Vlády členských štátov dosiahli v kyberbezpečnosti prelomovú dohodu

Diplomatom sa podarilo zaistiť kompromis. [Pixabay]

Európska únia môže mať už čoskoro prvý systém na certifikovanie úrovne technologických produktov. Posledný krok, ktorý odobrí dobrovoľnosť certifikovania, ešte musí prejsť europarlamentom. Priemysel však varuje, že ak budú systém uplatňovať len niektoré krajiny, rozdrobí to spoločný digitálny trh.

Diplomatom sa podarilo zaistiť kompromis. Na nových pravidlách kybernetickej bezpečnosti sa reprezentanti vlád dohodli rýchlo a bez väčších sporov, napriek očakávaniam pozorovateľov. Prvý systém na certifikovanie úrovne technologických produktov dokonca odobrili pred hlasovaním v Európskom parlamente, ktoré je naplánované na jeseň.

Podľa zdrojov blízkych Parlamentu majú však poslanci, ako aj technologický priemysel k návrhu Komisie stále niekoľko závažných výhrad, čo by jej konečné prijímanie mohlo spomaliť. Otázna je najmä celoeurópska povinnosť systém implementovať. Dobrovoľnú bázu navrhuje Komisia a súhlasia aj zástupcovia vlád.

„Pozícia Rady môže oslabiť cieľ vytvoriť jednotný trh pre kybernetickú certifikáciu,“ povedala Iva Tashevová, manažérka asociácie DigitalEurope, ktorá v Bruseli zastupuje IT spoločnosti vrátane, spoločností Google či Microsoft.

Prvá európska legislatíva o kybernetickej bezpečnosti už platí v celej Únii

Členské štáty museli zapracovať prvú európsku legislatívu o kybernetickej bezpečnosti do včera, 9. mája. Slovenský zákon je už v platnosti od 1. apríla.

Dobrovoľne, či povinne?

Tashevová informovala, že asociácia má výhrady najmä k navrhovanej zmene, týkajúcej sa možnosti zavedenia povinnosti uplatňovať certifikačný systém EÚ, čo by „mohlo viesť k fragmentácii trhu“. Niektoré krajiny Únie by tak certifikáciu požadovali, iné by dohodu uplatňovali dobrovoľne.

O tom, či nový systém uplatňovať povinne alebo dobrovoľne sa sporia aj poslanci Európskeho parlamentu. Reinhard Bütikofer, nemecký europoslanec za Zelených uviedol, že dobrovoľnosť by mohla fungovať v oblastiach nízkeho rizika. „Ak však pôjde o vysoké riziká, ktoré môžu mať významný dosah, certifikačný mechanizmus založený na spoľahlivých normách musí byť povinný,“ uviedol pre EURACTIV.

Návrhy niektorých europoslancov kritizuje technologická priemyselná lobby. Podľa nich bude povinný certifikačný mechanizmus záťažou pre spoločnosti, nielen z časového, ale aj finančného hľadiska. Priemysel navyše požaduje, aby si spoločnosti mohli „samocertifikovať“ niektoré produkty.

Diplomati z členských krajín s týmto systémom súhlasia. Škála produktov, ktorú by si firmy mohli samé certifikovať je však omnoho skromnejšia, ako požaduje priemysel. Možnosť uplatňovania navyše vidia len na poskytnutie záruky v nízkej úrovni bezpečnosti.

Aliancia pre inovácie v oblasti IoT (Internet vecí), ktorá združuje desiatky obrovských firiem, vrátane firiem ako Vodafone, IBM, Philips, Siemens, či Samsung, hovorí aj o potrebe „škálovateľného rámca s účasťou viacerých zainteresovaných strán“. Podľa nej je nutné zapojiť priemysel do detailov bezpečnostných požiadaviek pre každú z ich úrovní.

Americký hacker: Výhodou európskeho kyberpriestoru je skepsa jeho používateľov

Jeff Moss je skúseným hackerom a zakladateľom dvoch z najväčších konferencií v oblasti počítačovej bezpečnosti na svete. Ak sa chcú Európania vyhnúť americkým volebným scenárom, energiu by mali sústreďovať tam, kde druhá strana nalieva najviac peňazí, hovorí.

Silná, či slabá ENISA?

Certifikačný systém by podľa návrhu Komisie mala mať na starosti Európska agentúra pre kybernetickú bezpečnosť ENISA. Nie všetky štáty však s posilňovaním právomoci agentúry, sídliacej v Aténach, súhlasia. Jedna z najmenších európskych agentúr s 84 zamestnancami a ročným rozpočtom 11 miliónov eur by ale mohla očakávať navýšenie zdrojov.

Komisia po výhradách členských štátov návrh o jej úlohe formulovala veľmi jemne. Úlohou ENISA má byť pomoc členským štátom rozvíjať vlastné národné agentúry pre kybernetické zabezpečenie, a preto by mala byť „výhradne doplnková k vlastným činnostiam členských štátov“.

Podľa Americkej obchodnej komory, ktorá návrh rovnako komentovala, bude úloha agentúry narastať najmä v oblasti vzdelávania a kampaní na zvyšovanie povedomia o osvedčených postupoch v oblasti kybernetickej bezpečnosti.

Vyšehradská štvorka – pripravená na kybernetický útok?

Hoci región doteraz nezasiahol žiaden masívny kybernetický útok, menšie incidenty sú pomerne časté. Krajiny Vyšehradu sa preto vyzbrojili odborníkmi a novými stratégiami, ktoré ich majú ochrániť.

Ďalšie otázniky

Nedostatky vidia odborníci aj ns ďalších miestach legislatívy, vrátane zodpovednosti za zabezpečenie softvéru. V súčasnosti totiž v Únii neexistuje žiadna zodpovednosť za čistý softvér, ktorý by bol porovnateľný so zodpovednosťou, ktorú nesú výrobcovia fyzických výrobkov. Poškodenie spôsobené chybami softvéru preto nemôže byť kompenzované.

Rovnako otázne stále ostáva, kde legislatíva nakoniec nakreslí deliacu čiaru medzi zodpovednosťou výrobcu a používateľa. „Existuje významná medzera medzi hardvérom a digitálnymi produktmi, ktoré je potrebné regulovať,“ uviedol pre portál Computerwoche právnik v oblasti digitálneho práva Philipp Reusch.

Komisia predstavuje konkrétne kroky na boj proti kybernetickým útokom v Únii

Okrem „prehlbovania spolupráce“ plánuje Únia aj novú agentúru, centrum a smernicu.

Ministri by mali návrh odobriť už budúci týždeň na stretnutí v Luxemburgu. Rýchle uzavretie dohody v Rade EÚ potešilo aj Európsku komisiu, ktorá sa snaží vyjednať kompromisy vo všetkých pätnástich zostávajúcich oblastiach svojej digitálnej agendy do konca roka.

Legislatíva pre kybernetickú bezpečnosť, ktorá vyšla z dielne Komisie v septembri minulého roka, sa v počiatkoch zdala byť tvrdým orieškom najmä pre Nemecko a Francúzsko. Práve oni viedli koalíciu znepokojených štátov, ktoré sa báli, že by nové pravidlá mohli ohroziť ich etablované a fungujúce certifikačné štandardy.