Europska komisija uvodi nova pravila za kibernetičku sigurnost kako bi onemogućila pristup tehnološkim tvrtkama koje se smatraju rizičnima za sigurnost Europske unije (EU) premda je vjerojatno da će se do same primjene tih pravila pričekati još neko vrijeme.
Bruxelles je, naime, predstavio reviziju zakona o kibernetičkoj sigurnosti sa ciljem smanjenja rizika povezanih s takozvanim visokorizičnim opskrbljivačima za europske dobavne lance u području informacijsko-komunikacijske tehnologije.
U samom prijedlogu promjena se ne navode konkretna imena, no razvidno je da je spektar širok i pokriva tvrtke od kojih se nabavlja oprema za telekomunikacijske mreže, zatim podatkovne centre, usluge u oblaku ili platforme socijalnih mreža. Od europskih dužnosnika se ipak može čuti da promjene zapravo adresiraju zabrinutost vezanu ponajprije za kineske tehnološke kompanije kao što su Huawei ili ZTE, posebice u području mobilnih mreža.
Čini se da je potez Bruxellesa i svojevrsni izraz frustracije zbog neravnomjerne primjene dobrovoljnog EU alata za sigurnost 5G mreže koji je uveden 2020. godine i trebao je potaknuti zemlje članice da ograniče oslanjanje na visokorizične dobavljače. Ipak, to je u praksi primijenio tek manji broj članica.
Istodobno je očito da su kibernetički napadi u EU sve učestaliji što uključuje ucjene, špijunažu i pokušaje destabiliziranja ključne infrastrukture. Samo prošloga tjedna diljem EU-a zabilježeno ih je 150. Stoga nije čudo da je europska povjerenica za tehnologiju Henna Virkkunen opetovano upozoravala da dobrovoljne mjere nisu dovoljno jak alat. Ona je u obraćanju Europskom parlamentu u prosincu rekla da je potrebno strože i koordiniranije djelovanje jer visokorizični dobavljači ostaju prisutni u ključnim dijelovima europske 5G infrastrukture.
U svakom slučaju, prema novom revidiranom okviru Europska komisija će moći organizirati procjenu rizika na razini EU-a i, kada je to opravdano, podržati ograničenja ili zabranu uporabe određene opreme u osjetljivom dijelu infrastrukture.
Također, zemlje članice će zajednički procjenjivati rizike temeljem zemlje podrijetla dobavljača i implikacija za nacionalnu sigurnost. Najdalje je u području ocjenjivanja rizika otišao sektor telekomunikacija, a isti se pristup može proširiti na energetske sustave, transport, povezana vozila ili sigurnosnu opremu.
Bruxelles je naznačio da novi okvir ostaje neutralan u odnosu na zemlju izvora što znači da će se moći primijeniti na bilo kojega partnera, uključivo SAD u čijem konkretnom slučaju će možda, kako tenzije rastu, više pozornosti biti posvećeno upravljanju podacima i društvenim mrežama.
Novine podrazumijevaju i određeni ekonomski trošak, pa iz Europske komisije poručuju da će primjena biti postupna. Primjerice, u telekomunikacijskom sektoru operatorima će biti omogućeno prijelazno razdoblje od nekoliko godina za napuštanje visokorizičnih dobavljača.
U novom okviru će snažnija biti uloga europske agencije za kibernetičku sigurnost ENISA-e. Ona će dobiti više operativni mandat što uključuje rana upozorenja na nastajuće kibernetičke prijetnje i koordinaciju odgovora na veće kibernetičke incidente. Pritom će imati nadzor nad jedinstvenom europskom točkom izvješćivanja o incidentima kako bi se ubrzali odgovori i poboljšala prekogranična svijest o razvoju situacije.
Pročitajte još:
Na kraju, ali ipak ne manje važno, Bruxelles i u ovom području nastoji smanjiti administrativni teret za tvrtke. Konkretno, riječ je o postupcima certificiranja i smanjenju troškova usklađivanja što je posebice važno za tvrtke koje funkcioniraju prekogranično, odnosno u više država.
Sada prijedlog revizije zakona o kibernetičkoj sigurnosti treba biti raspravljen u Europskom parlament te ispregovaran sa zemljama članicama u nekima od kojih može doći do određenog otpora zbog bojazni od povećane uključenosti EU-a u odluke vezane za nacionalnu sigurnost.
