Υπερψηφίστηκε από το ΕΚ οδηγία για κοινά πρότυπα ασφάλειας υποδομών

Το Ευρωπαϊκό Κοινοβούλιο υπερψήφισε πρόταση «για την ενίσχυση της ασφάλειας στο Διαδίκτυο», η οποία πλέον συνιστά οδηγία που πρέπει να ενσωματωθεί στο εθνικό δίκαιο των κρατών μελών εντός 21 μηνών. Σύμφωνα με τη νέα οδηγία, τα κράτη μέλη θα ορίσουν τις «βασικές υπηρεσίες» που θα πρέπει να τηρούν ένα προκαθορισμένο επίπεδο ασφάλειας -σε τομείς όπως η ενέργεια, το νερό, οι μεταφορές, οι τραπεζικές και οι υπηρεσίες υγείας. Δεν εξαιρούνται οι μηχανές αναζήτησης και οι υπηρεσίες cloud computing και ορίζονται ομάδες άμεσης απόκρισης σε περιστατικά ιντερνετικών επιθέσεων.

«Τα περιστατικά παραβίασης της ασφάλειας στον κυβερνοχώρο έχουν πολύ συχνά διασυνοριακό αντίκτυπο, με συνέπειες για περισσότερα από ένα κράτη μέλη της ΕΕ. Το σημερινό κατακερματισμένο σύστημα των διαφόρων εθνικών νομοθεσιών μας καθιστά όλους ευάλωτους και εγκυμονεί μεγάλους κινδύνους για την ασφάλεια της Ευρώπης στο σύνολό της. Η παρούσα οδηγία θα θεσπίσει ένα κοινό επίπεδο ασφαλείας για δίκτυα και πληροφοριακά συστήματα και θα ενισχύσει τη συνεργασία μεταξύ των κρατών μελών της ΕΕ», δήλωσε ο εισηγητής του ΕΚ Andreas Schwab (ΕΛΚ, Γερμανία).

Η νέα οδηγία που ενέκρινε το ΕΚ την Τετάρτη 6 Ιουλίου προβλέπει ότι οι επιχειρήσεις που παρέχουν βασικές υπηρεσίες όπως ενέργεια, μεταφορές, τραπεζικές υπηρεσίες και υπηρεσίες υγείας, καθώς και ψηφιακές υπηρεσίες όπως μηχανές αναζήτησης και υπηρεσίες cloud computing, θα υποχρεωθούν να ενισχύσουν τα επίπεδα ασφάλειας ώστε να μπορούν να αντιμετωπίζουν ενδεχόμενες επιθέσεις στον κυβερνοχώρο.

Οι ρυθμίσεις για τα κοινά πρότυπα ασφάλειας στον κυβερνοχώρο και η ενίσχυση της συνεργασίας μεταξύ των ευρωπαϊκών χωρών θα ενισχύσει την προστασία των επιχειρήσεων και θα βοηθήσει στην πρόληψη επιθέσεων σε διασυνδεδεμένες υποδομές των χωρών της ΕΕ.

Οι χώρες της ΕΕ θα αποφασίζουν ποιες είναι οι επιχειρήσεις που θα εφαρμόσουν την οδηγία. Η νέα ευρωπαϊκή οδηγία ορίζει τις υποχρεώσεις για την τήρηση συγκεκριμένων επιπέδων ασφάλειας και την υποβολή εκθέσεων για «φορείς εκμετάλλευσης βασικών υπηρεσιών» σε τομείς όπως η ενέργεια, οι μεταφορές, η υγεία, οι τραπεζικές υπηρεσίες και η παροχή νερού. Τα κράτη μέλη της ΕΕ θα είναι εκείνα που θα ορίσουν ποιοι φορείς ανήκουν σε αυτούς τους τομείς, χρησιμοποιώντας συγκεκριμένα κριτήρια, όπως π.χ. εάν η παρεχόμενη υπηρεσία είναι ζωτικής σημασίας για την κοινωνία και την οικονομία και το κατά πόσον ένα περιστατικό παραβίασης ασφαλείας θα έχει σημαντικές επιπτώσεις στην παροχή της συγκεκριμένης υπηρεσίας.

Ορισμένοι πάροχοι ψηφιακών υπηρεσιών, όπως οι διαδικτυακές αγορές, οι μηχανές αναζήτησης και οι υπηρεσίες cloud computing, θα υποχρεωθούν επίσης να λάβουν επιπρόσθετα μέτρα προκειμένου να εξασφαλίσουν ένα επιθυμητό επίπεδο ασφαλείας για τις υποδομές τους, ενώ θα υποχρεούνται να αναφέρουν στις εθνικές αρχές τα όποια συμβάντα παραβιάσεων των συστημάτων ασφαλείας τους. Οι απαιτήσεις, ωστόσο, για τους παρόχους ψηφιακών υπηρεσιών θα είναι μικρότερες, ενώ θα εξαιρεθούν οι πολύ μικρές επιχειρήσεις.

Σύμφωνα με το ψήφισμα, θα συγκροτηθεί ομάδα συνεργασίας με σκοπό την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών. Όλες οι χώρες της ΕΕ θα εφαρμόσουν μια εθνική στρατηγική για την αντιμετώπιση των απειλών στον κυβερνοχώρο.

Ομάδες απόκρισης CSIRT

Τα κράτη μέλη θα δημιουργήσουν επίσης ένα δίκτυο «ομάδων απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT)», οι οποίες θα χειρίζονται περιστατικά και απειλές, θα συζητούν διασυνοριακά ζητήματα ασφάλειας και θα προωθούν την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία.

Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) θα διαδραματίσει καίριο ρόλο στην εφαρμογή της οδηγίας, ιδίως σε ό,τι αφορά τη συνεργασία μεταξύ των ευρωπαϊκών κρατών.

Το ζήτημα της προστασίας των προσωπικών δεδομένων περιλαμβάνεται σε πολλές διατάξεις της οδηγίας.

Η νέα οδηγία «σχετικά με τα μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση» θα δημοσιευθεί σύντομα στην Επίσημη Εφημερίδα της ΕΕ και θα τεθεί σε ισχύ την εικοστή ημέρα μετά τη δημοσίευσή της. Τα κράτη μέλη θα έχουν στη διάθεση τους 21 μήνες προκειμένου να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο και έξι επιπλέον μήνες για να καθορίσουν τους εθνικούς «φορείς εκμετάλλευσης βασικών υπηρεσιών».

tech.in.gr