Kahe 2016. aasta küberturvalisuse ja andmekaitse reguleeriva seadme eelseisev aktiveerimine, mis on kavandatud 2018. aasta maiks, nõuab läbimõtlemist keerulise loogika ja selle aluseks olevate rakenduste ristmike üle, mis võivad viia revolutsioonini riiklikul ja Euroopa digitaalsel turul, nagu me seda teame. Rünnakute kvantitatiivne stsenaarium annab märku murettekitavatest suundumustest: 80 protsenti Euroopa ettevõtetest kannatas 2015. aastal ja samal aastal vähemalt ühe küberturbeintsidendi. Kõigi maailma tööstusharude turvaintsidentide arv on kasvanud 38 protsenti. Aastate 2016–2017 kohta teatab CLUSITi aruanne meile, et trend on dramaatiliselt halvustav. Selle stsenaariumi korral sekkuvad ELi 2016. juuli 1148. aasta direktiiv 6/2016 (lühikese võrgu- ja infoturbe, võrkude ja infosüsteemide turvalisuse osas) ning isikuandmete kaitse üldmäärus (Gdpr), et reguleerida ühelt poolt majanduse ulatust. küberrünnakute tagajärgede tõttu tõsisemalt kokku puutuv digitaalne, nn kriitiliste infrastruktuuride oma, millega digitaalsete lahenduste müüjad on seotud seotud kohustuste ja sanktsioonidega teiselt poolt organisatsioonide, ettevõtete, kutseettevõtete jne valduses olevate „isikuandmetega” seotud teave täna uuesti läbi vaadatud andmeturul, mis on seotud ka küberkaitse kohustusega. Kõigepealt jõuame kokku Nis-i rakendamise loogikast: tähtajad, rakendatavad õppeained, oskused ja korporatiivsete ainete tüübid, kelle juurde vastavuskohustused viivad, s.t esmatähtsate teenuste operaatorid ja digitaalteenuste pakkujad.
Kõigepealt me nimetame tähtaegu: uue võrgujuhtumite direktiiv on jõus alates augustist 2016 ja kuni ELi liikmesriikide rakendamiseni; liikmesriikidel on 21 kuud, et võtta riiklikes õigusaktides vajalikud rakendusmeetmed ja 6i täiendavad kuud riiklike esmatähtsate infrastruktuuride operaatorite kindlakstegemiseks; rakendamise tähtaeg on 9 Mai 2018, üleminekuperioodil tegutsevad koostöörühmad ja CSIRT-võrgud alates 9 veebruarist 2017. Tuleb kohe märkida, kriitilist rolli koostöö grupp, mis peaks olema / peaks abistama liikmesriike ettevõtjate identifitseerimine vajalike teenuste ja negatiivsete mõjude üle aja lihtsalt aegunud või veebruarist 9 2017 et 9 2018 novembrini; Samuti tuleks mainida Enisa tehnilist tuge nii komisjonile kui ka koordineerivatele asutustele, st koostöörühmale ja CSIRTi võrgustikule. Siiski tuleb määrata riiklik tugiteenistus (ed), riiklik CSIRT (-üksus) ja riiklik ühine kontaktpunkt. Kuigi me kuulda, et mõned liikmesriigid on juba lõpule ametliku ülevõtmise protsessi NIS, me registreeru ilmne viivitusi viimastel National Delegatsioon valitsuse rakendamise Euroopa direktiivide jõustumist novembril 21. Riiklikus olukorras on tõepoolest ajakohastatud riiklik strateegiline raamistik veebruaris 2017 ja rakenduskava, kus siiski puuduvad nimetatud kahes regulatiivses sättes ette nähtud rakendamine. Minu arvates tuleks komisjoni kahtlusi tuumarelvavarustuse kohaldamise kohta direktiivi erinevate sätete läbivaatamiseks.
Artikkel. 23 loodab, et 9 mai 2018i kaudu esitab komisjon Euroopa Parlamendile ja nõukogule aruande oluliste teenuste osutajate kindlakstegemise ühtsuse kohta. Kaks aastat pärast uue elektroonilise andmevahetuse direktiivi jõustumist ja iga järgneva 18 kuu kohta koostab CSIRT-võrgustik aruanne, mis võimaldab hinnata operatiivkoostöö käigus saadud kogemusi, sealhulgas välja toodud järeldused ja soovitused. Aruanne saadetakse komisjonile ja kavandatakse direktiivi korrapärane läbivaatamine. Süsteemi esimene tähelepanek hõlmab seoseid elektroonilise andmevahetuse direktiivi ja sellega seotud konteksti käsitlevate standardite vahel, st Gdpri ja üldiselt andmekaitsega, ELi valdkondlike eeskirjadega, näiteks meretranspordi ja finantspanganduse, riiklike eeskirjade ja rahvusvahelised normid ja kokkulepped, sh privaatsuskaitsed. Näiteks ei ole selge, kuidas lahendatakse riigisiseste turvavõrgustike ja GDPR nõuete järgimine ning eraelu puutumatuse kaitsega seotud karistused, mis peaksid vastama Euroopa standarditele. Vahepeal vaatame põhiteenuste pakkujate jaoks ette nähtud kohustusi ja sanktsioone. "Oluliste teenuste osutajad on eraettevõtted või avalik-õiguslikud asutused, millel on ühiskonnas ja majanduses oluline roll järgmistes sektorites: energeetika: elekter, nafta ja gaas. Transport: õhu-, raudtee-, mere- ja maanteetransport. Pangandus: krediidiasutused. Finantsturu infrastruktuurid: kauplemiskohad ja kesksed vastaspooled. Tervis: tervishoiu keskkond. Vesi: joogiveevarustus ja -jaotus. Digitaalinfrastruktuur: täpsemalt Interneti-vahetuspunktid, domeeninimede süsteemi (DNS) teenusepakkujad ja tippdomeeni (TLD) registrid.
