Rozporządzenie w sprawie bezpieczeństwa cybernetycznego

Przepisy dotyczące bezpieczeństwa cybernetycznego obejmują dyrektywy, które chronią technologię informatyczną i systemy komputerowe w celu zmuszenia firm i organizacji do ochrony swoich systemów i informacji przed cyberatakami , takimi jak wirusy , robaki , konie trojańskie , phishing , ataki typu „odmowa usługi” (DOS) , nieautoryzowany dostęp (kradzież własność intelektualna lub informacje poufne) oraz ataki na system kontroli . Dostępnych jest wiele środków zapobiegających cyberatakom.

bezpieczeństwa cybernetycznego obejmują zapory ogniowe , oprogramowanie antywirusowe , systemy wykrywania i zapobiegania włamaniom, szyfrowanie i hasła logowania . Podejmowano próby poprawy cyberbezpieczeństwa poprzez regulacje i współpracę między rządem a sektorem prywatnym, aby zachęcić do dobrowolnych ulepszeń cyberbezpieczeństwa. Organy regulacyjne branży, w tym organy nadzoru bankowego , zwróciły uwagę na ryzyko związane z cyberbezpieczeństwem i zaczęły lub planowały włączyć cyberbezpieczeństwo jako aspekt badań regulacyjnych.

Tło

W 2011 roku Departament Obrony wydał wytyczne zatytułowane Strategia Departamentu Obrony dotyczące działań w cyberprzestrzeni, w których sformułowano pięć celów: traktowanie cyberprzestrzeni jako domeny operacyjnej, zastosowanie nowych koncepcji obronnych w celu ochrony sieci i systemów Departamentu Obrony, partnerstwo z innymi agencjami i prywatnymi w dążeniu do „ogólnorządowej strategii bezpieczeństwa cybernetycznego”, do współpracy z międzynarodowymi sojusznikami w celu wspierania zbiorowego cyberbezpieczeństwa i wspierania rozwoju siły roboczej cybernetycznej zdolnej do szybkich innowacji technologicznych. W raporcie GAO z marca 2011 r. „Określono ochronę systemów informacyjnych rządu federalnego i narodowej infrastruktury cyberkrytycznej jako ogólnokrajowy obszar wysokiego ryzyka”, w którym odnotowano, że federalne bezpieczeństwo informacji zostało uznane za obszar wysokiego ryzyka od 1997 r. Od 2003 r. systemy chroniące infrastrukturę krytyczną , zwaną ochroną infrastruktury krytycznej cybernetycznej CIP.

W listopadzie 2013 Departament Obrony przedstawił nową regułę cyberbezpieczeństwa (78 Fed. Reg. 69373), która nałożyła na wykonawców pewne wymagania: zgodność z niektórymi standardami informatycznymi NIST , obowiązkowe zgłaszanie incydentów cyberbezpieczeństwa do Departamentu Obrony oraz „spływ w dół „klauzula, która stosuje te same wymagania do podwykonawców.

W raporcie Kongresu z czerwca 2013 r. stwierdzono, że istnieje ponad 50 ustaw dotyczących zgodności z cyberbezpieczeństwem. Federalna ustawa o zarządzaniu bezpieczeństwem informacji z 2002 r. (FISMA) jest jednym z kluczowych aktów regulujących federalne przepisy dotyczące cyberbezpieczeństwa.

Stany Zjednoczone

Rząd federalny

Istnieje niewiele federalnych przepisów dotyczących cyberbezpieczeństwa, a te, które istnieją, koncentrują się na określonych branżach. Trzy główne przepisy dotyczące cyberbezpieczeństwa to HIPAA z 1996 r. o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych , ustawa Gramm-Leach-Bliley z 1999 r. oraz ustawa o bezpieczeństwie wewnętrznym z 2002 r. , która obejmowała federalną ustawę o zarządzaniu bezpieczeństwem informacji (FISMA). Trzy przepisy nakazują organizacjom opieki zdrowotnej, instytucjom finansowym i agencjom federalnym ochronę ich systemów i informacji. Na przykład FISMA, która ma zastosowanie do każdej agencji rządowej, „wymaga opracowania i wdrożenia obowiązkowych polityk, zasad, standardów i wytycznych dotyczących bezpieczeństwa informacji”. Jednak przepisy nie dotyczą wielu branż związanych z komputerami, takich jak dostawcy usług internetowych (ISP) i firmy programistyczne. Ponadto przepisy nie precyzują, jakie środki cyberbezpieczeństwa muszą zostać wdrożone i wymagają jedynie „rozsądnego” poziomu bezpieczeństwa. Niejasny język tych przepisów pozostawia duże pole do interpretacji. Bruce Schneier , założyciel firmy Counterpane Internet Security z Cupertino, twierdzi, że firmy nie zainwestują wystarczających środków w cyberbezpieczeństwo, jeśli rząd ich do tego nie zmusi. Twierdzi również, że udane cyberataki na systemy rządowe nadal mają miejsce pomimo wysiłków rządu.

