Nadchádzajúca aktivácia dvoch regulačných zariadení na rok 2016 pre kybernetickú bezpečnosť a ochranu údajov, naplánovaná na máj 2018, si vyžaduje zamyslenie sa nad komplexnou logikou a základnými aplikačnými prienikmi, ktoré by mohli viesť k revolúcii na národnom a európskom digitálnom trhu, ako ho poznáme. . Kvantitatívny scenár útokov signalizuje znepokojujúce trendy: 80 percent európskych spoločností utrpelo v roku 2015 a v tom istom roku aspoň jeden kybernetický bezpečnostný incident Počet bezpečnostných incidentov vo všetkých odvetviach na svete vzrástol o 38 percent. Pre roky 2016-2017 nás CLUSIT Report informuje, že trend je dramaticky pejoratívny. V tomto scenári zasahujú Smernica EÚ 2016/1148 zo 6. júla 2016 (pre stručnosť NIS, bezpečnosť sietí a informačných systémov) a Všeobecné nariadenie o ochrane údajov (Gdpr), aby na jednej strane serióznejšie regulovali rozsah ekonomiky. vystavené následkom kybernetických útokov takzvaných „kritických infraštruktúr“, ku ktorým sú dodávatelia digitálnych riešení priradení k súvisiacim povinnostiam a sankciám; na druhej strane údaje týkajúce sa „osobných“ údajov, ktoré uchovávajú organizácie, spoločnosti, odborné firmy atď. dnes prehodnotený vzhľadom na trh s údajmi spojený aj s povinnosťou kybernetickej obrany. V prvom rade si zhrnieme logiku implementácie pre Nis: termíny, implementačné subjekty, zručnosti a typy korporátnych subjektov, ku ktorým budú povinnosti compliance viesť, t. j. prevádzkovatelia základných služieb a poskytovatelia digitálnych služieb.
V prvom rade pripomíname termíny: Smernica NIS je v platnosti od augusta 2016 a čaká na implementáciu členskými štátmi EÚ; členské štáty majú 21 mesiacov na prijatie potrebných vykonávacích opatrení na úrovni vnútroštátnych právnych predpisov a ďalších 6 mesiacov na určenie vnútroštátnych prevádzkovateľov kritickej infraštruktúry; termín na transpozíciu je 9. máj 2018, pri prechode kooperačná skupina a sieť CSIRT fungujú od 9. februára 2017. Ihneď treba poznamenať základnú úlohu kooperačnej skupiny, ktorá by mala/mala pomáhať členským štátom pri tzv. ' identifikácia prevádzkovateľov základných služieb a negatívnych vplyvov v období, ktoré práve uplynulo, tj od 9. februára 2017 do 9. novembra 2018; Treba spomenúť aj technickú podporu Enisa pre Komisiu, ako aj pre koordinačné orgány alebo skupinu pre spoluprácu a sieť CSIRT. V každom prípade sa musí určiť vnútroštátny referenčný orgán, národný tím CSIRT a jednotné národné kontaktné miesto. Zatiaľ čo dostávame správy, že niektoré členské štáty už ukončili formálny proces transpozície NIS, zaznamenávame národné oneskorenie, ktoré je evidentné na nedávnej Delegácii vo vláde na transpozíciu európskych smerníc, ktoré nadobudli platnosť 21. novembra minulého roku. Vnútroštátna situácia skutočne obsahuje aktualizáciu národného strategického rámca vo februári 2017 a operačného plánu, ktorým však chýba implementácia, ktorú predpokladajú dve uvedené regulačné zariadenia. Pokiaľ ide o pochybnosti Komisie týkajúce sa uplatňovania NIS, podľa môjho názoru je potrebné poukázať na rôzne ustanovenia týkajúce sa revízie smernice.
Umenie. 23 vyžaduje, aby Komisia do 9. mája 2018 predložila Európskemu parlamentu a Rade správu o jednotnosti pri identifikácii prevádzkovateľov základných služieb. Dva roky po nadobudnutí účinnosti smernice o bezpečnosti sietí a informácií a potom každých 18 mesiacov vypracuje sieť CSIRT správu na vyhodnotenie skúseností získaných s operačnou spoluprácou vrátane záverov a odporúčaní, ktoré sa objavili. Správa bude zaslaná Komisii a predpokladá sa pravidelná revízia smernice. Prvý systémový postreh sa týka vzťahu medzi smernicou NIS a súvisiacimi kontextovými predpismi alebo GDPR a ochranou údajov vo všeobecnosti, sektorovými predpismi EÚ, napríklad v námornej doprave a finančnom bankovníctve, vnútroštátnymi predpismi a medzinárodnými normami a dohodami, vrátane štít ochrany osobných údajov. Nie je napríklad jasné, ako sa bude riešiť otázka dodržiavania NIS a GDPR a predpokladané sankcie v súvislosti so štítom na ochranu osobných údajov, ktorý by mal podliehať európskym štandardom. Medzitým sa pozrime na povinnosti a sankcie, ktoré sa predpokladajú pre prevádzkovateľov základných služieb. „Prevádzkovatelia základných služieb sú súkromné spoločnosti alebo verejné orgány, ktoré zohrávajú dôležitú úlohu pre spoločnosť a hospodárstvo v týchto sektoroch: Energetika: elektrina, ropa a plyn. Doprava: letecká, železničná, námorná a cestná. Bankovníctvo: úverové inštitúcie. Infraštruktúry finančného trhu: obchodné miesta a centrálne protistrany. Zdravie: zdravotnícke prostredie. Voda: zásobovanie a rozvod pitnej vody. Digitálna infraštruktúra – konkrétne internetové výmenné body, poskytovatelia služieb DNS (Domain Name System) a registre domén najvyššej úrovne (TLD).
