Предстоящая активация в 2016 году двух регулирующих устройств для кибербезопасности и защиты данных, запланированная на май 2018 года, требует размышлений о сложной логике и пересечениях основных приложений, которые могут привести к революции на национальном и европейском цифровом рынке в том виде, в каком мы его знаем. Количественный сценарий атак сигнализирует о тревожных тенденциях: 80 процентов европейских компаний пострадали как минимум от одного инцидента кибербезопасности в 2015 году, и в том же году количество инцидентов безопасности во всех отраслях в мире выросло на 38 процентов. Отчет CLUSIT за 2016-2017 годы сообщает нам, что эта тенденция носит резко уничижительный характер. В этом сценарии Директива ЕС 2016/1148 от 6 июля 2016 года (для краткости NIS, безопасность сетей и информационных систем) и Общее положение о защите данных (Gdpr) вмешиваются, чтобы регулировать, с одной стороны, масштаб экономики. цифровые технологии становятся более уязвимыми из-за последствий кибератак, так называемых «критических инфраструктур», с которыми поставщики цифровых решений связаны обязательствами и санкциями; с другой стороны, данные, относящиеся к «личным» данным, которыми обладают организации, компании, профессиональные фирмы и т. д. Сегодняшний день пересмотрен в свете рынка данных, который также связан с обязательством киберзащиты. Прежде всего, мы подходим к обобщению логики внедрения Nis: сроки, субъекты реализации, навыки и типы корпоративных субъектов, к которым приведут обязательства по соблюдению, то есть операторы основных услуг и поставщики цифровых услуг.
Прежде всего, мы упомянем о крайних сроках: Директива NIS вступила в силу с августа 2016 и ожидает выполнения странами-членами ЕС; государства-члены имеют 21 месяцев для принятия необходимых мер по внедрению в национальном законодательстве и 6 дополнительных месяцев для определения операторов национальных критических инфраструктур; крайним сроком для внедрения является 9 May 2018, на этапе перехода группа сотрудничества и сеть CSIRT работают с 9 February 2017. Следует сразу же отметить фундаментальную роль группы сотрудничества, которая должна / должна помогать государствам-членам идентифицировать операторов основных служб и негативные последствия за определенный период времени, т.е. от 9 Февраль 2017 до 9 Ноябрь 2018; техническую поддержку Enisa следует также упомянуть как для Комиссии, так и для координирующих органов, то есть для группы сотрудничества и сети CSIRT. Однако необходимо назначить национальный контрольный орган (ы), национальный CSIRT (ы) и единый национальный контактный пункт. В то время как мы получаем новости о том, что некоторые государства-члены уже завершили формальный процесс переноса ННГ, мы видим, что в недавней делегации в правительстве была отмечена государственная задержка с осуществлением европейских директив, которые вступили в силу в ноябре прошлого года 21. Национальная ситуация действительно обновила Национальную стратегическую структуру в феврале 2017 и Оперативный план, однако, как правило, отсутствует реализация, предусмотренная двумя упомянутыми нормативными положениями. На мой взгляд, сомнения Комиссии в отношении применения ННГ должны быть отмечены различными положениями для рассмотрения этой директивы.
Статья. 23 ожидает, что 9 May 2018 представит Европейскому парламенту и Совету доклад о согласованности в определении операторов основных служб. Спустя два года после вступления в силу Директивы NIS и каждого последующего 18 месяцев Сеть CSIRTs представит отчет для оценки опыта, полученного в ходе оперативного сотрудничества, включая выводы и рекомендации, которые возникли. Доклад будет отправлен в Комиссию, и будет предусмотрен периодический обзор этой директивы. Первое наблюдение за системой подразумевает взаимосвязь между Директивой ННГ и соответствующими контекстными стандартами, то есть Gdpr и защитой данных в целом, отраслевыми правилами ЕС, например, в морском транспорте и финансовом банковском обслуживании, национальных правилах и международными нормами и соглашениями, в том числе с защитой конфиденциальности. Например, неясно, как будет решена проблема соблюдения НИС и ВНП и санкций, предусмотренных в отношении экрана конфиденциальности, который должен соответствовать европейским стандартам. В то же время давайте рассмотрим обязательства и санкции, предусмотренные для операторов основных служб. «Операторами основных услуг являются частные компании или государственные органы, которые играют важную роль для общества и экономики в следующих секторах: энергетика: электроэнергия, нефть и газ. Транспорт: воздушный, железнодорожный, морской и автомобильный. Банковское дело: кредитные учреждения. Инфраструктуры финансового рынка: торговые центры и центральные контрагенты. Здоровье: окружающая среда для здоровья. Вода: водоснабжение и распределение питьевой воды. Цифровая инфраструктура: особенно точки интернет-обмена, поставщики услуг системы доменных имен (DNS) и реестры доменов верхнего уровня (TLD).
