Предстојећа активација два регулаторна уређаја за кибернетичку сигурност и заштиту података за 2016. годину, заказана за мај 2018. године, захтева промишљање сложене логике и основних пресека апликација који би могли довести до револуције на националном и европском дигиталном тржишту каквог познајемо . Квантитативни сценарио напада сигнализира забрињавајуће трендове: 80 процената европских компанија претрпело је најмање један инцидент кибернетичке сигурности 2015. и исте године. Број безбедносних инцидената у свим индустријама света порастао је за 38 процената. За 2016-2017, извештај КЛУСИТ обавештава нас да је тренд драматично пејоративан. У овом сценарију, Директива ЕУ 2016/1148 од 6. јула 2016. (за краткотрајност НИС-а, сигурност мрежа и информационих система) и Општа уредба о заштити података (Гдпр) интервенишу да би с једне стране дигитално озбиљније регулисали обим економије изложени због последица кибернетичких напада, такозване „критичне инфраструктуре“ на коју су добављачи дигиталних решења повезани са сродним обавезама и санкцијама; с друге стране, оне које се односе на „личне“ податке које поседују организације, компаније, професионалне фирме итд. данас поново посећен у светлу тржишта података који је такође повезан са обавезом сајбер одбране. Пре свега, дошли смо да резимирамо логику примене за Ниш: рокове, примене предмета, вештине и врсте корпоративних субјеката до којих ће довести обавезе усклађености, тј. Оператери основних услуга и добављачи дигиталних услуга.
Пре свега, подсећамо на рокове: НИС директива је на снази од августа 2016. године и чека на примену у државама чланицама ЕУ; државе чланице имају 21 месец да предузму неопходне мере примене на нивоу националног законодавства и 6 додатних месеци да идентификују националне операторе критичне инфраструктуре; крајњи рок за транспозицију је 9. мај 2018. године; у транзицији, група за сарадњу и мрежа ЦСИРТ функционишу од 9. фебруара 2017. Треба одмах напоменути основну улогу групе за сарадњу која треба / треба да помогне државама чланицама у „ 'идентификација оператора основних услуга и негативних ефеката у временском периоду који је управо истекао, односно од 9. фебруара 2017. до 9. новембра 2018; Енисину техничку подршку такође треба поменути и за Комисију и за координациона тела или групу за сарадњу и мрежу ЦСИРТ-ова. У сваком случају, морају се одредити национални референтни органи, национални ЦСИРТ и јединствена национална контакт тачка. Иако добијамо вест да су неке државе чланице већ завршиле формални процес преношења НИС-а, бележимо национално кашњење евидентно у недавној Делегацији у Влади за пренос европских директива које су ступиле на снагу 21. новембра прошле године. Национална ситуација заиста има ажурирање Националног стратешког оквира у фебруару 2017. године и Оперативног плана којима, међутим, недостаје примена предвиђена са два поменута регулаторна уређаја. На сумње Комисије у вези са применом НИС-а, по мом мишљењу, треба истаћи различите одредбе за ревизију директиве.
Уметност. 23 захтева да Комисија до 9. маја 2018. године поднесе извештај Европском парламенту и Савету о доследности у идентификацији оператора основних услуга. Две године након ступања на снагу Директиве о НИС-у и сваких 18 месеци након тога, ЦСИРТс мрежа ће израдити извештај за процену искуства стеченог оперативном сарадњом, укључујући закључке и препоруке које су настале. Извештај ће бити послат Комисији и предвиђена је периодична ревизија директиве. Прво посматрање система односи се на однос између Директиве о НИС-у и сродних контекстуалних прописа или ГДПР-а и заштите података уопште, секторских прописа ЕУ, на пример у поморском саобраћају и финансијском банкарству, националних прописа и међународних стандарда и споразума, укључујући штит приватности. На пример, није јасно како ће се решити питање усклађености НИС-а и ГДПР-а и санкција предвиђених у вези са штитом приватности који би требало да подлежу европским стандардима. У међувремену, погледајмо обавезе и казне предвиђене за операторе основних услуга. „Оператери основних услуга су приватне компаније или јавна тела са важном улогом за друштво и економију у следећим секторима: Енергија: електрична енергија, нафта и гас. Превоз: ваздушни, железнички, поморски и друмски. Банкарство: кредитне институције. Инфраструктуре финансијског тржишта: места трговања и централне уговорне стране. Здравље: здравствена средина. Вода: снабдевање и дистрибуција воде за пиће. Дигитална инфраструктура - посебно тачке Интернет размене, добављачи услуга система имена домена (ДНС) и регистри домена највишег нивоа (ТЛД).
