Аналіз нормативно-правової бази щодо виробництва продукції Інтернету речей на європейському ринку

Аналіз нормативно-правової бази щодо виробництва продукції інтернету речей на європейському ринку

Охрімчук Є. І.

Аспірант кафедри фінансових технологій і підприємництва, Сумський державний університет, м. Суми, Україна

Анотація

Ця стаття присвячена дослідженню базових правил регулювання виробництва продукції Інтернету речей у Європейському середовищі. Метою дослідження є аналіз нормативно-правової бази щодо виробництва продуктів Інтернету речей в Європі для виявлення вимог, яким мають відповідати товари та послуги IoT, щоб бути допущеними на європейський ринок. Щоб повністю розкрити суть завдання, стаття складаєть-ся з двох частин. По-перше, надається короткий огляд поточного нормативного контексту для спожива-чів IoTв країнах Європи, описуючи середовище, яке багато експертів на сьогодні вважають «недостатньо зарегульованим». Для огляду цього питання у першу чергу увагу зосереджено на основних вимогах, яких повинні дотримуватися виробники продукціїIoT, сюди увійшли правила щодо авторського права, загальний регламент захисту даних, захист персональних даних користувачів, директива щодо радіообладнання та питання пов'язані з кібербезпекою. Також у першій частині дослідження увагу приділено ключовим стандар-там які безпосередньо пов'язані зі створенням середовища, необхідного для існування технологій Інтер- нету речей. По-друге, у статті розглянуто два основних проекти законів, які мають на меті встановити більше вимог до виробників та споживачів продукції Інтернету речей. Це Закон про дані, який повинен усу-нути перешкоди для доступу до даних, одночасно забезпечуючи збалансований нагляд за даними для їх роз-робників та Закон про кібернебезпечність, метою якого є встановлення загальних стандартів кібербезпеки для підключених пристроїв і сервісів. Ці постанови є важливими для забезпечення конфіденційності, захи-сту даних і кібербезпеки в галузі Інтернету речей. Очікується що два цих положення до 2024 року стануть повноцінними законами і на цьому етапі країни-члени та виробники мають два роки, щоб адаптуватися до висунутих вимог. Нові технології Інтернету речей постійно розвиваються, так само постійно розви-ваються нормативні акти. Тому важливо стежити за постійними змінами інструкцій і оновлень норма-тивних актів, щоб забезпечити відповідність бізнесу вимогам і, зрештою, уникнути непотрібних проблем. Ключові слова: Інтернет речей (IoT); закони і легалізація; приватні дані; кібербезпека; регулювання; стан-дарти.

Analysis of the regulatory and legal base regarding the production of internet of things products on the european market

Yevhenii Okhrimchuk

Postgraduate Student at the Department of Financial Technologies and Entrepreneurship, Sumy State University, Sumy, Ukraine

This article is devoted to the study of the basic rules for regulating the production of Internet of Things products in the European environment. The purpose of the study is to analyze the regulatory framework for the production of IoT products in Europe to identify the requirements that IoTproducts and services must meet in order to be admitted to the European market. In order to fully reveal the essence of the task, the article consists of two parts. First, a brief overview of the current regulatory context for IoT consumers in European countries is provided, describing an environment that many experts currently consider “under-regulated”. To review this issue, attention is primarily focused on the main requirements that manufacturers of IoT products must comply with. This includes copyright rules, the general data protection regulation, the protection of personal data of users, the directive on radio equipment and issues related to cyber security. Also, in the first part of the study, attention is paid to key standards that are directly related to the crea-tion of an environment necessary for the existence of Internet of Things technologies. Secondly, the article discusses two main draft laws, which aim to establish more requirements for manufacturers and consumers of Internet of Things products. These are the Data Act, which aims to remove barriers to data access while providing balanced data oversight for its creators, and the Cybersecurity Act, which aims to establish common cybersecurity standards for connected devices and services. These regulations are important to ensure privacy, data protection and cybersecurity in the IoT industry. These two provisions are expected to become full-fledged laws by 2024, and at this stage, member states and manufacturers have two years to adapt to the proposed requirements. New technologies of the Internet of Things are constantly developing, as well as regulatory acts. It is therefore important to keep abreast of the constant chang-es in guidance and regulatory updates to ensure business compliance and ultimately avoid unnecessary problems. Key words: Internet of Things (IoT); laws and legislation; data privacy; cyber security; regulation; standards.

