التوجيه الأوروبي Nis و Gdpr ، تنفيذ وتطبيق البق في السوق الرقمية

يتطلب التنشيط المرتقب للجهازين التنظيميين لعام 2016 للأمن السيبراني وحماية البيانات ، والمقرر عقده في مايو 2018 ، التفكير في المنطق المعقد وتقاطعات التطبيقات الأساسية التي يمكن أن تؤدي إلى ثورة في السوق الرقمية الوطنية والأوروبية كما نعرفها. يشير السيناريو الكمي للهجمات الإلكترونية إلى اتجاهات مثيرة للقلق: عانت 80 في المائة من الشركات الأوروبية على الأقل حادث أمن إلكتروني واحد في عام 2015 وفي نفس العام زاد عدد الحوادث الأمنية لجميع الصناعات في جميع أنحاء العالم بنسبة 38 في المائة. لعام 2016-2017 ، يخبرنا تقرير CLUSIT أن الاتجاه يزداد سوءًا بشكل كبير. في هذا السيناريو ، يتدخل توجيه الاتحاد الأوروبي 2016/1148 المؤرخ 6 يوليو 2016 (للإيجاز NIS وأمن الشبكات وأنظمة المعلومات) واللائحة العامة لحماية البيانات (Gdpr) لتنظيم ، من ناحية ، مجال الاقتصاد الرقمي الأكثر تعرضًا لعواقب الهجمات الإلكترونية ، أي ما يسمى بـ "البنى التحتية الحيوية" التي يرتبط بها بائعو الحلول الرقمية بالالتزامات والعقوبات ذات الصلة ؛ من ناحية أخرى ، تلك المتعلقة بالبيانات "الشخصية" التي تحتفظ بها المؤسسات والشركات والاستوديوهات المهنية ، إلخ. تمت إعادة النظر فيه اليوم في ضوء سوق البيانات المرتبط أيضًا بالتزام الدفاع السيبراني. بادئ ذي بدء ، دعونا نلخص منطق التنفيذ لـ Nis: المواعيد النهائية ، وموضوعات التنفيذ ، والمهارات وأنواع موضوعات الشركات التي ستقود إليها التزامات الامتثال ، أي مشغلي الخدمات الأساسية ومقدمي الخدمات الرقمية.

بادئ ذي بدء ، دعونا نتذكر المواعيد النهائية: توجيه NIS ساري المفعول منذ أغسطس 2016 وينتظر تحويله من قبل الدول الأعضاء في الاتحاد الأوروبي ؛ أمام الدول الأعضاء 21 شهرًا لاعتماد تدابير التنفيذ الضرورية على مستوى التشريع الوطني و 6 أشهر إضافية لتحديد مشغلي البنية التحتية الحيوية الوطنية ؛ الموعد النهائي للنقل هو 9 مايو 2018 ؛ في الفترة الانتقالية ، تعمل مجموعة التعاون وشبكة CSIRT منذ 9 فبراير 2017. وتجدر الإشارة على الفور إلى الدور الأساسي لمجموعة التعاون التي ينبغي / ينبغي أن تساعد الدول الأعضاء في تحديد مشغلي الخدمات الأساسية والآثار السلبية في فترة زمنية انتهت للتو أو من 9 فبراير 2017 إلى 9 نوفمبر 2018 ؛ يجب أن نتذكر أيضًا الدعم الفني الذي قدمته Enisa لكل من اللجنة وهيئات التنسيق أو مجموعة التعاون وشبكة CSIRT. ومع ذلك ، يجب تعيين السلطة / الهيئات المرجعية الوطنية و CSIRT / s الوطنية ونقطة الاتصال الوطنية الوحيدة. بينما نتلقى أخبارًا تفيد بأن بعض الدول الأعضاء قد أكملت بالفعل العملية الرسمية لتحويل نظام الدول المستقلة ، فإننا نسجل تأخيرًا وطنيًا واضحًا في التفويض الأخير للحكومة لتحويل التوجيهات الأوروبية التي دخلت حيز التنفيذ في 21 نوفمبر الماضي. الوضع الوطني لديه بالفعل تحديث للإطار الاستراتيجي الوطني في فبراير 2017 والخطة التشغيلية التي ، مع ذلك ، تفتقر إلى التنفيذ المتوخى من قبل الجهازين التنظيميين المذكورين. فيما يتعلق بشكوك اللجنة فيما يتعلق بتطبيق نظام الـ NIS ، في رأيي ، ينبغي ذكر الأحكام المختلفة لمراجعة التوجيه.

