdır.
(Resim:
10/2023 değil
)
Dil modelleri sörf yapmayı öğrenir! AI arama motorları sizin için web’i araştırır ve kaynaklarınızı birbirine bağlar. c’t yedi arama hizmetini yapay zeka desteğiyle test eder ve ortaya çıkan yeni güvenlik risklerini gösterir. Windows 10 desteğinin yakında sona ermesi, çalışan bilgisayarları elektronik atık haline getirme tehdidinde bulunuyor çünkü birçok bilgisayar Windows 11 gereksinimlerini karşılamıyor. Politika ve iş dünyasının bu konuda gerçekte ne söylemesi gerektiğini soruyoruz. Mini PC’leri de test ettik, silinen dosyaların Linux altında nasıl kurtarılacağını açıkladık ve c’t “Hommingberger Gepardenforelle” kampanyasını hatırladık. Bunu ve daha fazlasını c’t 10/2023’te okuyabilirsiniz!
(kst)
Haberin Sonu
Birden çok kategori
CRA birkaç kategori ayırır: Bilgisayar oyunları gibi daha az kritik olduğu düşünülen ürünler için üreticiler yalnızca bir uygunluk beyanı vermelidir. Bunu yaparken, ürünlerin teknik güvenlik açısından en son teknolojiye uygun olduğuna, bilinen güvenlik açıklarına sahip olmadığına ve birkaç yıl boyunca güncellemeler alacağına dair bağlayıcı bir beyan yayınlarlar. Ayrıca üreticiler, bilinen hale gelen güvenlik açıklarını kapatma konusunda kararlıdır. Bu beyan CE işaretinin bir parçasıdır. İşareti olmayan ürünlerin Avrupa’da piyasaya sürülmesine izin verilmemelidir.
Kriptografik işlemciler, sistem kontrolleri (SCADA), CNC kontrolleri, akıllı sayaçlar, robotik uygulamalar, sunucu işletim sistemleri, masaüstü bilgisayarlar ve mobil cihazlar, güvenlik duvarları ve yönlendiriciler gibi daha kritik ürünler için komisyon ayrıca üçüncü şahıslar tarafından harici testler yapılmasını önermek istiyor. Düzenlemenin arka planında, daha önce internete bağlı olmayan cihazların artan ağ oluşturması yatmaktadır. Çamaşır makineleri, akıllı saatler ve enerji depolama kontrollerindeki kötü amaçlı yazılımlar, en azından yönlendiriciler, buzdolapları, termostatlar veya bebek monitörleri gibi ağa bağlı cihazları etkileyen Mirai botnet kötü amaçlı yazılımlarının olduğu günlerden beri politikacılar için gerçek bir senaryo haline geldi.
Daha sonraki yasal süreçte, hangi ürünlerin daha sıkı test kriterlerine tabi tutulacağı ve hangileri için üreticinin uygunluk beyanının yeterli olacağı belirlenecek. Nicola Danti (Renew Europe Group), AB Parlamentosu raportörü olarak CRA ile müzakere ediyor. Paskalya’dan kısa bir süre önce, ilk değişiklik taslağını komitelere gönderdi.
BSI Başkan Yardımcısı Gerhard Schabhüser, Mart ayında 2022 Dijital Tüketiciyi Koruma Raporu’nu sunuyor.
(Resim: Wolfgang Kumm/dpa)
Diğer şeylerin yanı sıra Danti, akıllı ev cihazlarını harici bir kuruluşun uyumluluğunu doğrulaması gereken kategoriye yerleştirmek istiyor. Ayrıca uygulamayı büyük ölçüde merkezileştirmek istiyor: Avrupa ağ ve bilgi güvenliği otoritesi ENISA, kendi isteğine göre satıcılardan ve satıcılardan güvenlik raporları toplamalıdır. Komisyonun önerisi ise Üye Devlet makamlarına daha güçlü bir rol öngörüyor. Almanya’da uygulanırsa, Federal Bilgi Güvenliği Ofisi (BSI) sorumlu olacaktır.
Yetkili, halihazırda Alman BT güvenlik etiketine sahip ürünleri test etme konusunda aktiftir: Tedarikçiler, ürünlerini 2021’den beri tanımlanmış güvenlik standartlarına göre BSI tarafından sertifikalandırabilir. Ancak, 2021’den 2023 Nisan başına kadar, posta sağlayıcıları da dahil olmak üzere yalnızca 37 ürün , modemler ve yönlendiriciler bu testi tamamladı. Siber Direnç Yasası ile BSI’nın görev yelpazesi büyük ölçüde artacaktır.
BSI’nin bir denetim makamı olarak hareket etmesi muhtemeldir, ancak Teknik İzleme Dernekleri (TÜV) gibi diğer kuruluşlar asıl ürün testini gerçekleştirecektir. Mevcut BSI Başkan Yardımcısı Gerhard Schabhüser, “durumu belirsiz tüketici cihazlarının” CRA ile birlikte piyasadan silineceğini umuyor. Ancak Schabhüser, Mart ayında BSI’nin 2022 tüketiciyi koruma raporu sunulduğunda bunun gönüllü olmaktan daha fazlasını gerektirdiğini vurguladı.
BSI temel görevleri alacak
Federal hükümet, CRA konusundaki tutumunu henüz belirlemedi. ct tarafından sorgulanan Federal İçişleri Bakanlığı (BMI) sözcüsü, “CRA’dan kaynaklanan rollerin ve görevlerin dağılımına ilişkin müzakereler hala devam ediyor” dedi. “BMI açısından, BSI temel görevleri alacak.”
İkinci, ana çekişme noktası, Danti’nin başka bir önerisi: “Dijital unsurlara sahip ürünler” yeni kuralların kapsamına girdiği için geçiş sürelerini büyük ölçüde uzatmak istiyor. Avrupa Parlamentosu Sanayi Komisyonu’nda yer alan Danti, yönetmeliğin yürürlüğe girmesinden sonra en erken 2028 olan Komisyon’un önerdiği 24 ay yerine şirketlere 40 aylık bir geçiş süresi vermek istiyor. bu noktada piyasa, en azından önemli değişiklikler olana kadar korunmalıdır.
(Resim:
10/2023 değil
)
Dil modelleri sörf yapmayı öğrenir! AI arama motorları sizin için web’i araştırır ve kaynaklarınızı birbirine bağlar. c’t yedi arama hizmetini yapay zeka desteğiyle test eder ve ortaya çıkan yeni güvenlik risklerini gösterir. Windows 10 desteğinin yakında sona ermesi, çalışan bilgisayarları elektronik atık haline getirme tehdidinde bulunuyor çünkü birçok bilgisayar Windows 11 gereksinimlerini karşılamıyor. Politika ve iş dünyasının bu konuda gerçekte ne söylemesi gerektiğini soruyoruz. Mini PC’leri de test ettik, silinen dosyaların Linux altında nasıl kurtarılacağını açıkladık ve c’t “Hommingberger Gepardenforelle” kampanyasını hatırladık. Bunu ve daha fazlasını c’t 10/2023’te okuyabilirsiniz!
(kst)
Haberin Sonu