Revizuirea Directivei NIS – La ce să ne așteptăm – Tehnologie

  1. introducere

Deși nu au trecut mai mult de doi ani de la Directiva privind securitatea rețelelor și a sistemelor de informații1(„Directiva NIS”) care urmează să fie transpusă de statele membre în legislația lor națională, Comisia Europeană („Comisia”) și-a anunțat la începutul acestui an intenția de a revizui Directiva NIS. Inițiativa vine mai devreme decât se aștepta, din cauza nevoii urgente de „consolidare în continuare a securității cibernetice generale în Uniune”.

Pentru a se pregăti pentru revizuire, Comisia a făcut deja mai mulți pași în această direcție, și anume:

  1. a elaborat și publicat un raport de evaluare a coerenței abordărilor statelor membre în identificarea operatorilor de servicii esențiale;
  2. a publicat o foaie de parcurs de evaluare combinată / evaluarea inițială a impactului
  3. a organizat o consultare publică care a fost deschisă timp de 12 săptămâni pentru a aduna opinii cu privire la punerea în aplicare și impactul modificărilor preconizate la Directiva NIS;
  4. a organizat mai multe ateliere pentru a discuta impactul schimbărilor planificate. Urmând pașii menționați mai sus, Comisia va adopta în ultimul trimestru al anului 2020 revizuirea Directivei NIS.
  1. Modificări vizate

Perioada de consultare a permis mai mult de o sută de părți interesate să ofere feedback cu privire la implementarea și funcționarea Directivei NIS. Pe baza comentariilor colectate, Comisia a reușit să identifice mai multe probleme legate de punerea în aplicare a acestora și să urmărească unele schimbări potențiale, cum ar fi:

  1. transformarea directivei NIS într-un regulament, deoarece marja largă de apreciere acordată statelor membre pentru punerea în aplicare a directivei NIS ar putea compromite egalitatea de șanse pentru unii operatori și ar putea duce la o fragmentare suplimentară a pieței unice. Cu toate acestea, conform informațiilor publice privind revizuirea Directivei NIS2, revizuirea va lua forma unei directive;
  2. lărgirea domeniului de aplicare a Directivei NIS, având în vedere că mai multe sectoare și subsectoare suplimentare au fost identificate ca fiind esențiale de către statele membre în timpul punerii sale în aplicare;
  3. clarificarea definițiilor atât ale operatorilor de servicii esențiali („OES”), cât și ale furnizorilor de servicii digitale („DSP”), deoarece acest lucru le va permite să fie identificați corect de către statele membre;
  4. pune OES și DSP-uri pe picior de egalitate3;
  5. să definească obiectivele și planificarea siguranței pentru fiecare sector cu participarea sectorului privat, pentru a aduce sub un numitor comun cerințele de siguranță stabilite de statele membre, care în prezent variază foarte mult de la un stat membru la altul. ”altul;
  6. să facă față sarcinii costurilor generate de reglementările inegale cu care se confruntă operatorii din mai multe state membre.
  1. Noi reguli pentru identificarea OES
READ  OnePlus Nord SE - primele specificații hardware: Gadget.ro - Hi-Tech Lifestyle

Pe baza modificărilor preconizate menționate mai sus, considerăm că de departe cea mai importantă se referă la revizuirea regulilor de identificare a SEO-urilor. După cum se indică în raportul Comisiei privind evaluarea consistenței abordărilor adoptate de statele membre în identificarea SEO-urilor4, eșecul de a identifica în mod sistematic acei operatori care furnizează servicii transfrontaliere „poate duce la un nivel inegal de reziliență cibernetică între diferite state membre, crescând riscul ca un incident transfrontalier să afecteze infrastructura critică sau să conducă la moartea cetățenilor”. Diferitele abordări adoptate de statele membre în identificarea SEO-urilor au permis ca numărul SEO-urilor din sectorul energetic să se extindă „de la 0,3 operator la 29 de operatori la 1.000.000 de locuitori”. Același lucru este valabil și în sectorul bancar, unde numărul de OES variază „de la 0,07 operator la 51 de operatori la 1.000.000 de locuitori (fără a lua în considerare statele membre care nu au identificat niciun OES în acest sector).”.

  1. Mecanism de raportare a incidentelor

Un alt aspect care în practică a generat abordări divergente între statele membre se referă la mecanismul de notificare a incidentelor și la tipurile de incidente care necesită notificarea către autoritatea de supraveghere competentă. În acest sens, este în interesul SEO-urilor prezente în mai multe state membre să instituie un cadru uniform pentru raportarea incidentelor și clarificări adecvate cu privire la tipurile de incidente care necesită notificarea autorității de supraveghere competente. Astfel, povara costurilor cu care se confruntă acum SEO-urile pentru îndeplinirea cerințelor de reglementare ale fiecărui stat membru va fi luată în considerare în mod corespunzător.