الفن. يتطلب القرار رقم 23 أنه بحلول 9 مايو 2018 ، تقدم المفوضية إلى البرلمان الأوروبي والمجلس تقريرًا عن الاتساق في تحديد مشغلي الخدمات الأساسية. بعد عامين من دخول توجيه NIS حيز التنفيذ وكل 18 شهرًا بعد ذلك ، ستصدر شبكة CSIRTs تقريرًا لتقييم الخبرة المكتسبة من التعاون التشغيلي ، بما في ذلك الاستنتاجات والتوصيات التي ظهرت. وسيُرسل التقرير إلى المفوضية ويُتوقع إجراء مراجعات منتظمة للتوجيه. تتعلق الملاحظة المنهجية الأولى بالعلاقة بين توجيه NIS وقواعد السياق ذات الصلة ، أي القانون العام لحماية البيانات وحماية البيانات بشكل عام ، والقواعد القطاعية للاتحاد الأوروبي ، على سبيل المثال في النقل البحري والخدمات المصرفية المالية ، والقواعد الوطنية والقواعد والاتفاقيات الدولية ، بما في ذلك درع الخصوصية. ليس من الواضح ، على سبيل المثال ، كيف سيتم حل مشكلة الامتثال للوائح NIS و GDPR والعقوبات المتوخاة فيما يتعلق بدرع الخصوصية ، والتي يجب أن تخضع للمعايير الأوروبية. في غضون ذلك ، دعونا نرى الالتزامات والعقوبات المتوخاة لمشغلي الخدمات الأساسية. “مشغلو الخدمات الأساسية هم شركات خاصة أو هيئات عامة لها دور مهم للمجتمع والاقتصاد في القطاعات التالية: الطاقة: الكهرباء والنفط والغاز. النقل: الجوي والسكك الحديدية والبحري والبري. البنوك: المؤسسات الائتمانية. البنى التحتية للأسواق المالية: أماكن التداول والأطراف المقابلة المركزية. الصحة: ​​بيئات الرعاية الصحية. المياه: إمدادات مياه الشرب وتوزيعها. البنية التحتية الرقمية: على وجه التحديد نقاط تبادل الإنترنت وموفري خدمة نظام أسماء النطاقات (DNS) وسجلات النطاق الأعلى (TLD).