Постановка проблеми у загальному вигля-ді та її зв'язок із важливими науковими чи практичними завданнями. Підключені пристрої стали невід'ємною частиною нашого життя. Ра-ніше ми зазвичай користувалися комп'ютерами, щоб підключитися до Інтернету, а зараз ми всю-ди носимо з собою смартфони. Також все біль-ше повсякденних пристроїв оснащуються датчи-ками та підключаються до Інтернету. Наприклад, кавоварки, камери спостереження, автомобілі та медичні пристрої. Це явище відоме як «Інтернет речей».

Підключення великої кількості пристроїв до Інтернету має як переваги, так і ризики. З одного боку, це відкриває можливості для підвищення комфорту та якості життя. Наприклад, підклю-чені пристрої можуть допомагати нам керувати будинком, стежити за здоров'ям та безпекою. З іншого боку, підключені пристрої збирають вели-чезні обсяги даних про нас. Це може призвести до проблем із конфіденційністю та безпекою.

Для захисту від кібератак розроблені міні-мальні базові вимоги безпеки. Однак незахи- щені підключені пристрої все ще залишаються проблемою. Вони можуть стати вразливим міс-цем для злочинців, які можуть отримати доступ до наших особистих даних або навіть взяти під контроль пристрій. Особливо небезпечно, коли підключені пристрої використовуються в корпо-ративних мережах.

Виробники та споживачі Інтернету речей за-кликають до розробки спеціальних правил регу-лювання. Це особливо важливо в умовах, коли виробники розширюють можливості пристроїв IoT, інвестуючи в нові технології. Це особливо важливо для глобальної економіки, враховуючи, що виробники розширюють можливості пристроїв IoT інвестуючи у хмарні, мобільні, бездротові тех-нології а також у розвиток Штучного Інтелекту.

Аналіз останніх досліджень і публікацій, в яких започатковано розв'язання даної про-блеми і на які спирається автор. В остан-ні роки спостерігається зростання інтересу до досліджень у галузі нормативно-правової бази щодо виробництва продукції Інтернету речей на європейському ринку. Наприклад, ознайомитися з практичними аспектами регулювання можна у роботі D. Harkin та колег [1], де представлені ре-зультати інтерв'ю з 32 ключовими зацікавленими сторонами зі сфери інформаційної безпеки, по-літики та регулювання, індустрії Інтернету речей, законодавства про захист прав споживачів і кон-фіденційності та наукових кіл Австралії. Стаття детально описує широкий спектр питань і про-блем, які виходять за рамки загальновизнаної проблеми конфіденційності чи технічних стан-дартів інформаційної безпеки. Питання стан-дартизації добре описані у статті A. Bicaku та колег [2], к якій обговорюється важливість без-перервної перевірки відповідності стандартам, а також реалізується автоматизована система мо-ніторингу та перевірки відповідності стандартам IIoT. Серед досліджень присвячених європей-ському регіону можна виділити статтю A. Cirne та ін. [3], у якій розглядаються різні вимоги до сертифікації, а також поточний стан сертифіка-ції в Європейському Союзі. А також дослідження R. Podszun [4] в якій описуються способи Євро-пейської комісія стимулювати конкуренцію в га-лузі стандартних патентів для Інтернету речей (IoT).

