בנוף הרגולטורי המתפתח במהירות של היום, עסקים נדרשים לעמוד בחובות הולכות ומתרחבות בתחום אבטחת הסייבר, בהתאם למספר גדל והולך של חוקים ותקנות. לעיתים קרובות, המסגרות הללו חופפות זו לזו, מה שעלול ליצור בלבול – במיוחד בכל הקשור לדרישות, ללוחות זמנים וליישומן על טכנולוגיות האבטחה שהעסק מסתמך עליהן.
Tכדי לסייע לשותפים וללקוחות שלנו להתמודד עם המורכבות הזו, ריכזנו סקירה ברורה של שלוש תקנות מרכזיות של האיחוד האירופי שמעצבנות את עתיד אבטחת הסייבר ועמידת המוצרים בדרישות רגולציה: דירקטיבת NIS2, חוק הבינה המלאכותית (AI Act) ותקנת עמידות הסייבר (CRA).
להלן תמצאו תקציר של כל אחת מהתקנות, מה משתנה במסגרתה, וכיצד Hikvision פועלת כדי להבטיח שהמוצרים שלה יעמדו בסטנדרטים הגבוהים ביותר של אבטחה, שקיפות ועמידה בדרישות רגולציה.
מהי דירקטיבת NIS2?
דירקטיבת NIS2 מחזקת את מסגרת אבטחת הסייבר של האיחוד האירופי, והיא מחליפה ומרחיבה את דירקטיבת NIS מ-2016 (NIS1). מטרתה המרכזית היא לחזק את אבטחת הסייבר המשותפת בין מדינות האיחוד, בתגובה לעלייה באיומים הקיברנטיים. הדירקטיבה מתמקדת בחיזוק אכיפת אבטחת הסייבר, בקידום שיתוף פעולה בין רשויות סייבר לאומיות, באבטחת שרשראות אספקה, ובתהליכי דיווח ברורים יותר על תקריות סייבר.
הדירקטיבה חלה על כל החברות, הספקים והארגונים - כולל גופים מחוץ לאיחוד האירופי - המספקים שירותים חיוניים או חשובים בתוך האיחוד. מדובר, בין היתר, במפעילים בתחומי האנרגיה, התחבורה, הבריאות, התשתיות הדיגיטליות, המינהל הציבורי, וכן בשירותים דיגיטליים מרכזיים וביצרנים של מוצרים קריטיים.
העברת דירקטיבת NIS2 לחקיקה לאומית, שצפויה להסתיים עד אוקטובר 2024, עדיין בתהליך, ויישום מעשי שלה עשוי להשתנות בין מדינות האיחוד האירופי. מפעילה ומספקת שירות ברחבי אירופה מהמשרדים הראשיים שבהולנד, Hikvision תבטיח עמידה קפדנית בכל הדרישות החוקיות שמציבות הרשויות ההולנדיות ותשלים במהירות את הליכי הרישום הנדרשים עם יישום רשמי של דירקטיבת NIS2.
חשוב גם לציין כי נכון לעכשיו, דירקטיבת NIS2 אינה כוללת תוכנית הסמכה רשמית, ואין תו תקן או תווית "תואם NIS2" למוצרים.
הגישה של Hikvision
Hikvision חורגת מעבר לעמידה בדרישות הרגולטוריות ומתחייבת לעמוד בסטנדרטים בינלאומיים מוכרים לאבטחת סייבר, כולל ISO 27001, ISO 27701, CSA STAR, ETSI EN 303645, Common Criteria (CC) ותכנית תיוג אבטחת סייבר (CLS).
לאחרונה, Hikvision השיגה גם את תקן IEC 62443-4, שהוא תקן לאבטחת רשתות תעשייתיות, התומך בפרקטיקות פיתוח מוצר מאובטחות התואמות לדרישות NIS2 בנושאי ניהול סיכונים, אבטחת סייבר בעיצוב, והבטחת אבטחת המוצרים לאורך כל מחזור החיים שלהם.
כדי לתמוך בהבנת התעשייה, פרסמנו מדריך מעודכן לדירקטיבת NIS2, הכולל תובנות לגבי השינויים המרכזיים והדרישות שהתקנות החדשות מביאות עמן.
מהו חוק הבינה המלאכותית (AI Act)?
חוק הבינה המלאכותית של האיחוד האירופי הוא החוק המקיף הראשון בעולם המסדיר את פיתוח ושימוש בבינה מלאכותית (AI). הוא חלק ממסגרת רחבה יותר שנועדה לנהל סיכונים תוך קידום בינה מלאכותית אמינה. החוק מסווג את הסיכונים לארבעה רמות נפרדות, כאשר דרישות הרגולציה מתגברות עם כל רמה: סיכון בלתי מתקבל (אסור), סיכון גבוה (נתון לחובות מחמירות), סיכון מוגבל (דרישות שקיפות) וסיכון מינימלי (בעיקר ללא רגולציה).
