Как Covid-19 вдъхнови подобрения в законодателството за киберсигурност в ЕС?

Как Covid-19 вдъхнови подобрения в законодателството за киберсигурност в ЕС?

Блог

Автор: Гергана Христова, Атанас Киров, правни експерти към Фондация "Право и Интернет"

Директивата, позната като ‘NIS Директива’ е първият законодателен акт на Европейския съюз в сферата на киберсигурността. Приета на 6-ти юли 2016 г., тя влиза в сила през месец май 2018 г., като на страните членки са дадени приблизително две години, за да хармонизират националното законодателство. Директивата повиши нивото на киберсигурност в рамките на Съюза като изиска от държавите да приемат национални стратегии и определят отговорни органи в тази сфера. Освен това, тя допринесе за успешното сътрудничество между държавите членки като създаде предпоставки за обмен на информация и киберустойчивост.

Дигиталната икономика е най-бързо развиващият се сектор, два пъти по-бързо от всички останали. Разпространението на COVID-19 доведе до бързото развитие на нивото на социална дигитализация. Заради невъзможността за провеждане на физически срещи и контакти, начините за онлайн свързване се превърнаха в основа за поддържането, както на лични, така и на професионални връзки. В този контекст, финансираният от ЕС 36-месечен GUARD проект е насочен към динамично противодействие на кибератаките. Тъй като развиващите се бизнес модели постепенно променят обхвата и структурата на информационните и комуникационни услуги, се появяват допълнителни съображение относно сигурността и поверителността, които все още не са разрешени по задоволителен начин. Справяйки се с противоречивите тенденции на пазара на киберсигурността, GUARD разработва отворена платформа за осигуряване на защита на надеждни бизнес вериги, обхващащи множество административни сектори и хетерогенни инфраструктури.

Един от механизмите, установен с NIS Директивата (в частност разпоредбата на член 23), изисква Комисията да я преразгледа и нейното приложение в ЕС. Последният ѝ преглед беше представен на 16-ти декември 2020 г. Един от основните приоритети, взет под внимание при прегледа е „Европа, подготвена за цифровата ера“, т.е. действията в областта на киберсигурността следва да подкрепят тази цел. Въпреки постигнатия напредък, нивото на киберсигурност в страните членки остава ниско, дори по-занижено в следствие на текущата непостоянна ситуация в цял свят. В следствие бе стигнато до заключението, че единственият начин за справяне с проблемите пред постигането на задоволително равнище на киберсигурност е чрез създаването на изцяло нова директива.

Предложението за новата NIS 2 Директива потвърждава, че ‘кибесигурността е приоритет за Комисията в нейния отговор на кризата с COVID-19’. Затова една от причините за предложените промени според Европейската комисия е фактът, че текущата директива не предоставя задоволителна защита на европейските граждани поради променящите се обстоятелства. Напредъкът ѝ е неоспорим, но има още много дълъг път, който да се извърви преди да може да отговори към новото ниво на развитие на технологиите. Например, преминаването към онлайн работа и общуване се случи много по-лесно в секторите, които вече бяха дигитализирани. От друга страна, обществените и социални услуги претърпяха доста трудна и не напълно безопасна трансформация, показват резултатите от оценката . Освен това, този тип услуги работят с огромно количество чувствителни данни и поради това дигиталната им трансформация е свързана със значителни рискове. С оглед подобрение на ситуацията, предложението за нова директива отбелязва няколко слабости, които възпират NIS Директивата да достигне пълния си потенциал.

Оценката показва още, че нивото на киберсигурност в ЕС е ниско и се различава в различните сектори. Нивото на съвместна ситуационна осведоменост и съвместното кризисно реагиране е също значително ниско. Пример за такъв проблем, споменат в оценката, е фактът, че болниците в някои страни членки не са задължени по директивата, докато в други - всички медицински заведения попадат в обхвата ѝ. Надзорът и прилагането на сегашната директива също са се оказали неуспешни заради неохотата да се налагат глоби, дори при редица нарушения и несъответствия с изискванията. В този ред, при оценката бе направено предложение за нова директива - NIS 2, която да включи нови изисквания и подобрения, така че правилата на ЕС за киберсигурност да могат да съответстват на напредъка в дигиталната сфера и да бъдат адаптирани спрямо развитието на технологичните системи.

Документът за консултация -доклад, целящ да информира гражданите и заинтересованите страни за работата на Комисията в темата, така че да имат възможност ефективно да участват в бъдещи консултативни дейности, гласи че прегледът следва да оцени ‘нивото на сигурност на мрежите и информационните системи в страните членки’. В допълнение, според Инструментариумът за по-добро регулиране трябва да се оцени ‘ефективността, ефикасността, съответствието, приложимостта и добавената стойност на NIS Директивата за ЕС, взимайки предвид постоянно променящата се технологическа и рискова среда’. Фокусът е поставен върху смекчаването на рисковете, свързани с националните системи за сигурност, които предоставят основни услуги в различните сфери. Документът за консултация също така определя и пресмята преките и непреки регулаторни разходи и ползи, които идват с приложението на директивата. Това включва разходите за периода от началото на прякото ѝ прилагането през Май 2018 г.