Но «декларации» Директивы информируют нас о том, что такие сектора, как финансовый банкинг и морской транспорт, имеют отраслевые правила, которые будут оцениваться и в конечном итоге интегрированы для применения нового стандарта. Предполагая, что крайние сроки верны, государства-члены должны были уже составить списки операторов основных услуг, запланированных для 9 в ноябре прошлого года (ст. 23). С этой целью стандарт гласит: «1. В 9 Ноябрь 2018 государства-члены должны определить для каждого сектора и подсектора операторов основных служб, имеющих место на своей территории. Критерии идентификации операторов основных услуг заключаются в следующем: лицо предоставляет услугу, которая необходима для поддержания фундаментальной социальной и / или экономической деятельности; предоставление этой услуги зависит от сети и информационных систем; авария окажет значительное неблагоприятное воздействие на предоставление этой услуги. Каждое государство-член устанавливает перечень услуг. «Таким образом, текст предполагает, что операторы основных служб должны быть идентифицированы с определенным именем и фамилией. Оставив в стороне тавтологию «существенного», мы сразу же подразумеваем деликатность темы, первую потенциальную ошибку / вульнусу, для которой возможно выборочная идентификация операторов основных служб, включая европейские и международные транснациональные корпорации, может привести к освобождению от лечения согласно спискам различных государств-членов, постоянной организации и / или территориального расположения «представителя» того же самого, как это предусмотрено ННГ. Поскольку крупные сервисные компании используют сети посреднических услуг, каскадные, например, в сфере энергетики, водоснабжения, телекоммуникаций и т. Д. как власти справятся с этим вопросом в случае аварий с этими субъектами, а не с материнскими компаниями? И как следует понимать обязательство соблюдать стандарты безопасности? И, опять же, до какого уровня должен проводиться анализ для оценки риска и оценки риска? Количественная и качественная неопределенность соответствующих негативных последствий делает определение порога воздействия очень неустойчивым с самого начала. Таким образом, стандарт предусматривает межсекторальные факторы для определения «значительных негативных последствий: количество пользователей, которые зависят от услуги, предоставляемой заинтересованной стороной; зависимость других секторов, упомянутых в Приложении II, службой, предоставляемой этим субъектом; воздействие, которое могут иметь несчастные случаи в плане масштаба и продолжительности, на экономическую и социальную деятельность или на общественную безопасность; рыночная доля указанного субъекта; географическое распространение по отношению к площади, на которую может повлиять авария; важность предмета для поддержания достаточного уровня обслуживания с учетом наличия альтернативных инструментов для предоставления этой услуги. «Также как« секторальные факторы: где это необходимо ». Интересно, кто из первых в европейском классе уже предоставил данные и оценки экономики и социальных масштабов этого масштаба, связанные с их территорией и / или учреждениями, расположенными где-либо еще, или представители которых в случае многонациональных компаний предоставляют услуги в стране, но они находятся в другом месте. Если никто не думает действовать, в каждом конкретном случае в случае несчастных случаев, но в этом случае отсутствуют четкие условия для уведомлений об авариях.
Теперь мы подошли к соблюдению, которое можно резюмировать следующим образом. Обязательства по оценке рисков и оценке рисков должны быть сопоставлены с соблюдением ЕС и международных стандартов: например, руководящие принципы и стандарты, такие как структура NIST, COBIT, ISO, ISA и т. Д. Но какой из десятков стандартов будет отдаваться предпочтение в отдельных государствах-членах? И вот третья ошибка приложения, которая может спровоцировать «войну» стандартов для поставщиков цифровых продуктов и услуг, с различными европейскими и американскими стандартами, которые оказывают различное влияние на продукты и услуги. Очевидно, что существует лоббистское давление компаний, предоставляющих цифровые услуги в отдельных странах-членах. Обязательные уведомления о том, какие государства-члены должны будут платить штрафы, если таковые имеются. Все это должно соответствовать объективным критериям воздействия, то есть общим критериям оценки риска и проверки юрисдикции и территориальности. Короче говоря, красивый законный и прагматичный vespaio или четвертая ошибка приложения.
Нова-источник