Najlepša hvala za besedo.
Spoštovane poslanke, spoštovani poslanci!
Dovolite mi, da v nekaj minutah predstavim akt z delovnim naslovom »Cyber Residing Sect« oziroma Uredbo o kibernetski odpornosti.
Evropska unija vsaj že zadnjih 6 let zelo konkretno naslavlja oziroma ureja področje kibernetske varnosti, tako s pravnega, kot tudi z vidika operativnega izvajanja ukrepov. Zavedati se moramo, da je število kibernetskih incidentov v naraščanju, škoda, ki pa je povzročena, gre že v milijarde evrov. Upoštevati moramo, da ne gre samo za vpliv na podjetja, kritično infrastrukturo ali državno upravo, ampak tudi za neposreden vpliv na državljane. Lahko rečemo, da Uredba o kibernetski odpornosti zelo pomembno dopolnjuje že do sedaj sprejet pravni okvir na področju kibernetske varnosti, tukaj imamo v mislih predvsem direktivo NIZ 1 oziroma NIZ 2, ki je tako rekoč že sprejeta, ki naslavljata na varnost kritičnih storitev, Akt o kibernetski varnosti, ki ureja certificiranje informacijsko komunikacijske tehnologije ter Direktivo o odpornosti kritičnih subjektov.
Pri Uredbi o kibernetski varnosti gre za to, da predlog določa zahteve, ki se bodo uporabljale za proizvajalce programske in strojne opreme in bo spodbujalo zaupanje uporabnikov, torej nas vseh, v izdelke z digitalnimi elementi, kar je ključno za nadaljnji razvoj.
Uredba o kibernetski odpornosti določa bistvene minimalne varnostne zahteve, ki jih bodo morali izpolnjevati izdelki z digitalnimi elementi. Pri njih gre za strojno in programsko opremo, ki se umešča na evropski trg, kot tudi za pripadajoče rešitve oddaljene obdelave podatkov za namene delovanja teh izdelkov. Te obveznosti naslavljajo tudi tako proizvajalci, distributerje in uvozniki omenjenih izdelkov.
Uredba opredeljuje postopke preverjanja skladnosti z varnostnimi zahtevami, opredeljuje zahteve glede obravnavanja ranljivosti ter zahteve glede uporabniške in tehnične dokumentacije.
Če pogledamo katera dva glavna cilja ta uredba zasleduje, je, da se ustvarijo pogoji za razvoj varnih izdelkov, z digitalnimi elementi, zagotavljam, da se na trg dajo izdelki strojne in programske opreme z manj ranljivostmi, in da proizvajalci v celotnem življenjskem ciklu izdelka resno obravnavane obravnavajo vprašanje varnosti. Druga zelo pomembna zadeva pa je, da se ustvari pogoje, ki bodo uporabnikom omogočali upoštevanje kibernetske varnosti pri izbiri in uporabi izdelkov digitalnih elementov.
Kakšna je situacija danes? Danes imamo na trgu ogromno naprav, povezanih v medmrežje, ki so tako rekoč brez standardizacijskih oziroma certifikacijskih shem in mehanizmov. S tem v tem trenutku vso varnostno tveganje prelagamo na uporabnike. Evropska unija želi s to uredbo določiti enake pristojnosti oziroma doseči, da proizvajalci ne prelagajo svoje odgovornosti na uporabnike. V tem smislu Republika Slovenija pozdravlja tovrsten pristop in sprejem uredbe.
Naj pa povem, da je rok za sprejem akta leto 2024. Uredba začne veljati 24 mesecev po njenem sprejemu. Izjema pa je obveznost poročanja v zvezi z aktivnim izkoriščanjem ranljivostmi, kjer je rok 12 mesecev.
Še za zaključek, pa smo vas dolžni seznaniti z dejstvom, da uredba določa tudi nadzor pri izvajanju. Ker govorimo o velikem številu proizvodov, smo to tudi v stališču, ki smo ga izoblikovali, opozorili, da bo potrebno ustrezno skrbeti za nadzor, izvrševanje omenjene uredbe ter tudi sankcije, kdorkoli bo že določen kot nadzorni organ za izvajanje omenjene uredbe. To pomeni, da bo potrebno zagotoviti materialna sredstva in ustrezno kadrovsko odpornost.
Hvala.