8 grudnia tego roku Rada Europy poinformowała o uzgodnionych przez rządy państw UE nowych unijnych przepisach odnoszących się do cyberbezpieczeństwa. Eksperci Trend Micro wyjaśniają, jakie skutki będzie miała dyrektywa w codziennym życiu internautów.
Opracowany tekst dyrektywy UE (ang. Network and Information Security Directive) dotyczący bezpieczeństwa sieci teleinformatycznych i przetwarzanych w nich informacji czeka na zatwierdzenie przez Parlament Europejski oraz rządy państw unijnych. Następnie kraje te będą mieć 21 miesięcy na wdrożenie dyrektywy do przepisów krajowych oraz 6 miesięcy na określenie dostawców kluczowych usług. Nowe przepisy będę obligowały firmy i instytucje do upubliczniania informacji o zaistniałych atakach cybernetycznych.
Podczas negocjacji utworzono listę sektorów krytycznych, czyli takich, które są kluczowe z perspektywy ochrony danych osobowych i jednocześnie najbardziej podatne na działania cyberprzestępców. Należą do nich: branża energetyczna, bankowa, transportowa, finansowa, służba zdrowia, wodociągi oraz dostawcy usług cyfrowych, czyli platformy handlu elektronicznego, wyszukiwarki oraz czy dostawcy chmur obliczeniowych. W świetle nowych przepisów firmy działające w przestrzeni internetowej będą zobowiązane do publicznego informowania o poważnych naruszeniach swoich zabezpieczeń. Dyrektywa będzie dotyczyć więc takich firm, jak Google, Amazon czy Cisco. Co ciekawe, portale społecznościowe z Facebookiem na czele nie będą podlegać nowym wytycznym.
„Jest to sprawa absolutnie fundamentalna w zakresie utrzymania bezpieczeństwa cybernetycznego w Europie. Oczywiście spotyka się z ogromnym oporem, ponieważ wiąże się z koniecznymi inwestycjami zarówno po stronie instytucji publicznych, jak i tych komercyjnych. W Polsce jedynie sektor bankowy – obligowany przez konkretne regulacje prawne i audytowany przez Komisję Nadzoru Finansowego – musiał dotychczas troszczyć się o zabezpieczenia swoich platform internetowych. Natomiast w momencie rozpoczęcia obowiązywania nowych przepisów nie będzie można ukrywać ataków i włamań do systemów usługodawców, czy też podchodzić wybiórczo w kwestii informowania o nich. Odtąd wszystkie ataki będą jawne, co będzie prowadzić do osłabienia wizerunku i pozycji na rynku zaatakowanej firmy. Wobec tego zarządy takich organizacji będą musiały przyjąć pełną odpowiedzialność za cyfrowe bezpieczeństwo swoich klientów” – mówi Michał Jarski, Regional Director CEE w firmie Trend Micro.
W Stanach Zjednoczonych takie przepisy funkcjonują od lat i dotyczą wszystkich działających w przestrzeni cyfrowej firm, dlatego też Europie pokutuje przekonanie o największej liczbie przestępstw internetowych właśnie w tym kraju. Obecnie straty z tytułu działań cyberprzestępców w skali całej Unii Europejskiej są oceniane na ponad 300 mld EUR rocznie, natomiast do publicznej wiadomości jest podawany około 1 mld EUR . Dyrektywa UE ma tę sytuację zmienić.
Nowe przepisy nie będą oczywiście karać za samo zaistnienie takiego ataku. Sankcje będą nakładane za nieogłoszenie takiego incydentu. Firmy zatem zobligowane będą do informowania – im większa liczba takich wydarzeń w ramach jednej organizacji, tym mniejsza konkurencyjność i coraz słabszy wizerunek na rynku. Aby się przed tym uchronić, przedsiębiorstwa będą zmuszone do inwestowania w systemy zabezpieczające.
W najbliższym czasie władze państw unijnych stworzą szczegółową listę operatorów usług kluczowych przez wzgląd na ich znaczenie dla bezpieczeństwa publicznego, gospodarki i społeczeństwa. Prócz tego zostaną utworzone specjalne instytucje ds. bezpieczeństwa sieci telekomunikacyjnych, których głównym zadaniem będzie nadzór nad wypełnianiem dyrektywy. W ramach dyrektywy kraje członkowskie będą współpracować przy wspólnym wykrywaniu i reagowaniu na incydenty w ramach planowanej sieci zespołów reagowania na incydenty komputerowe (ang. Computer Security Incident Response Teams – CSIRTs), której sekretariat będzie działać przy Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA).