חוק הבינה המלאכותית נכנס לתוקף ב-1 באוגוסט 2024, אך יישומו נעשה בהדרגה. האיסורים על סיכונים בלתי מתקבלים חלים מאז ה-2 בפברואר 2025, בעוד שדרישות למערכות AI בסיכון גבוה צפויות להיכנס לתוקף ב-2 באוגוסט 2027.
בהתחשב במאמצי האיחוד האירופי המתמשכים לחיזוק התחרותיות, מתקיימות יוזמות חוקתיות לפשט חלקים מהרגולציה הטכנולוגית שלו. במסגרת זו מתנהלות גם דיונים לגבי חוק הבינה המלאכותית, כאשר כמה מדינות חברות וחברות מסוימות קוראות להשהות את לוח הזמנים ליישום. חברת Hikvision עוקבת מקרוב אחר ההתפתחויות הללו כדי להבטיח עמידה במסגרת הרגולטורית המתפתחת של האיחוד האירופי.
הגישה של Hikvision
Hikvision ממשיכה לשפר את אמצעי העמידה שלה ברגולציה, על בסיס עקרון "טכנולוגיה למען הטוב" (Tech for Good), כשהיא משתמשת בטכנולוגיה כדי לקדם את הרווחה החברתית.
Hikvision מחויבת באופן מוחלט לא לפתח מוצרים שישמשו לפרקטיקות בינה מלאכותית הנכללות בקטגוריית ה"סיכון הבלתי מתקבל", האסורות על פי חוק הבינה המלאכותית של האיחוד האירופי. בנוסף, אנו דורשים מלקוחותינו ומהמשתמשים הסופיים לכבד את אותם עקרונות ולהימנע מלהשתמש במוצרי Hikvision באופן המפר את דרישות החוק.
Hikvision גם מבצעת סקירה פעילה של מוצרי הבינה המלאכותית שלה ועוקבת בקפידה אחר הדרישות הטכניות והנתיבי העמידה הצפויים, כולל תהליכי הסמכת מערכות AI בסיכון גבוה.
What is the Cyber Resilience Act (CRA)?
תקנת עמידות הסייבר (CRA) מציגה כללי אבטחת סייבר מחייבים לכל המוצרים הדיגיטליים הנמכרים באיחוד האירופי – כולל מצלמות מעקב ווידאו, תוכנות ומערכות מחוברות. התקנה מתמקדת ב:
- שילוב אבטחה לאורך כל מחזור חיי המוצר
- הבטחת דיווח בזמן על פרצות אבטחה וטיפול בתקריות
- שיפור השקיפות והאמון בקרב המשתמשים הסופיים
ה-CRA גם קובעת כללים ותנאים להנחת סימון CE, המעיד על הערכת התאימות של המוצר ועמידתו בדרישות האבטחה של התקנות.
למרות שה-CRA כבר נכנסה לתוקף, הדרישות התפעוליות המרכזיות ייושמו בהדרגה, החל מהחובה של יצרנים לדווח על פרצות אבטחה שמנוצלות בפועל – חובת דיווח שתיכנס לתוקף בספטמבר 2026 – כאשר היישום המלא צפוי עד סוף שנת 2027.
הגישה של Hikvision
ב-Hikvision אנו מקבלים בברכה את התקנה הזו ותומכים באופן מלא במטרותיה. לקחנו חלק פעיל בהתייעצות הציבורית של האיחוד האירופי בנוגע ל-CRA ובדיונים המקבילים על התיאור הטכני, והעברנו תובנות המבוססות על הידע והניסיון שלנו, במטרה לסייע בגיבוש דרישות אבטחת סייבר מציאותיות, יעילות וניתנות ליישום - לשם הגנה על המשתמשים הסופיים.
אנו מקפידים על תקנים והסמכות בינלאומיים מחמירים ונקטנו צעדים נוספים, וביניהם:
- פיתוח מאובטח כבר משלב התכנון (Secure-by-Design): שילבנו אבטחה בכל שלב ממחזור חיי המוצר – כולל תכנון הארכיטקטורה, סריקת פרצות ובדיקות חדירה.
- ניהול אחראי של פרצות אבטחה: Hikvision היא רשות מספור רשמית של CVE (Common Vulnerabilities and Exposures), ואנו דואגים לתקן פרצות במהירות, לדווח עליהן בשקיפות ולשתף את המידע עם שותפים ומשתמשים.
- תמיכה באבטחה ממוקדת לקוח: אנו מספקים תיעוד ברור, מדריכי עבודה לפי מיטב הפרקטיקות, והתראות על עדכוני אבטחה כדי לסייע למשתמשים בהגדרה והפעלה בטוחה של המערכות.
- הגנה לאורך כל מחזור החיים: המוצרים שלנו נתמכים בעדכוני אבטחה שוטפים ובבדיקות מתמשכות לאורך כל תקופת פעילותם.
למידע נוסף, אנא בקרו בדף האינטרנט שלנו בנושא אבטחת סייבר.