Kuid direktiivi põhjendused annavad meile teada, et sellistes sektorites nagu finantspangandus ja meretransport on sektori eeskirjad, mida hinnatakse ja lõpuks integreeritakse uue standardi rakendamiseks. Eeldades, et tähtajad on tõesed, peaksid liikmesriigid juba koostanud eelmise aasta novembris 9i jaoks kavandatud põhiteenuste osutajate nimekirjad (art. 23). Selleks on standard sõnastatud järgmiselt: "1. Novembriks 9 2018 liikmesriigid iga sektori ja allsektoril olulisi pakkujad koos asukoht on nende territooriumil. Põhiteenuste osutajate kindlaksmääramise kriteeriumid on järgmised: inimene osutab olulist sotsiaalset ja / või majanduslikku tegevust säilitava teenuse osutamiseks vajalikku teenust; selle teenuse pakkumine sõltub võrgu- ja infosüsteemidest; õnnetus avaldaks olulist negatiivset mõju selle teenuse osutamisele. Iga liikmesriik loob teenuste loetelu. "Sellisel viisil viitab tekst sellele, et oluliste teenuste operaatorid peavad olema identifitseeritud konkreetse nime ja perekonnanimega. Jättes kõrvale tautoloogia on '' oluline ", siis kohe tähendab tundlikkust teema esimene bug / potentsiaali nõrk koht, mille võib-olla selektiivne identifitseerimine oluliste teenuste operaatorite, sealhulgas Euroopa ja rahvusvaheliste korporatsioonide, võib viia ravi esoneranti vastavalt erinevate liikmesriikide nimekirjadele sama riigi esindaja püsiva organisatsiooni ja / või territoriaalse asukoha järgi, nagu näeb ette uus riik. Kuna suured teenindusettevõtted kasutavad vahendusteenuste ettevõtete võrgustikke kaskaadrajatisena, näiteks energeetikas, vees, telekommunikatsioonis jne. kuidas hakkavad ametiasutused juhtumiga tegelema nendes küsimustes toimunud õnnetusjuhtumite korral, mitte emaettevõtjatega? Ja kuidas peaks mõistma ohutusnõuete täitmise kohustust? Ja veel kord, millise tasemega peaks riskianalüüs ja riskide hindamine olema rakendatud? Asjaomaste negatiivsete mõjude kvantitatiivne ja kvalitatiivne ebamäärasus muudab lähiaja määratluse alguses väga ebakindlaks. Seepärast on standardis sätestatud valdkondadevahelised tegurid, et määratleda "olulised negatiivsed mõjud: huvitatud isiku pakutavast teenusest sõltuvate kasutajate arv; II lisas osutatud muude sektorite sõltuvus nimetatud teema poolt osutatavast teenusest; mõju, mida õnnetused võiksid ulatuse ja kestuse osas avaldada majanduslikule ja ühiskondlikule tegevusele või avalikele ohutusele; kõnealuse aine turuosa; geograafiline levik seoses alaga, mida õnnetus võib mõjutada; kõnealuse teema tähtsus piisava teenuse taseme säilitamisel, võttes arvesse selle teenuse osutamiseks alternatiivseid tööriistu. "Lisaks valdkondlikele teguritele: vajaduse korral". Üks imet, kes esimeste seas Euroopa klass on juba astunud samme, et andmete ja ökonomeetrilise ja sotsiaalse hinnangute sellise ulatusega võrreldes tema territooriumil ja / või rajatiste asub mujal või kelle esindajad puhul rahvusvahelised ettevõtted on pakkuda teenuseid riigi territooriumil, kuid need asuvad mujal. Kui ükski ei arvesta tegutsemist õnnetusjuhtumite puhul eraldi, siis sel juhul puuduvad ka õnnetusjuhtumite teatamise selged tingimused.
Me tuleme nüüd vastavusse, mida võib kokku võtta järgmiselt. Kohustused riskianalüüsi ja riskihindamise peab olema seotud kooskõlas ELi ja rahvusvaheliste standarditega: olema selged suunised ja standardid nagu NIST raamistik, COBIT ISO, ISA, jne Kuid milline kümneid standardeid eelistatakse üksikutes liikmesriikides? Ja siin on kolmas rakendusvea, mis võib käivitada digitaalsete toodete ja teenuste müüjate standardite "sõja", millel on erinevad Euroopa ja USA standardid, millel on erinev mõju toodetele ja teenustele. Ilmselt on mõeldav üksikute liikmesriikide digitaalteenuseid osutavate ettevõtete lobitöö. Kohustuslikud teatised, millele liikmesriigid peavad maksma karistusi, kui neid on. Kõik see peab vastama objektiivsusele seatud kriteeriumidele, st jagatud kriteeriumidele riskihindamisel ja kohtualluvuse ja territoriaalsuse kontrollimisel. Lühidalt, kena õiguslik ja pragmaatiline vespaio või neljas rakendusvea.
Nova allikas