Виділення невирішених раніше частин загальної проблеми, котрим присвячується означена стаття. Однією з цих частин є відсут-ність єдиної європейської стратегії щодо регулю-вання IoT, що може призвести до різниці в підхо-дах між різними країнами Європейського союзу. Крім того, існують питання щодо забезпечення сумісності та інтероперабельності різних IoT при-строїв, а також щодо відповідальності за можли-ві негаразди, пов'язані з їх використанням. Всі ці аспекти вимагають подальшого дослідження та розв'язання для забезпечення сталого розвитку ринку IoT в Європі.

Формулювання цілей статті (постановка завдання). Метою дослідження є аналіз норма-тивно-правової бази щодо виробництва продуктів Інтернету речей в Європі для виявлення вимог, яким мають відповідати товари та послуги IoT, щоб бути допущеними на європейський ринок.

Виклад основного матеріалу дослідження. За розвитком Інтернету речей сьогодні активно слідкує велика кількість зарубіжних та вітчиз-няних науковців. Так, аналізуючи дані науково- метричної бази даних Scopus з даного питання можна відмітити що тенденція випуску робіт при-свячених тематиці Інтернету речей за останні 10 років демонструє активне зростання (рисунок 1).

Цінність, яку IoT може принести Європі за-гальновизнана - від експоненційного зростання ВВП і створених машиною неособистих даних IoT до покращення життя завдяки розумним до-даткам. Якщо регуляторний ландшафт вистро- єний правильно, реалізація цих переваг може змінити позицію Європи з точки зору глобальної конкурентоспроможності та зв'язку 5G.

Підприємства та державні органи генеру-ють величезні обсяги даних. Ці дані можна ви-користовувати для покращення виробництва, споживання та життя людей. Однак більша їхня частина залишається нереалізованою. Пристрої Інтернету речей (IoT) - це ключ до вирішен-ня цієї проблеми. IoT-пристрої можуть збирати та аналізувати дані з реального світу, що дає їм унікальний погляд на те, як живуть люди та працюють компанії. Ці дані можна використову-вати для прийняття кращих рішень, підвищення ефективності та створення нових продуктів і по-слуг. Однак, щоб IoT-пристрої могли повною мі-рою реалізувати свій потенціал, їм потрібна на-дійний захист. Зростаюча складність кіберзагроз створює значні ризики для безпеки даних.

Рис. 1. Тенденція кількості публікацій за ключовими словами Internet of Things та Regulatory за 2012-2022 роки

Джерело: побудовано автором на основі бази даних Scopus

Європейська комісія усвідомлюючи ці ризики і у грудні 2020 року представила комплексну стра-тегію кібербезпеки для цифрового десятиліття [5]. Ця стратегія спрямована на створення Інтернету безпечних речей. Стратегія включає в себе ряд заходів, спрямованих на підвищення кібербезпе- ки IoT-пристроїв та систем. Серед цих заходів:

- Впровадження обов'язкових вимог до вироб-ників IoT-пристроїв.

- Розробка спільних стандартів і технологій для IoT-пристроїв.

- Посилення співпраці між органами влади, біз-несом і суспільством у сфері кібербезпеки.

Зараз на європейському ринку учасники по-винні дотримуватися обов'язкових (юридичних) вимог, таких як закон про авторське право та За-гальний регламент захисту даних. Крім того, по-купці можуть висувати вимоги щодо управління якістю та корпоративної соціальної відповідаль-ності, а також стандартів, технологій і структур, що стосуються окремих галузей.

Ці вимоги допомагають підвищити кібербезпе- ку IoT-пристроїв, але вони не є достатніми. Різні галузі, сегменти та країни мають свої власні ви-моги, які постійно змінюються. Наприклад, для пристроїв, які використовуються на об'єктах кри-тичної інфраструктури, таких як електростанції, вимоги до безпеки будуть більш жорсткими, ніж для пристроїв, які використовуються в побутових умовах. Крім того, вимоги до безпеки пристроїв IoT можуть відрізнятися в різних країнах.

