ה-Cyber Resilience Act האירופאי – תקנה 2024/2847 - פורסם באופן רשמי באירופה לפני שבוע ימים. החוק הוא Regulation (תקנה) שווה מעמד לזו של ה-GDPR כך שיחול במדינות האיחוד בלא צורך בחקיקה לאומית. הוא מגדיר סטנדרטים אחידים לאבטחת סייבר של מוצרים הכוללים רכיבים דיגיטליים שמיועדים להתחבר לרשת או לרכיב אחר.
בין השאר, החוק החדש מבטיח שמוצרים המבוססים על בינה מלאכותית יפותחו תוך התייחסות מקיפה לסיכוני סייבר, ייבדקו היטב לפני השקה, ותישמר שקיפות בנוגע לתכונות האבטחה ותקופת התמיכה בהם.
עיקרי החוק:
- תחולה והיקף
החוק מחייב שכל מוצר הכולל רכיבים דיגיטליים, בין אם חומרה ובין אם תוכנה, יעמוד בדרישות אבטחה שמפורטות בנספח לו. בין שאר הדרישות יש להציעם בשוק בלא בעיות אבטחה מזוהות, להבטיח שחולשות אבטחה בהם ניתנות לטיפול באמצעות עדכוני אבטחה, תובטח אליהם גישה מורשית ועוד. - דרישות אבטחת סייבר חיוניות
על היצרנים לתכנן ולפתח מוצרים בצורה שמפחיתה ככל הניתן פגיעויות ומבטיחה אבטחה לאורך מחזור החיים של המוצר. הדרישה כוללת יישום נוהגי פיתוח מאובטחים והפצת עדכוני אבטחה בזמן. - שקיפות והנגשת מידע למשתמשים
החוק מחייב יצרנים למסור למשתמשים מידע על אבטחת הסייבר של מוצריהם וכן על משך התמיכה בעדכוני אבטחה. המטרה היא לאפשר לצרכנים לקבל החלטות מושכלות בנוגע למידת האבטחה של מוצרים, לרבות כאלה שהם מבוססי AI. - סיווג
המוצרים יסווגו על פי רמות סיכון אבטחת הסייבר שלהם: מוצרים בסיכון גבוה יידרשו לעבור הערכות מחמירות יותר. מוצרים מבוססי בינה מלאכותי עשויים להיחשב כבעלי סיכון גבוה, בהתאם ליישומם ולהשפעתם הפוטנציאלית. - פיקוח ואכיפה בשוק
החוק מעניק לרשויות סמכויות פיקוח ואכיפה להבטחת עמידה בהוראותיו. כך, בין השאר, ייבחן אם מוצרים מבוססי AI עומדים בסטנדרטים המחייבים.
law.co.il מעיר שהתרגום של שם החקיקה החדשה לעברית איננו פשוט: Reselince היא היכולת להתאושש במהירות או עמידות או חוסן... על כל פנים, לצד ה-AI Act האירופאי מדובר בהוראה חוקית שהיא בעלת השלכות רחבות הן על ארגונים המפתחים בינה מלאכותית והן על יצרני רכיבים דיגיטליים מקושרים בכלל.