Ale „odôvodnenia“ smernice nás informujú, že sektory ako finančné bankovníctvo a námorná doprava majú sektorové nariadenia, ktoré bude potrebné vyhodnotiť a integrovať, ak to bude potrebné na účely uplatňovania nového nariadenia. Za predpokladu dodržania termínov by členské štáty už mali zostaviť zoznamy prevádzkovateľov základných služieb naplánovaných na 9. novembra minulého roku (čl. 23). Na tento účel norma uvádza: „1. Do 9. novembra 2018 členské štáty určia pre každý sektor a podsektor prevádzkovateľov základných služieb so sídlom na ich území. Kritériá na identifikáciu prevádzkovateľov základných služieb sú tieto: subjekt poskytuje službu, ktorá je nevyhnutná na udržanie základných sociálnych a/alebo ekonomických činností; poskytovanie tejto služby závisí od siete a informačných systémov; nehoda by mala závažné nepriaznivé účinky na poskytovanie tejto služby. Každý členský štát vypracuje zoznam služieb. „Takto formulovaný text naznačuje, že prevádzkovatelia základných služieb musia byť identifikovaní konkrétnym „menom a priezviskom“. Ak ponecháme bokom tautológiu „podstatného“, okamžite pochopíme chúlostivosť problému, prvú potenciálnu chybu / vulnus, pre ktorú by prípadná selektívna identifikácia prevádzkovateľov základných služieb vrátane európskych a medzinárodných nadnárodných spoločností mohla viesť k oslobodeniu od dane. podľa zoznamov rôznych členských štátov stála prevádzkareň a/alebo teritoriálne umiestnenie „zástupcu“ tohto štátu, ako to vyžaduje NIS. Nakoľko veľké spoločnosti poskytujúce služby využívajú siete sprostredkovateľských spoločností na samotné služby, v kaskáde, napríklad v energetike, vodárstve, telekomunikáciách atď. ako sa budú úrady správať v prípade nehôd k týmto subjektom a nie k materským spoločnostiam? A ako treba chápať povinnosť dodržiavať bezpečnostné normy? A opäť, do akej miery by sa malo vykonávať hodnotenie rizík a analýzy hodnotenia rizík? Kvantitatívna a kvalitatívna vágnosť príslušných negatívnych účinkov spôsobuje, že definícia prahu vplyvu je na začiatku veľmi neistá. Norma tak medzi medzisektorovými faktormi poskytuje definíciu „významných negatívnych vplyvov: počet používateľov, ktorí sú závislí od služby poskytovanej záujemcom; závislosť iných sektorov uvedených v prílohe II od služby poskytovanej týmto subjektom; vplyv, ktorý by nehody mohli mať, pokiaľ ide o rozsah a trvanie, na hospodárske a sociálne činnosti alebo na verejnú bezpečnosť; trhový podiel uvedeného subjektu; geografické rozšírenie vo vzťahu k oblasti, ktorá by mohla byť postihnutá nehodou; význam subjektu pre udržanie dostatočnej úrovne služby s prihliadnutím na dostupnosť alternatívnych nástrojov na poskytovanie tejto služby. "Ako" sektorové faktory: ak je to vhodné ". Pýtame sa, kto medzi prvými v európskej triede už poskytol ekonometrické a sociálne údaje a odhady takéhoto rozsahu týkajúce sa ich územia a/alebo zariadení nachádzajúcich sa inde alebo koho zástupcovia v prípade nadnárodných spoločností poskytujú služby na vnútroštátnom území? ale nachádzajú sa inde. Pokiaľ neplánujete v prípade nehody konať od prípadu k prípadu, no v tomto prípade by neexistovali jasné podmienky na oznamovanie samotných incidentov.
Teraz sa dostávame k súladu, ktorý možno zhrnúť nasledovne. Povinnosti hodnotenia rizika a hodnotenia rizika musia byť v korelácii s dodržiavaním noriem EÚ a medzinárodných noriem: treba chápať usmernenia a normy, ako je rámec NIST, COBIT, ISO, ISA atď. Ktoré z desiatok noriem však budú preferované v jednotlivých členských krajinách? A tu sa otvára tretia chyba aplikácie, pre ktorú by sa mohla rozpútať „vojna“ noriem pre predajcov digitálnych produktov a služieb, keďže európske a americké normy sú odlišné a majú rôzny vplyv na samotné produkty a služby. Lobistický tlak spoločností poskytujúcich digitálne služby v jednotlivých členských krajinách je samozrejme mysliteľný. Oznámenia, ku ktorým budú musieť členské štáty priradiť sankcie, ak nejaké budú, sú povinné. To všetko musí zodpovedať objektívnym kritériám vplyvu alebo spoločným kritériám hodnotenia rizika a overovaniu jurisdikcie a teritoriality. Skrátka pekný legálny a pragmatický priestor na prehľadávanie alebo štvrtá chyba aplikácie.
Nova zdroj