В Європейському Союзі (ЄС) авторське право на комп'ютерні програми регулюється Директивою ЄС про правовий захист комп'ю-терних програм (2009/24/EC) [6]. Ця директива встановлює, що комп'ютерні програми є літера-турними творами і підпадають під захист автор-ського права.

Це означає, що виробники програмного забез-печення повинні отримати дозвіл від правовлас- ника перед тим, як використовувати, копіювати або поширювати комп'ютерну програму. У разі порушення авторських прав виробники програм-ного забезпечення можуть бути притягнуті до від-повідальності за завдані збитки.

Загальний регламент про захист даних (GDPR) [7] - це закон, що захищає права європейських громадян на конфіденційність та захист даних. Він набув чинності 25 травня 2018 року і стосу-ється всіх компаній, які обробляють особисті дані осіб в Європі, незалежно від місця розташування компанії. GDPR є надзвичайно важливим для га-лузі Інтернету речей (IoT), оскільки пристрої IoT збирають величезні обсяги даних. Ці дані можуть використовуватися для відстеження людей, їх руху та поведінки. GDPR вимагає, щоб компанії, які розробляють чи використовують пристрої IoT, забезпечували конфіденційність цих даних.

Європейський Союз також оприлюднив новий стандарт кібербезпеки, спеціально розроблений для споживчого Інтернету речей (IoT), позначений як ETSI EN 303 645 [8]. У цьому стандарті наго-лошується на усуненні поширених уразливостей безпеки, які часто зустрічаються в пристроях IoT, зокрема тих, що виникають через використання слабких паролів. Крім того, він зобов'язує вироб-ників пристроїв Інтернету речей впроваджувати сучасні методи безпеки, включаючи шифрування та автентифікацію. По суті, цей стандарт вста-новлює фундаментальний стандарт безпеки для пристроїв IoT. Хоча дотримання стандарту ETSI EN 303 645 наразі є добровільним, існує ймовір-ність того, що в майбутньому воно стане обов'яз-ковою вимогою.

Директива щодо радіообладнання (RED) [9] визначає критерії, застосовні до радіоелектро-нного обладнання, доступного на ринку ЄС. Впер-ше представлений у 2014 році, RED зазнав змін у 2021 році. Під час цього оновлення Європейська комісія розширила сферу дії директиви, щоб охо-пити пристрої IoT. Отже, виробники пристроїв IoT тепер зобов'язані дотримуватися всіх положень RED, які охоплюють:

- Забезпечення того, щоб пристрої не шкодили мережі або її функціонуванню.

- Захист персональних даних і конфіденцій-ності користувачів.

- Підтримка певних властивостей для захисту від шахрайства.

Асоціація стандартів IEEE розробила низку стандартів [10], спрямовані на полегшення ство-рення екосистеми IoT. Ось деякі ключові стандар-ти діяльності IEEE:

- Архітектурна структура: стандарт I EEE P2413-2019 встановлює архітектурну структуру для IoT, що містить описи різних доменів. Стандарт забез-печує безперебійний зв'язок між пристроями IoT у різних галузях. Крім того, він гарантує сумісність з різними технологіями зв'язку, такими як Wi-Fi, Bluetooth і 5G.

- Гармонізація та безпека IoT: стандарт IEEE 1451-99 визначає методологію для обміну дани-ми, сумісності та безпеки повідомлень у мере-жах Інтернету речей. Наприклад, він забезпечує точність і своєчасність даних, що надходять від датчиків, які використовуються для моніторингу стану машини.

- Ефективність і якість датчиків: стандарт IEEE 2700 визначає показники якості, засоби керуван-ня, параметри та визначення, застосовні до даних датчиків, що стосуються реалізації IoT. Зокрема, це допомагає виробникам датчиків у створенні датчиків, які відповідають критеріям точності та надійності, адаптованих до конкретних застосу-вань.