Али, „уводни изјави“ Директиве обавештавају нас да сектори попут финансијског банкарства и поморског саобраћаја имају секторске прописе које ће требати проценити и интегрисати ако је то потребно за потребе примене нове уредбе. Под претпоставком да су рокови поштовани, државе чланице су већ требале да саставе спискове оператора основних услуга заказане за прошли 9. новембар (чл. КСНУМКС). У ту сврху, норма каже: „1. До 9. новембра 2018. године, државе чланице ће за сваки сектор и подсектор идентификовати операторе основних услуга са седиштем на њиховој територији. Критеријуми за идентификовање оператора основних услуга су следећи: субјект пружа услугу која је од суштинског значаја за одржавање основних друштвених и / или економских активности; пружање ове услуге зависи од мреже и информационих система; несрећа би имала материјално негативне ефекте на пружање те услуге. Свака држава чланица успоставља списак услуга. ”Тако формулисан, текст сугерише да се оператери основних услуга морају идентификовати са одређеним„ именом и презименом ”. Ако оставимо по страни таутологију „суштинског“, одмах схватамо деликатност проблема, прву потенцијалну грешку / вулнус због које би могуће селективно идентификовање оператора основних услуга, укључујући европске и међународне мултинационалне компаније, могло довести до изузетих третмана. према списковима различитих држава чланица, стална пословна јединица и / или територијална локација „представника“ исте, као што захтева НИС. Будући да велике услужне компаније користе мреже посредничких компанија за саме услуге, каскадно, на пример у енергетици, води, телекомуникацијама итд. како ће се власти понашати у случају несрећа према овим субјектима, а не према матичним компанијама? И како треба схватити обавезу поштивања сигурносних стандарда? И, опет, у којој мери ће се вршити анализе за процену ризика и процену ризика? Квантитативна и квалитативна неодређеност релевантних негативних ефеката на почетку чини дефиницију прага утицаја врло несигурном. Стога стандард међу међусекторским факторима предвиђа дефиницију „значајних негативних ефеката: број корисника који зависе од услуге коју пружа заинтересована страна; зависност осталих сектора наведених у Анексу ИИ од услуга које пружа тај ентитет; утицај који би несреће могле да имају у смислу обима и трајања на економске и социјалне активности или на јавну безбедност; тржишни удео наведеног ентитета; географско ширење у односу на подручје које би могло бити погођено несрећом; значај ентитета за одржавање довољног нивоа услуге, узимајући у обзир доступност алтернативних инструмената за пружање ове услуге. „Као и„ секторски фактори: тамо где је то прикладно “. Пита се ко је, међу врховима европске класе, већ пружио економетријске и социјалне податке и процене ове величине који се односе на њихову територију и / или у установе смештене негде другде или чији представници у случају мултинационалних компанија пружају услуге на националној територији, али се налазе негде другде. Осим ако не планирате да поступите од случаја до случаја у случају несреће, али у овом случају не би постојали јасни предуслови за обавештавање о самим инцидентима.
Сада смо дошли до усклађености која се може сажети на следећи начин. Обавезе процене ризика и процене ризика морају бити повезане са усаглашеношћу са ЕУ и међународним стандардима: да би се разумеле смернице и стандарди као што су НИСТ оквир, ЦОБИТ, ИСО, ИСА итд. Али, којем од десетина стандарда ће се дати предност у појединим државама чланицама? И овде се отвара трећа грешка у апликацији за коју би могао да се покрене „рат“ стандарда за добављаче дигиталних производа и услуга, јер су европски и амерички стандарди различити и имају различит утицај на саме производе и услуге. Притисак лобирања компанија које пружају дигиталне услуге у појединим државама чланицама очигледно је замислив. Обавештења према којима ће државе чланице морати да ускладе санкције, ако их има, су обавезна. Све ово мора одговарати објективним критеријумима утицаја или заједничким критеријумима за процену ризика и верификацију надлежности и територијалности. Укратко, леп правни и прагматичан простор за индексирање или четврта грешка у апликацији.
извор Нова