  1. Sectoare noi, jucători noi

În ceea ce privește lărgirea potențială a domeniului de aplicare al Directivei NIS, un aspect care merită menționat este faptul că, în timpul consultării publice, unele voci au solicitat ca sectorul telecomunicațiilor să fie inclus în domeniul de aplicare al Directivei IRS. Cu toate acestea, alegerea acestei opțiuni va implica nu numai o revizuire completă a Directivei NIS, ci și modificarea cadrului european de telecomunicații, conform căruia rețelele de comunicații electronice și furnizorii de servicii sunt deja obligați să asigure securitatea și integritatea rețelelor și serviciilor lor. . În plus, din motive de stabilitate reglementară, atât reformarea directivei RIS, cât și modificarea cadrului de telecomunicații ar trebui efectuate în paralel. În caz contrar, două cadre legale vor coexista pentru a reglementa aceste obligații ale furnizorilor de comunicații electronice. Acest lucru ar fi plictisitor, deoarece ar putea duce la creșterea costurilor de conformitate și a potențialelor conflicte între cele două cadre, precum și la o mai mare incertitudine juridică din cauza inconsecvenței și coerenței legislației.

READ  Contraatacurile Apple în războiul cu Epic Games, după eliminarea jocului Fortnite din App Store

În același timp, în forma sa actuală, Directiva NIS nu abordează niciun aspect legat de furnizorii de echipamente sau alte tipuri de vânzători, ci indică doar faptul că regimul general de răspundere pentru produs este aplicabil în legătură cu aceștia. Cu toate acestea, în timpul procesului de consultare publică, unele voci au ridicat posibilitatea ca producătorii de software și hardware să fie acoperiți în viitoarea directivă NIS ca o nouă categorie de actori, sub rezerva acelorași cerințe de reglementare. Deși se poate recunoaște că furnizorii și vânzătorii sunt considerați că joacă un rol important în a permite OES-urilor și DSP-urilor să își securizeze rețeaua și sistemele de informații, obligațiile impuse de Directiva IRS ar trebui să revină exclusiv asupra acestora.

O astfel de opțiune este preferabilă, deoarece impunerea de obligații atât operatorilor, cât și furnizorilor nu ar contribui la asigurarea unei protecții mai robuste și mai rezistente a rețelelor și a sistemelor de informații, ci ar difuza doar efectul coercitiv al dispozițiilor. Fiecare pagină | 4 ESO, DSP și furnizorii respectă deja obligațiile relevante care ajută la asigurarea unui sistem digital sigur și rezistent.

Aplicarea unui alt nivel de obligații nu ar spori securitatea lanțului valoric digital, ci ar pune doar o povară suplimentară asupra părților interesate relevante, cu costuri suplimentare care ar descuraja doar eforturile actuale. Cu scopul de a asigura rețele și sisteme de informații mai robuste și mai rezistente. .

În același timp, extinderea părților interesate care intră în sfera de aplicare a Directivei IRS ar crește sarcina asupra autorităților competente, care ar trebui să aibă resurse suplimentare pentru a putea monitoriza și controla respectarea normelor nu numai SEO-uri., DSP-uri, dar și de către furnizori.

READ  Xiaomi lansează Mi 10T Pro, Mi 10T și Mi 10T Lite

În această perspectivă, ar fi mai logic și mai constructiv să păstrăm obligațiile legate de securitatea sistemelor și rețelelor pentru furnizorii de astfel de sisteme și rețele și ca furnizorii să continue să respecte reglementările în vigoare referitoare la produse.

  1. Concluzii

Va fi interesant să vedem care dintre schimbările potențiale menționate mai sus își găsesc locul în noua directivă NIS. Cel mai probabil, vom avea mai multă claritate în cursul acestei luni, când un raport final de studiu va fi publicat de către Comisie în urma atelierelor organizate și a feedback-ului colectat de la părțile interesate de contractantul studiului comandat de managementul general sau rețelele de comunicare, Conținut și tehnologie5.

Se preconizează că revizuirea Directivei NIS va crea un nivel mai înalt de pregătire a securității cibernetice la nivelul statelor membre și o reducere a costurilor la nivelul companiilor și altor organizații care se confruntă cu incidente de securitate cibernetică.

Cu toate acestea, este important să vedem ce opțiuni politice vor fi alese de Comisia Europeană pentru a atinge aceste obiective.

Note de subsol

1 Directiva (UE) 1164/2018 privind măsurile pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor de informații din Uniune.

2 Disponibil aici https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12475-Revision-ofthe-NIS-Directive.

În forma lor actuală, OES și DSP sunt supuse cerințelor de securitate, dar DSP-urile au un regim mai ușor. Prin plasarea SEO-urilor și a DSP-urilor pe picior de egalitate, legiuitorul european a avut în vedere situația în care o OES depindea în mod critic de furnizorul de servicii. În acest context, atunci când furnizorii de servicii cloud oferă servicii OES, aceștia ar putea respecta cerințele de securitate (evaluarea riscurilor, măsuri de securitate) și cerințele de notificare echivalente cu cele ale OES.

4 Disponibil aici https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52019DC0546.

5 Detalii despre studiu și unul dintre atelierele organizate disponibile pe: https://ec.europa.eu/newsroom/dae/itemdetail.cfm?item_id=680095&newsletter_id=364&utm_source=dae_newsletter&utm_medium=email&utm_campaign=Cybersecurity&utm_content=680095&newsletter_id=364&utm_source=dae_newsletter&utm_medium=email&utm_campaign=Cybersecurity&utm_content=Workurity%20Study%20Support%20 20of% 20network % 20a & utm_term = Cybersecurity⟨ = ro

Conținutul acestui articol este destinat să ofere un ghid general pe această temă. Ar trebui solicitate sfaturi de specialitate cu privire la situația dvs. particulară.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *