2016年2018月に予定されているサイバーセキュリティとデータ保護のための80つの2015年規制デバイスの今後のアクティブ化では、私たちが知っているように、国内およびヨーロッパのデジタル市場に革命をもたらす可能性のある複雑なロジックと基盤となるアプリケーションの交差点について考察する必要があります。 攻撃の定量的シナリオは、懸念される傾向を示しています。ヨーロッパの企業の38%が、2016年と同じ年に少なくとも2017回のサイバーセキュリティインシデントに苦しんでいます。世界のすべての業界のセキュリティインシデントの数は2016%増加しています。 1148〜 6年のCLUSITレポートは、この傾向が劇的に悪化していることを示しています。 このシナリオでは、2016年XNUMX月XNUMX日のEU指令XNUMX/XNUMX(簡潔なNIS、ネットワークおよび情報システムのセキュリティ)と一般データ保護規則(GDPR)が介入して、一方では経済の範囲を規制します。サイバー攻撃の結果、デジタルソリューションのベンダーが関連する義務や制裁と相関しているいわゆる「重要なインフラストラクチャ」の結果により、デジタルがより深刻にさらされている。 一方、組織、企業、専門会社などが保有する「個人」データに関連するもの。 今日は、サイバー防御の義務にも関連するデータ市場に照らして再考しました。 まず、Nisの実装ロジックを要約します。締め切り、実装サブジェクト、スキル、コンプライアンス義務の対象となる企業サブジェクトのタイプ、つまり、必須サービスのオペレーターとデジタルサービスプロバイダーです。
まず第一に、期限について言及します。NIS指令は、8月の2016以来、EU加盟国の実施中に実施されています。 加盟国は、国の法律で必要な実施措置を講ずるために21月を、また国家重要インフラの運営者を特定するために6追加の月を持っている。 実装の締め切りは9 May 2018、移行中、協力グループとCSIRTネットワークは9 February 2017から運営されています。 それはすぐにちょうど期限切れまたは9 2017 11月-2月9 2018から時間をかけて必要不可欠なサービスの事業者や負の影響の識別に加盟国を支援する必要があります/持つべき協力グループの重要な役割に留意しなければなりません。 Enisaの技術的支援は、委員会と調整機関(すなわち、協力グループとCSIRTのネットワーク)の両方にも言及すべきである。 しかし、国の参照機関、国家CSIRT、および単一の国家の連絡先を指定しなければならない。 我々はいくつかの加盟国は、すでにNISの転置の正式なプロセスを締結したことを聞いている間、私たちは欧州指令の実施のための政府への最近の国家代表団に明らかな遅れを登録するには、11月21に発効しました。 全国の状況はそう、しかし、上記の2つの調節メカニズムによって期待される実装を欠い2月2017における国家戦略枠組みの更新や運用計画を持っています。 私の意見では、NISの適用に関する委員会の疑問は、指令の見直しのための様々な条項によって指摘されるべきである。
記事。 23月9 2018により欧州委員会は欧州議会および理事会に必要不可欠なサービスの事業者の識別の一貫性に関する報告書を提出することを期待しました。 二年指令およびすべてのNIS 18ヶ月の発効後、のCSIRTネットワークは、結論と勧告が出現含め、業務協力から得られた経験を評価するレポートを生成します。 報告書は欧州委員会に送付され、指令の定期的な見直しが想定される。 NIS指令および関連規則の文脈や、海上輸送、金融、銀行、国の基準や、一般的な、EUの政策分野別、内GDPRとデータ保護の間に最初のシステムの観察固有の関係プライバシーの盾を含む国際的な規範と合意。 例えば、NISとGDPRの遵守の問題と、欧州の基準に準拠すべきプライバシー盾に関する想定された制裁がどのように解決されるのかは明らかではない。 その間、重要なサービスの事業者が想定する義務と制裁について見てみましょう。 「不可欠なサービスの運営者は、エネルギー:電気、石油、ガスの分野で、社会と経済に重要な役割を果たす民間企業または公的機関です。 交通:空気、鉄道、海、道路。 銀行業:信用機関。 金融市場インフラ:取引所および中央カウンターパーティー。 健康:医療環境。 水:飲料水の供給と分配。 デジタルインフラストラクチャ:具体的には、インターネットエクスチェンジポイント、ドメインネームシステム(DNS)サービスプロバイダ、TLD(トップレベルドメイン)レジストリです。