لكن "الحكايات" للتوجيه تخبرنا أن قطاعات مثل الخدمات المصرفية المالية والنقل البحري لديها لوائح قطاعية يجب تقييمها وربما دمجها لغرض تطبيق اللائحة الجديدة. وبافتراض احترام المواعيد النهائية ، ينبغي أن تكون الدول الأعضاء قد أعدت بالفعل قوائم مشغلي الخدمات الأساسية المقرر إجراؤها في 9 نوفمبر (المادة. 23). ولهذه الغاية ، ينص القانون على ما يلي: "1. بحلول 9 نوفمبر 2018 ، تحدد الدول الأعضاء ، لكل قطاع وقطاع فرعي ، مشغلي الخدمات الأساسية المنشأة في أراضيها. معايير تحديد مشغلي الخدمات الأساسية هي كما يلي: يقدم الموضوع خدمة ضرورية للحفاظ على الأنشطة الاجتماعية و / أو الاقتصادية الأساسية ؛ يعتمد تقديم هذه الخدمة على الشبكة وأنظمة المعلومات ؛ سيكون للحادث آثار سلبية مادية على تقديم تلك الخدمة. تضع كل دولة عضو قائمة بالخدمات. "وهكذا ، فإن النص يقترح أنه يجب تحديد مشغلي الخدمات الأساسية" باسم ولقب "محددين. وبغض النظر عن الحشو `` الأساسي '' ، فإننا نفهم على الفور دقة الموضوع ، وهو أول خطأ / فولنوس محتمل يمكن أن يؤدي التحديد الانتقائي لمشغلي الخدمات الأساسية ، بما في ذلك الشركات متعددة الجنسيات الأوروبية والدولية ، إلى معالجات مستثناة اعتمادًا على قوائم الدول الأعضاء المختلفة ، والمنشأة الدائمة و / أو الموقع الإقليمي لـ `` ممثل '' نفس الشيء ، على النحو المتوخى من قبل الدول المستقلة. نظرًا لأن شركات الخدمات الكبيرة تستفيد من شبكات شركات الوساطة للخدمات نفسها ، في مجموعات ، على سبيل المثال في الطاقة والمياه والاتصالات السلكية واللاسلكية ، إلخ. كيف ستتصرف السلطات في هذا الأمر في حالة وقوع حوادث تتعلق بهذه الموضوعات وليس الشركات الأم؟ وكيف ينبغي فهم الالتزام بالامتثال لمعايير السلامة؟ ومرة أخرى ، إلى أي مستوى ينبغي تنفيذ تحليلات تقييم المخاطر وتقييم المخاطر؟ ومن ثم فإن الغموض الكمي والنوعي للتأثيرات السلبية الكبيرة يجعل تعريف عتبة التأثير محفوفًا بالمخاطر منذ البداية. وهكذا ، يحدد القانون من بين العوامل المشتركة بين القطاعات لتعريف "الآثار السلبية المهمة: عدد المستخدمين الذين يعتمدون على الخدمة المقدمة من قبل الطرف المعني ؛ اعتماد القطاعات الأخرى المدرجة في الملحق الثاني على الخدمة التي يقدمها ذلك الكيان ؛ الأثر الذي يمكن أن تحدثه الحوادث ، من حيث المدى والمدة ، على الأنشطة الاقتصادية والاجتماعية أو على السلامة العامة ؛ الحصة السوقية للكيان المذكور ؛ الانتشار الجغرافي بالنسبة للمنطقة التي يحتمل أن تتأثر بالحادث ؛ أهمية المنشأة في الحفاظ على مستوى كافٍ من الخدمة ، مع مراعاة توافر الأدوات البديلة لتقديم هذه الخدمة. "وكذلك" العوامل القطاعية: عند الاقتضاء ". يتساءل المرء من الذي قدم بالفعل ، من بين الأوائل في الطبقة الأوروبية ، بيانات وتقديرات اقتصادية واجتماعية بهذا الحجم تتعلق بأراضيهم و / أو مؤسسات موجودة في مكان آخر أو ممثلوها ، في حالة الشركات متعددة الجنسيات ، يقدمون خدمات على الأراضي الوطنية ، لكنهم موجودون في مكان آخر. ما لم تكن تخطط للعمل كل حالة على حدة في حالة وقوع حوادث ، ولكن في هذه الحالة ، ستكون الشروط الواضحة لإخطارات الحوادث نفسها مفقودة.

نصل الآن إلى الامتثال الذي يمكن تلخيصه على النحو التالي. يجب أن تكون التزامات تقييم المخاطر وتقييم المخاطر مرتبطة بالامتثال لمعايير الاتحاد الأوروبي والمعايير الدولية: لكي تكون واضحًا ، يجب أن تكون الإرشادات والمعايير مثل إطار عمل NIST و COBIT و ISO و ISA ، إلخ. ولكن أي من العشرات من المعايير ستُعطى الأفضلية في الدول الأعضاء الفردية؟ وهنا يأتي الخطأ الثالث في التطبيق الذي يمكن من أجله إطلاق "حرب" المعايير لبائعي المنتجات والخدمات الرقمية لأن المعايير الأوروبية والأمريكية مختلفة ولها تأثير مختلف على المنتجات والخدمات نفسها. من الواضح أن ضغط الضغط الذي تمارسه الشركات التي تقدم خدمات رقمية في الدول الأعضاء الفردية أمر يمكن تخيله. الإخطارات التي يتعين على الدول الأعضاء مطابقة العقوبات عليها ، إن وجدت ، إلزامية. كل هذا يجب أن يتوافق مع معايير موضوعية للتأثير ، أي معايير تقييم المخاطر المشتركة والتحقق من الولاية القضائية والإقليمية. باختصار ، مساحة زحف قانونية وعملية لطيفة أو خطأ تطبيق رابع.

نوفا المصدر

التوجيه الأوروبي Nis و Gdpr ، تنفيذ وتطبيق البق في السوق الرقمية 

| رؤى, سايبر, قناة PRP |