Еврокомиссия представила новый пакет мер в ИБ-сфере, включающий официальное предложение о внесении поправок в действующий Закон о кибербезопасности (CSA).
Нормы, принятые Европарламентом и Советом ЕС в марте 2019 года, преследовали две основные цели: создание постоянной общеевропейской системы сертификации в области кибербеза для продуктов, услуг и процессов в сфере информационных и коммуникационных технологий (ИКТ) и усиление полномочий Агентства ЕС по кибербезопасности (ENISA).
Однако закон подвергся критике, особенно из-за его добровольного характера (многие компании, преимущественно малые и средние предприятия, избегают сертификации из-за высоких затрат) и медленного внедрения схем сертификации. Кроме того, он был разработан до расширения угроз со стороны искусственного интеллекта и усиления геополитической напряжённости во всем мире.
В результате Еврокомиссия взялась за обновление регуляторики и подготовила так называемый «Закон о кибербезопасности 2.0». В окончательном предложении определили четыре основные проблемы:
- Несоответствие между рамочной политикой Союза в ИБ-сфере и потребностями заинтересованных сторон.
- Задержка внедрения Европейской системы сертификации кибербезопасности (ECCF).
- Сложность и разнообразие политик, связанных с кибербезом, влияющих на безопасность ЕС.
- Увеличение рисков безопасности в цепочках поставок ИКТ.
Для решения этих проблем Комиссия считает нужным сформулировать пересмотренный регламент вокруг основных целей, включая создание новых механизмов для поддержки потребностей предприятий, расположенных в ЕС, и оказание им помощи в достижении соответствия требованиям, а также оптимизацию и упрощение существующих схем сертификации кибербезопасности, особенно ECCF.
Ключевые изменения подразумевают введение новой надёжной системы обеспечения безопасности цепочки поставок ИКT, разработку схем сертификации в течение 12 месяцев и их использование для презумпции соответствия законодательству Союза, обязательное снижение рисков для европейских сетей мобильной связи от поставщиков из третьих стран с высоким уровнем риска и, наконец, расширение роли ENISA, которая получит больше полномочий, ресурсов и обязанностей.
Структуру руководства Агентства также реорганизуют: появятся должность заместителя исполнительного директора для управления растущей рабочей нагрузкой ENISA и Апелляционный совет для разрешения споров, например, по вопросам сертификации.
Закон о кибербезопасности 2.0 вступит в силу немедленно после одобрения Европарламентом и Советом ЕС. После принятия государства-члены ЕС будут иметь один год на имплементацию директивы в национальное законодательство и передачу соответствующих текстов в Комиссию ЕС.
Исполнительный вице-президент Еврокомиссии по вопросам технологического суверенитета, безопасности и демократии Хенна Вирккунен заявила: «Благодаря новому пакету мер по кибербезу у нас появятся средства для лучшей защиты наших критически важных цепочек поставок ИКТ, а также для решительной борьбы с кибератаками. Это важный шаг в обеспечении нашего европейского технологического суверенитета и гарантировании большей безопасности для всех».
Усам Оздемиров
.png)