しかし、指令の「リサイタル」は、金融業界や海運業界などのセクターの規制が評価され、最終的には新基準の適用のために統合されることを示している。 締め切りが真実であると仮定すると、加盟国は、昨年11月に9に予定されていた必須サービスの運営者のリストをすでに作成していたはずである(art。 23)。 この目的のために、標準では「1。 加盟国は、9 11月2018内で、各セクターおよびサブセクターについて、その地域内に座席を持つ必須サービスの運営者を特定しなければならない。 必須サービスの運営者を特定するための基準は、次のとおりです。基本的な社会および/または経済活動の維持に不可欠なサービスを提供する。 このサービスの提供は、ネットワークと情報システムに依存します。 事故はこのサービスの提供に重大な悪影響を及ぼすことになる。 各加盟国はサービスのリストを設定する。 「このようにして、本質的なサービスの運営者は特定の名前と姓で識別されなければならないことが示唆されます。 「」基本的な」がトートロジーをさておき、それはすぐに対象の感受性を意味し、ヨーロッパおよび国際企業を含む重要なサービス事業者のための可能性の選択的同定、最初のバグ/潜在的な弱点は、治療法につながる可能性esoneranti NISによって予見されているように、異なる加盟国のリストに従って、恒久的な組織および/またはそれの「代理人」の領土内の場所を決定する。 大規模なサービス会社は、例えばエネルギー、水道、電気通信などのカスケード接続の仲介サービス会社のネットワークを使用するため 当局は、事故の場合にどのようにこれらの主題に関係し、親会社には関係しないのだろうか? 安全基準を遵守する義務はどのように理解されるべきですか? また、リスク評価とリスク評価の分析をどのレベルまで実施すべきか? 重大な負の影響の量的および質的な曖昧性は、当初は衝撃閾値の定義を非常に不安定にしています。 したがって、標準は、「重要な悪影響:利害関係者によって提供されるサービスに依存するユーザーの数。 その主体が提供するサービスによって附属書Ⅱに言及される他のセクターの依存性; 経済的および社会的活動または公衆の安全に、事故が規模および期間に関して有する可能性のある影響; 前記被験者の市場シェア; 事故の影響を受ける可能性がある地域に関する地理的な広がり。 このサービスの提供のための代替ツールの利用可能性を考慮して、十分なレベルのサービスを維持するための主体の重要性。 「部門別要因:適切な場合」。 ヨーロッパのクラスの最初のうち、既におよび/または他の場所にある施設へのデータとその領土にこの大きさの相対的な計量経済学的および社会的な見積りの措置を講じているか、その代表者の多国籍企業の場合、一つの不思議は、国家の領土にサービスを提供しています彼らは他の場所に位置しています。 事故の際に事件ごとに行動することを考えない限り、この場合、事故自体の通知のための明確な条件は失われます。
私たちは現在、次のように要約できるコンプライアンスにいます。 リスクアセスメントおよびリスク評価の義務は、EUおよび国際標準(例えば、NIST、COBIT、ISO、ISAなどのフレームワークなどのガイドラインおよび基準)に準拠する必要があります。 しかし、数十の基準のどれが個々の加盟国に優先されるのだろうか? また、製品とサービスに異なる影響を与えるさまざまなヨーロッパと米国の標準を持つデジタル製品とサービスベンダーの標準の「戦争」を引き起こす可能性がある3番目のアプリケーションのバグがあります。 個々の加盟国でデジタルサービスを提供する企業のロビー活動の圧力は明らかに考えられる。 加盟国が罰金を支払わなければならないことを通知する義務的通知。 これはすべて、対象となる影響の基準、すなわち、リスク評価と管轄と領土の検証の基準を共有することに対応していなければならない。 要するに、法的で実用的なvespaioまたは第4のアプリケーションバグです。
ノバソース