ที่มาภาพ: InfoWorld
EU บังคับใช้ Cyber Resilience Act ส่งผลต่อซอฟต์แวร์โอเพ่น…
⚡ สรุป 30 วิ
สหภาพยุโรปเริ่มบังคับใช้ Cyber Resilience Act ตั้งแต่ 11 มิ.ย. 2567 เพื่อให้ผู้ผลิตฮาร์ดแวร์และซอฟต์แวร์ต้องตรวจสอบความปลอดภัยและจัดทำ SBOM…
Lead – สหภาพยุโรปได้เปิดใช้ส่วนแรกของ Cyber Resilience Act (CRA) ตั้งแต่วันที่ 11 มิถุนายน 2567 เพื่อบังคับให้ผู้ผลิตฮาร์ดแวร์และซอฟต์แวร์ที่จำหน่ายในตลาดยุโรปต้องปฏิบัติตามมาตรการด้านความปลอดภัยใหม่ ทั้งนี้การสำรวจของ Open Source Security Foundation (OpenSSF) แสดงให้เห็นว่าธุรกิจส่วนใหญ่ยังไม่คุ้นเคยกับกฎหมายฉบับนี้ ซึ่งอาจส่งผลต่อการใช้ซอฟต์แวร์โอเพ่นซอร์สทั่วโลก
Overview
กฎหมาย CRA มีจุดมุ่งหมายเพื่อเสริมสร้างความมั่นคงของผลิตภัณฑ์ไอทีที่จำหน่ายในสหภาพยุโรป โดยกำหนดให้ผู้ผลิตต้องทำการประเมินความสอดคล้องและให้ข้อมูลด้านความปลอดภัยแก่ผู้ใช้ ทั้งนี้กฎหมายครั้งแรกที่มุ่งเน้นด้านความปลอดภัยของซอฟต์แวร์และฮาร์ดแวร์นี้ถือเป็นความพยายามเชิงรุกของยุโรปต่อภัยคุกคามไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่อง
นอกจากนี้ CRA ยังกำหนดให้ผู้ใช้ซอฟต์แวร์ต้องมีนโยบายความปลอดภัยที่ชัดเจน รวมถึงการแต่งตั้งตำแหน่ง open‑source steward ภายในองค์กรเพื่อดูแลการใช้งานซอฟต์แวร์โอเพ่นซอร์สให้เป็นไปตามมาตรฐานที่กำหนด
การบังคับใช้กฎหมายจะค่อยเป็นค่อยไปตามไทม์ไลน์ที่กำหนดไว้ ซึ่งหมายความว่าผู้ประกอบการต้องเตรียมพร้อมหลายขั้นตอนก่อนที่จะถึงวันกำหนดสุดท้ายในปี 2030
Key Provisions
- 11 มิถุนายน 2567 – การกำหนดผู้ให้บริการประเมินความสอดคล้อง (conformity assessment bodies) โดยรัฐสมาชิก
- 11 กันยายน 2567 – ผู้ผลิตต้องเริ่มรายงานช่องโหว่ของผลิตภัณฑ์ต่อหน่วยงานที่เกี่ยวข้อง
- 11 ธันวาคม 2567 – เริ่มบังคับใช้ข้อกำหนดทั้งหมดรวมถึงการลงโทษทางการเงินสูงสุด €15 ล้าน หรือ 2.5 % ของยอดขายทั่วโลกต่อการละเมิดแต่ละครั้ง
ข้อกำหนดเหล่านี้รวมถึงการจัดทำ **software bill of materials (SBOM) ที่ต้องผ่านการตรวจสอบความปลอดภัยก่อนนำไปจำหน่าย ทั้งในตลาดยุโรปและตลาดอื่น ๆ ที่อาจมีการอ้างอิงมาตรฐานเดียวกัน
Survey Insights
การสำรวจของ OpenSSF พบว่ามากกว่า สองในสาม ของผู้ตอบยังไม่คุ้นเคยกับ CRA แม้ว่ากฎหมายจะมุ่งเน้นการเพิ่มความปลอดภัยของผลิตภัณฑ์ไอทีก็ตาม ความไม่รู้เหล่านี้ทำให้หลายองค์กรอาจประเมินความเสี่ยงได้ไม่แม่นยำ
นอกจากนี้ 56 % ของผู้ตอบไม่ได้รับทราบว่าค่าปรับสูงสุดอาจถึง €15 ล้าน หรือ **2.5 % ของยอดขายทั่วโลก ซึ่งแสดงให้เห็นว่าข้อมูลเกี่ยวกับผลกระทบทางการเงินยังไม่ได้ถูกสื่อสารอย่างทั่วถึง
เมื่อถามถึงแผนการปฏิบัติตามกฎหมาย ผู้ผลิตเพียง 41 % คาดว่าจะพร้อมโดยสมบูรณ์ภายในวันที่ 11 ธันวาคม 2567 ส่วน 39 % ยังไม่ทราบเวลาที่จะบรรลุเป้าหมาย ซึ่งบ่งชี้ถึงความไม่แน่นอนในการเตรียมความพร้อมของอุตสาหกรรม
Impact on Open Source and Enterprises
หนึ่งในข้อกำหนดสำคัญของ CRA คือการกำหนดให้มีตำแหน่ง open‑source steward ภายในองค์กร เพื่อให้แน่ใจว่ามีนโยบายความปลอดภัยสำหรับซอฟต์แวร์ที่ใช้งาน ทั้งนี้องค์กรต้องจัดทำ SBOM ที่รับรองว่าซอฟต์แวร์นั้นปลอดภัยแล้วก่อนนำไปใช้หรือจำหน่าย
Christoph e r Robinson ซีทีโอโอของ OpenSSF ระบุว่า หลายบริษัทอาจเข้าใจผิดว่า กฎหมายนี้มีผลต่อผู้ขายเท่านั้น ไม่ได้ส่งผลต่อผู้ใช้ แต่เมื่อพิจารณาถึงซอฟต์แวร์โอเพ่นซอร์สที่อาจมีโครงการกว่า 700 ล้าน โครงการบน GitHub การมองข้ามบทบาทของผู้ใช้จะทำให้การปฏิบัติตามเป็นไปได้ยาก
นอกจากนี้ Michael Callahan รองประธานฝ่ายกลยุทธ์ไซเบอร์ของ Salt Security เตือนว่าการใช้ผู้ช่วยเขียนโค้ด AI จะทำให้สมมติฐานว่าองค์กรรู้ทุกอย่างที่อยู่ในซอฟต์แวร์ของตนอาจล้มเหลว โค้ดที่สร้างโดย AI อาจมีการพึ่งพาไลบรารีหรือรูปแบบที่ไม่ได้รับการตรวจสอบตามมาตรฐานขององค์กร
จากมุมมองของผู้เชี่ยวชาญด้านความปลอดภัย Hans Study ให้ความเห็นว่า การบังคับใช้ CRA เป็นการก้าวไปข้างหน้าในการจัดการห่วงโซ่อุปทานซอฟต์แวร์ แม้ว่าจะต้องเผชิญกับความท้าทายด้านความรับผิดชอบและการกำหนดขอบเขตของผู้ผลิตและผู้ใช้
Industry Commentary & Outlook
ผู้เชี่ยวชาญหลายคนมองว่าการบังคับใช้ CRA จะทำให้บริษัทต้องทบทวนกระบวนการพัฒนาและจัดหาซอฟต์แวร์อย่างละเอียด ทั้งในแง่ของการตรวจสอบซอร์สโค้ดและการจัดทำ SBOM อย่างสม่ำเสมอ
แม้จะมีการเปรียบเทียบกับ GDPR ที่ทำให้หลายองค์กรเร่งปรับตัวเพื่อหลีกเลี่ยงค่าปรับหนัก Robinson ชี้ว่า การกำหนดค่าปรับต่อการละเมิดหนึ่งครั้งที่อาจทำลายบริษัทขนาดกลางหรือส่งผลกระทบต่อบริษัทขนาดใหญ่เป็นสัญญาณเตือนที่สำคัญ
ในระดับนานาชาติ ประเทศอื่น ๆ เช่นญี่ปุ่นกำลังพิจารณากฎหมายคล้ายคลึงกัน ทำให้ความสำคัญของ CRA ขยายออกไปนอกขอบเขตของสหภาพยุโรป การเตรียมตัวล่วงหน้าอาจกลายเป็นแนวปฏิบัติมาตรฐานสำหรับผู้ผลิตซอฟต์แวร์ทั่วโลก
โดยสรุป การเข้าใจและปฏิบัติตาม CRA จะเป็นปัจจัยสำคัญที่กำหนดความสามารถขององค์กรในการแข่งขันในตลาดดิจิทัลที่ให้ความสำคัญกับความปลอดภัยและความโปร่งใสของซอฟต์แวร์
Summary
CRA เริ่มบังคับใช้ส่วนแรกตั้งแต่ 11 มิถุนายน 2567 และจะเต็มรูปแบบโดย 11 ธันวาคม 2567 ทำให้ผู้ผลิตและผู้ใช้ซอฟต์แวร์ต้องจัดทำ SBOM และกำหนดนโยบายความปลอดภัยอย่างเข้มงวด การสำรวจของ OpenSSF แสดงให้เห็นว่าธุรกิจส่วนใหญ่ยังไม่พร้อมรับมือกับข้อกำหนดและค่าปรับที่สูง ซึ่งอาจกระตุ้นให้บริษัทเร่งปรับตัวในเร็ว ๆ นี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- EU rules on securing IT products could affect open source software users beginning this week
- ผู้เขียน
- Unknown
- แหล่ง
- InfoWorld
- วันที่เผยแพร่
- 10 มิถุนายน 2569 เวลา 17:09