В отговор на дискутираните проблеми е представено предложение за нова NIS 2 директива, която включва нови предложения и промени за подобрението на сегашното законодателство, както и модернизирането му спрямо развитието на технологиите. Част от тези промени са новите изисквания за ‘основните’ и ‘важни’ доставчици на услуги в жизненоважни сектори. Новите изисквания включват докладване на кибератаки, налагане на по-строги политики за сигурност, анализиране на сигурността на доставчици, както и използването на криптиране в модерните технологични системи. Няма да се прави разлика между оператор на съществени услуги и доставчиците на дигитални услуги - класифицирането ще се извършва на база тяхната значимост и ще се прилагат различни надзорни режими. Някои от операторите, които попадат под определението доставчици на “основни” услуги, са оператори на електропреносни системи, доставчици на електричество, органи за управление на летищата, оператори за контрол на управлението на трафика, ръководители на инфраструктури, доставчици на здравни услуги, доставчици и дистрибуторите на вода и други. Легалното определение на “важни” доставчици на услуги включва доставчици на пощенски услуги, предприятията, произвеждащи и разпространяващи вещества, доставчици на онлайн пазари, производители на компютърни, електронни и оптични продукти, производители на транспортно оборудване и много други.

Освен това, предложението дава ясна представа за размерите на включените в обхвата ѝ предприятия, което означава, че всички средни и големи предприятия в определени сектори ще попаднат в обхвата на новата директива. Малките предприятия ще имат възможност да проверят дали спадат към предприятията с висок риск от нарушения в сигурността. Това показва колко много е разширен обхвата с NIS 2 , тъй като покрива много повече сектори от сегашната, вземайки предвид най-уязвимите, но в същото време жизненоважни доставчици на услуги. Страните членки в сътрудничество с Европейската комисия и Агенцията на Европейския съюз за киберсигурност (ENISA) ще извършват оценка на риска в критични вериги на доставки, както и ще изискват от отделни компании да се справят с рисковете за киберсигурност във веригите за доставки и отношенията с доставчиците. Ще бъда създадена базова рамка за координацията на новооткритите уязвимости в ЕС, както и регистър. Друга важна предложена мярка е налагането на глоби на институциите, които не спазват изискванията. Те ще могат да достигат до 10 милиона евро или повече в зависимост от това колко сериозно е нарушение /несъответствието с разпоредбите на директивата. Крайната цел на тези глоби е да накара заинтересованите страни да спазват закона и така да бъдат изпълнени целите на новата директива. В последствие това ще доведе и до намаляването на потенциалните загуби, в резултат от смущения от кибератаки, включително индустриален шпионаж, намаляване на бюджетни разходи за инциденти при кибератаки, както и намаляване на доходите на обществото в следствие на икономически загуби.

Една от основните предприети стъпки за подобряване на киберсигурността в ЕС се състои в това, че предложението за новата NIS 2 Директива тясно съгласувано с предложението за Директивата за устойчивост на критични субекти. Това ще засили ефекта на директивата чрез прилагане на нови мерки за сигурност от компаниите, които предоставят основни услуги. Подходът за изпълнение на тази цел се състои от вземане на допълнителни мерки, сътрудничество и обмен на информация относно кибер и некибер устойчивост между компетентните органи, включени в обхвата и на двете директиви. Фокусът ще бъде специално върху критичните оператори в “основните” сектори, тъй като те обработват огромни количества чувствителни данни. По този начин физическата инфраструктура ще бъде защитена от хакерски атаки и пробиви от неоторизирани субекти.

Друг основен аспект в структурата на оценката е новата Стратегия за киберсигурност, която цели да подобри сигурността в ЕС и ще приложи единен подход във всички страни членки спрямо глобалния Интернет и рисковете, които той крие. Освен това, по този начин следва да се подпомогне сътрудничеството и обмена на информация между индустриите, докато в същото време се подобряват и механизмите за сигурност в собствената им инфраструктура. Това е опит да се “опростят и хармонизират” изискванията към компаниите в ЕС, без значение от техния размер, но също така да станат “гъвкави и приспособени към бъдещето”, за да могат да се адаптират към развитието на технологиите. Това е много важно, тъй като сегашната NIS Директива изгуби своята актуалност прекалено бързо поради еволюцията на технологиите.

Направените предложения от Европейската комисия, представени на 16-ти декември 2020 г., трябва да бъдат одобрени от националните правителства в Съвета на ЕС и от Европейския парламент преди да станат официални и да влязат в сила. Има съмнения, обаче, че тези промени няма да бъдат лесно одобрени, тъй като преговорите за сегашната NIS Директива отнеха приблизително 3 години, за да бъде тя одобрена и да влезе в сила. След като предложенията бъдат приети, страните членки ще имат 18 месецаза хармонизация на националните законодателства. Следващото преразглеждане на новата Директива е планирано да бъде 54 месеца след влизането ѝ в сила. Когато новата NIS 2 Директива, Директивата за устойчивостта на критичните субекти и новата Стратегия за киберсигурност започнат да се прилагат, ще започне създаването на последователен подход в страните членки към киберсигурността, както и ще се подобри обмена на информация и практики между тях. В допълнения, крайният резултат се очаква да бъде едно много по-добро реагиране при кризисни ситуации и смекчаването на рискове, произтичащи от така удобните услуги, които Интернет предлага. Представените систематични и структурни промени целят да покрият широк кръг от сектори в ЕС, включително малки и големи бизнеси. По този начин ще се изгради колективна отговорност между различните заинтересовани страни и обединен подход спрямо кибератаките.

Съдържанието на тази публикация, създадено в рамките на проект GUARD, е отговорност единствено и само на авторите ѝ и по никакъв начин не отразява мнението на Европейската комисия. GUARD е финансиран с подкрепата на Европейската комисия по Програма “Хоризонт 2020” в рамките на договор No 833456.