Стандарти IEEE відіграють важливу роль у розвитку IoT, сприяючи його ефективному та без-печному використанню в широкому спектрі про-грам.

У вересні 2021 року Урсула фон дер Ляєн, пре-зидент Європейської комісії, наголосила [11] на зобов'язанні ЄС віддавати пріоритет кібербезпе- ці. Вона закликала Європу посилити свій кіберза- хист у відповідь на ескалацію загроз.

Відповідно до цієї ініціативи у ЄС вперше оп-рилюднили Закон про кібербезпеку (CRA) [12], розроблений для захисту як споживачів, так і ринку від кіберінцидентів. CRA встановлює єди-ні стандарти кібербезпеки, що застосовуються до взаємопов'язаних пристроїв і послуг. CRA також включає два важливих документи, які спрямовані на зміцнення кібербезпеки в ЄС:

- Директива про мережі та інформаційні сис-теми (NIS) [13], яка встановлює вимоги до дер-жав-членів щодо створення систем кібербезпеки та обміну інформацією про кібератаки.

- Закон про кібербезпеку, який визначає завдання Європейського кібернагляду ENISA та створює Європейський центр координації реагу-вання на кібернетичні інциденти (CERT-EU) [14].

Експерт з кібербезпеки, Росс Брюер, вислов-лює думку [15], щодо розробки та впровадження Закону про кібернебезпечність (CRA). Він попере-джає, що цей процес може зайняти значний час і призвести до зниження ефективності самого закону. Пояснюючи свої обгрунтування, Брюер вказує на те, що нормативні акти Європейсько-го Союзу зазвичай розробляються шляхом по-шуку такого спільного знаменника, який був би прийнятний для всіх держав-членів. Такий підхід може призвести до того, що вимоги CRA можуть виявитися недостатніми для ефективного захисту споживачів і стабільності ринку від кіберінциден- тів. Зазначається також, що впровадження CRA буде супроводжуватися значними витратами. Ці витрати врешті-решті потраплять на плечі ком-паній, які, у свою чергу, можуть вирішити підняти ціни на свої товари і послуги для споживачів. Цей ризик може призвести до збільшення інфляцій-них тисків на економіку.

Висновки з цього дослідження і перспек-тиви подальших розвідок у даному напрям-ку. Кібербезпека пристроїв Інтернету речей - це все більш актуальна проблема. Європейський Союз дієво реагує на цю загрозу та вживає за-ходів для підвищення кібербезпеки в галузі IoT. Досягненням цього було ухвалення Директи-ви про радіообладнання (RED) у 2016 році, яка встановлює вимоги щодо безпеки і захисту да-них для радіообладнання, включаючи пристрої IoT. Також, у 2018 році, ЄС прийняв Загальний регламент щодо захисту даних (GDPR), який встановив правила обробки персональних да-них, включаючи ті, що збираються пристроями IoT. Закон про кібернебезпечність має на меті встановити загальні стандарти кібербезпеки для підключених пристроїв і сервісів. Проте, не див-лячись на ці кроки, деякі експерти вважають, що їх недостатньо. Вони стверджують, що ЄС по-винен підняти планку захисту пристроїв IoT від кібератак, встановивши ще більше ефективних стандартів та заходів безпеки.

Безпека пристроїв Інтернету речей (IoT) завж-ди була складним завданням. Одна з основних проблем безпеки IoT полягає в тому, що не іс-нує єдиного, узгодженого стандарту безпеки. Ще одна проблема безпеки IoT полягає в тому, що ці пристрої часто не мають достатньої кількості ресурсів для підтримки складних систем безпе-ки. Безпека IoT є складним завданням, але це завдання, яке необхідно вирішити. Зростання числа пристроїв IoT робить їх все більш прива-бливими для кібератак. Організації повинні вжи-ти заходів для захисту своїх пристроїв IoT, щоб запобігти кіберзлочинам і захистити свої дані.

Європейське регулювання IoT є складним пи-танням для бізнесу. З одного боку, воно створює нові можливості для доступу до європейського ринку і побудови довіри з європейськими спо-живачами. З іншого боку, воно вимагає від під-приємств додаткових витрат і уваги до постійних змін нормативних актів. Кожен бізнес повинен самостійно вирішити, чи є європейське регулю-вання IoT вигідним для нього. Для цього необхід-но врахувати всі плюси і мінуси, а також можли-вості та обмеження конкретного підприємства.

БІБЛІОГРАФІЧНИЙ СПИСОК:

1. Harkin, D., Mann, M., & Warren, I. (2022). Consumer IoT and its under-regulation: Findings from an Australian study. Policy & Internet, 14, 96-113. DOI: 10.1002/poi3.285.

2. Bicaku, A., Tauber, M., & Delsing, J. (2020). Security standard compliance and continuous verification for Industrial Internet of Things. International Journal of Distributed Sensor Networks, 16(6). DOI: 10.1177/1550147720922731.

3. Cirne, A., Sousa, P., Resende, J., & Antunes, L. (2022). IoT security certifications: Challenges and potential approaches. Computers & Security, 116. DOI: 10.1016/j.cose.2022.102669.

4. Podszun, R. (2019). Standard Essential Patents and Antitrust Law in the Age of Standardisation and the Internet of Things: Shifting Paradigms. International Review of Intellectual Property and Competition Law, 50, 720-745. DOI: 10.1007/s40319-019-00831-y.

5. The EU's cybersecurity strategy for the Digital Decade. Shaping Europe's digital future. (2020). digital-strategy, ec.europa.eu. Retrieved from https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital- decade-0.

6. Directive 2009/24/EC. (2009). On the legal protection of computer programs. European Parliament and Council. eur-lex.europa.eu. Retrieved from https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32009L0024.

7. Regulation (EU) 2016/679. (2016). On the protection of natural persons with regard to the processing of personal data and on the free movement of such data. European Parliament and Council. eur-lex.europa.eu. Retrieved from https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504.

8. Standard European. (2020). Cyber Security for Consumer Internet of Things: Baseline Requirements (ETSI EN 303 645). etsi.org. Retrieved from https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/ en_303645v020101p.pdf.

9. Directive 2014/53/EU. (2014). On the harmonisation of the laws of the Member States relating to the making available on the market of radio equipment and repealing. European Parliament and Council. eur-lex.europa.eu. Retrieved from https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32014L0053.

10. IEEE Standards Association. IEEE standards activities in the internet of things (IOT) overview. standards.ieee. org. Retrieved from https://standards.ieee.org/wp-content/uploads/import/documents/other/iot.pdf.

11. Ursula von der Leyen. (2021). State of the Union. ec.europa.eu. Retrieved from https://ec.europa.eu/ commission/presscorner/detail/en/SPEECH_21_4701.

12. Procedure 2022/0272/COD. (2022). On horizontal cybersecurity requirements for products with digital elements and amending Regulation. European Parliament and Council. eur-lex.europa.eu. Retrieved from https:// eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:52022PC0454.

13. Directive 2016/1148. (2016). Concerning measures for a high common level of security of network and information systems across the Union. European Parliament and Council. eur-lex.europa.eu. Retrieved from https:// eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016L1148.

14. Regulation (EU) 2019/881. (2019). On ENISA and on information and communications technology cybersecurity certification. European Parliament and Council. eur-lex.europa.eu. Retrieved from https://eur-lex.europa.eu/eli/ reg/2019/881/oj.

15. Glover, C. (2022). Insecure IoT devices are increasing cybersecurity threats to healthcare industry, FBI warns. Tech Monitor. Retrieved from https://techmonitor.ai/technology/cybersecurity/healthcare-device-security-iot- connected.