Європа посилює закон про кібербезпеку, перемагаючи Великобританію

ЄС запровадив два нові важливі законодавчі акти, які мають на меті підвищити стійкість кібербезпеки в європейській економіці та загальну стійкість постачальників критичної інфраструктури до інцидентів, які потенційно можуть суттєво порушити їхні послуги. Ці нові закони представляють собою величезний крок вперед для ЄС, кидаючи тінь на Великобританію, яка зараз відстає від свого колишнього економічного та соціального партнера.

БЕРЛІН, НІМЕЧЧИНА – 6 ЛИПНЯ: Прапор Європейського Союзу майорить над Рейхстагом наступного дня після … [+] більшість людей проголосували «проти» на референдумі в Греції 6 липня 2015 року в Берліні, Німеччина. Греки значною більшістю проголосували проти плану реформ, запропонованого трійкою Європейського центрального банку, Міжнародного валютного фонду та Європейської комісії. Багато хто побоюється, що це призведе до виходу Греції з єврозони. (Фото Шона Геллапа/Getty Images)

Getty Images

Вітаємо NIS2 і CER

Першим законодавчим актом є «NIS2» (або «Друга директива з кібербезпеки», як деякі її називають). Другим законодавчим актом є Директива щодо стійкості критично важливих об’єктів (або скорочено CER).

У порівнянні зі своїм попередником NIS1 (який набув чинності в травні 2018 року), NIS2 значно розширює коло постачальників послуг, на яких поширюється законодавство про кібербезпеку. Вони поділяються на дві категорії:

Перша категорія складається з «критичних суб’єктів», як визначено в CER, яка охоплює суб’єктів, що надають різноманітні перелічені послуги в таких секторах: енергетика, транспорт, банківська справа, інфраструктури фінансового ринку, охорона здоров’я, питна вода, стічні води, цифрова інфраструктура, управління послугами ІКТ, Державне управління, космос і харчування (незалежно від їх розміру). Друга категорія складається з «важливих суб’єктів», «важливих суб’єктів» та ряду інших суб’єктів, які надають послуги, перераховані в додатках до NIS2, для яких існують деякі вимоги щодо розміру та певні вимоги щодо ідентифікації конкретних суб’єктів ЄС держав-членів. У Додатку 1 NIS2 повторюються всі сектори, перелічені в CER, але надається ряд різних послуг. Додаток 2 охоплює поштові та кур’єрські послуги, поводження з відходами, хімічні речовини, продукти харчування, виробництво, цифрових постачальників і дослідження.

Керівництво має керувати ризиками кібербезпеки

У правилах є багато деталей, які є складними, тому з ними слід ознайомитися щодо точних параметрів регулювання, але в двох словах суб’єкти регулювання повинні:

Створіть органи управління для затвердження та нагляду за управлінням ризиками кібербезпеки. Введіть схеми навчання. Прийняти належні та пропорційні технічні та організаційні заходи для кібербезпеки, які мають враховувати сучасний рівень техніки та відображати «підхід до всіх небезпек», у тому числі до ризиків у ланцюзі постачання. Негайно повідомляйте владі про інциденти кібербезпеки зі значними наслідками та надсилайте повідомлення про значні загрози та заходи щодо усунення потенційно постраждалих отримувачів послуг.

Безпека цифрової хмари та мережі. 3D ілюстрація комп'ютерного обладнання.

Гетті

Щоб утримувати регульовані організації під контролем, регулятори мають нові повноваження щодо аудиту та ранкових рейдів, вони можуть наказати змінити поведінку та накладати штрафи в розмірі до 2% річного світового обороту або 10 мільйонів євро, залежно від того, що більше.

Існує також низка нових заходів, спрямованих на посилення повноважень національних CSIRT та сприяння міжнародній співпраці.

Що далі для Великобританії?

Отже, що залишить Великобританію після Brexit? Що ж, Велика Британія наразі застрягла на своїй версії NIS1 із значно скороченою сферою застосування. Ймовірно, малоймовірно, що багато постачальників послуг вимагатимуть від уряду посилити бюрократичну тяганину, але в 2022 році уряд заявив, що він хотів би прийняти підхід «делегованого законодавства» для вдосконалення законодавства. Можливо, ми побачимо, як у 2023 році з’являться якісь конкретні пропозиції щодо цього, оскільки для уряду, безсумнівно, було б незручно, якби Велика Британія зазнала серйозних збоїв у сфері кібербезпеки в сферах економіки, які зараз нерегульовані. Прикладом таких є поштові служби, але це вже інша історія.