Комітет Європарламенту ухвалив новий закон про кібербезпеку для служб критичного значення
Провідний комітет Європейського парламенту у четвер 28 жовтня прийняв законодавчу пропозицію, спрямовану на захист організацій ЄЄ від кібератак.
Парламентський комітет з питань промисловості, досліджень та енергетики (industry, research and energy, ITRE) схвалив так звану Директиву NIS2, яка є переглядом Директиви про безпеку мережевих та інформаційних систем. Існуюча Директива NIS була першим законодавством ЄС, яке встановило мінімальні вимоги щодо кібербезпеки для підприємств і організацій, що надають основні послуги.
Незважаючи на те, що Директива NIS була прийнята лише у 2016 році, стрімкий характер кіберсередовища спонукав до перегляду законодавства з метою посилення вимог кібербезпеки та розширення сфери дії на більше суб’єктів з профілем високого ризику, виходячи з критичності їхньої ролі в економіці та демократичних процесах.
“Ми бачимо не тільки збільшення кількості кібератак, але й шкоди для суспільства”, – сказала Клара Джордан, головний спеціаліст з питань публічної політики Інституту CyberPeace Institute, на заході, організованому EURACTIV у вівторок (26 жовтня 2021).
Джордан підкреслив, що гармонізація стандартів кібербезпеки в ЄС стає ще більш необхідною, враховуючи взаємопов’язаність ланцюгів поставок, оскільки атака може вразити кілька країн одночасно.
Більш широкий діапазон
Хоча метою NIS2 було розширити сферу дії попереднього законодавства, парламентський текст розширив його ще більше, охопивши приблизно 160 000 організацій.
Організації, на які поширюються нові вимоги кібербезпеки, будуть визначені за двома наборами критеріїв. Об’єктивний критерій включає компанії з оборотом 10 млн євро і щонайменше 50 співробітників. Якісний критерій охоплює основоположних для економічних і демократичних процесів суб’єктів.
“Протягом багатьох років кібербезпека була нішевою темою, зараз її немає. Кожен професіонал скаже вам, що це потрібно вивести на найвищий рівень; генеральний директор має бути залучений”, – сказав EURACTIV депутат Європарламенту, відповідальний за файл, Барт Гротіус, зазначивши, що санкції за очевидну недбалість спрямовані саме на це.
Штрафи можуть становити до 2% від виручки компанії, тобто такий самий відсоток, як зазвичай просять атаки-вимагачі. Члени вищого керівництва також можуть потрапити під тимчасову заборону.
“Філософія більше не полягає в тому, чи є ви життєво важливими, а в тому, чи є ви життєво важливими для бізнес-моделі програм-вимагачів”, – стверджував голландський законодавець.
Згідно зі звітом агентства ЄС з кібербезпеки ENISA, опублікованому в середу (27 жовтня 2021), протягом останніх півтора років програмне забезпечення-вимагач, зокрема проти ланцюгів поставок, було головною кіберзагрозою в Європі.
“Держави-члени хочуть мати більше гнучкості, щоб включати компанії та організації відповідно до їхньої оцінки ризиків, і хочуть уникнути бюрократії для малих компаній”, – сказала Тамара Тафра, радник з кібербезпеки в Постійному представництві Хорватії при ЄС.
У тексті парламенту йдеться про цю проблему, пропонуючи автоматизувати звітність, яка, на думку депутатів, мінімізує адміністративний тягар.
Парламентські зміни
Хоча загальну сферу застосування було розширено, ухвалений парламентом текст виключає конкретну категорію, кореневі сервери, які є основою, на якій будується архітектура Інтернету.
Internet Society, глобальна неурядова організація, попередила, що регулювання кореневих служб може мати ненавмисні наслідки фрагментації Інтернету, зазначивши, що інші сили можуть скористатися нагодою для балканізації Інтернету, вказуючи на пропозицію Китаю щодо нової IP-адреси в 2019 році як небезпечну. прецедент.
Groothuis визнає, що поточне управління Інтернетом, засноване на системах доменних імен, є занадто крихким щодо кібератак, і тому його слід регулювати. Однак він розкритикував Єврокомісію за пропозицію регулювання кореневих серверів, стверджуючи, що це суперечить філософії вільного Інтернету.
Ще одна зміна, внесена до тексту, – це диференціація зобов’язань щодо звітності. Інформаційна безпека заснована на тріаді ЦРУ: конфіденційність мережі, цілісність даних і доступність вашого сервісу (confidentiality of the network, integrity of the data, and availability of your service, CIA).
Для Гротіуса доступність можна легко оцінити та повідомити про неї протягом 24 годин, тоді як оцінка цілісності та конфіденційності може тривати до трьох днів, що вказує на подібну пропозицію в США, які нещодавно застосували такий самий підхід.
Крім того, пропозиція ITRE містить положення про те, як обмінюватися даними відповідно до GDPR для боротьби з кіберзлочинністю і навіть включає відповідальність за обмін конфіденційними даними.
Гротіус стверджує, що обмін інформацією значно скоротився за останні роки через страх перед відповідальності. Наприклад, органи влади можуть знати про IP-адреси, які використовуються певною групою програм-вимагачів, минулі адреси електронної пошти або біткойн-гаманці.
Геополітичний контекст
Спираючись на свій попередній досвід роботи на посаді глави відділу кібербезпеки в міністерстві оборони Нідерландів, Гротіус вважав, що амбіції пропозиції продиктовані міжнародним сценарієм.
“Злочинністю в сфері Інтернет-банкінгу, була величезною проблемою в Нідерландах. За три місяці ми скоротили це більш ніж на 90%. У оточуючих нас країнах, Бельгії, Німеччині, він зріс на 90% за той самий період”, – сказав законодавець, зазначивши, що кібератаки, як правило, завжди спрямовані на найслабшу ланку.
Гротіус зазначає, що середні витрати американської компанії вже на 41% більше, ніж європейські, і розрив може ще більше збільшитися, оскільки Вашингтон мобілізує все більше і більше ресурсів після серії атак високого рівня, таких як на Colonial Pipeline.
Він також виступає за активну позицію кіберзахисту, передбачаючи майбутні ризики від ворожих держав, виокремлюючи Китай і Росію. Саме тому в пропозиції стверджується, що при оцінці ризику організації слід враховувати нетехнічні фактори.
Для Девіда Хармона, директора з кібербезпеки та конфіденційності ЄС у Huawei, ці нетехнічні міркування не повинні повторювати ту саму фрагментацію інструментарію 5G, оскільки скоординований підхід на рівні ЄС забезпечить юридичну визначеність.
Оскільки текст комітету був ухвалений більшістю голосів, пленарного голосування не очікується.
Автор: Luca Bertuzzi для EURACTIV, EU Parliament committee adopts new cybersecurity law for critical services
Переклад: Нікіта Домініч
додаткові матеріали:
- Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148
- European Parliament Think Tank, The NIS2 Directive: A high common level of cybersecurity in the EU
Зміст статті не обов’язково відображає офіційну позицію ЦГС. Інформація чи погляди, висловлені у цьому матеріалі, є виключною позицією його автора.