Zasugerowano, że ustawa o jakości danych zapewnia już Urzędowi Zarządzania i Budżetu ustawowe uprawnienia do wdrażania przepisów dotyczących ochrony infrastruktury krytycznej w procesie stanowienia przepisów ustawy o postępowaniu administracyjnym . Pomysł nie został w pełni zweryfikowany i wymagałby dodatkowej analizy prawnej przed rozpoczęciem tworzenia przepisów .

Rządy stanowe

Rządy stanowe próbowały poprawić bezpieczeństwo cybernetyczne, zwiększając widoczność publiczną firm o słabym poziomie bezpieczeństwa. W 2003 roku Kalifornia przyjęła ustawę Notice of Security Breach Act, która wymaga, aby każda firma, która przechowuje dane osobowe obywateli Kalifornii i która naruszyła bezpieczeństwo, musiała ujawnić szczegóły zdarzenia. Dane osobowe obejmują imię i nazwisko, numer ubezpieczenia społecznego , numer prawa jazdy, numer karty kredytowej lub informacje finansowe. Kilka innych stanów poszło za przykładem Kalifornii i przyjęło podobne przepisy dotyczące powiadamiania o naruszeniu bezpieczeństwa. Takie przepisy dotyczące powiadamiania o naruszeniu bezpieczeństwa karzą firmy za błędy w cyberbezpieczeństwie, dając im jednocześnie swobodę wyboru sposobu zabezpieczenia swoich systemów. Rozporządzenie stwarza również zachętę dla firm do dobrowolnego inwestowania w cyberbezpieczeństwo, aby uniknąć potencjalnej utraty reputacji i wynikających z niej strat ekonomicznych, które mogą wyniknąć z udanego cyberataku.

W 2004 r. legislatura stanu Kalifornia uchwaliła ustawę California Assembly Bill 1950, która dotyczy również firm posiadających lub przechowujących dane osobowe mieszkańców Kalifornii. Rozporządzenie nakazuje firmom utrzymanie rozsądnego poziomu bezpieczeństwa, a wymagane praktyki bezpieczeństwa obejmują również partnerów biznesowych. Rozporządzenie jest ulepszeniem standardu federalnego, ponieważ zwiększa liczbę firm wymaganych do utrzymania akceptowalnego standardu cyberbezpieczeństwa. Jednak, podobnie jak ustawodawstwo federalne, wymaga „rozsądnego” poziomu cyberbezpieczeństwa, co pozostawia duże pole do interpretacji do czasu ustalenia orzecznictwa.

Proponowane rozporządzenie

Kongres USA zaproponował liczne projekty ustaw, które rozszerzają przepisy dotyczące cyberbezpieczeństwa. Ustawa o bezpieczeństwie danych konsumentów i powiadamianiu zmienia ustawę Gramm-Leach-Bliley, wprowadzając wymóg ujawniania naruszeń bezpieczeństwa przez instytucje finansowe. Kongresmeni zaproponowali również „rozszerzenie Gramm-Leach-Bliley na wszystkie branże, które mają kontakt z informacjami finansowymi konsumentów, w tym na każdą firmę, która akceptuje płatności kartą kredytową”. Kongres zaproponował przepisy dotyczące cyberbezpieczeństwa, podobne do kalifornijskiej ustawy Notice of Security Breach Act dla firm przechowujących dane osobowe. Ustawa o ochronie i bezpieczeństwie informacji wymaga, aby brokerzy danych „zapewniali dokładność i poufność danych, uwierzytelniali i śledzili użytkowników, wykrywali nieautoryzowane działania i zapobiegali im oraz ograniczali potencjalne szkody dla osób fizycznych”.

Oprócz wymagania od firm poprawy bezpieczeństwa cybernetycznego, Kongres rozważa również ustawy kryminalizujące cyberataki. Ustawa Securely Protect Yourself Against Cyber ​​​​Trespass Act (SPY ACT) była ustawą tego typu. Koncentrował się na ustawie o phishingu i oprogramowaniu szpiegującym i został przyjęty 23 maja 2005 r. przez Izbę Reprezentantów Stanów Zjednoczonych, ale zmarł w Senacie USA . Ustawa „sprawia, że ​​niezgodne z prawem jest nieautoryzowane użycie komputera w celu przejęcia nad nim kontroli, modyfikacji jego ustawień, gromadzenia lub nakłaniania właściciela do ujawnienia danych osobowych, instalowania niechcianego oprogramowania oraz manipulowania oprogramowaniem zabezpieczającym, antyszpiegowskim lub antywirusowym” ”.

12 maja 2011 r. prezydent USA Barack Obama zaproponował pakiet reform legislacyjnych dotyczących cyberbezpieczeństwa w celu poprawy bezpieczeństwa obywateli USA, rządu federalnego i infrastruktury krytycznej. Nastąpił rok debaty publicznej i przesłuchań w Kongresie, w wyniku których Izba Reprezentantów przyjęła ustawę o udostępnianiu informacji, a Senat opracował kompromisową ustawę mającą na celu zrównoważenie bezpieczeństwa narodowego, prywatności i interesów biznesowych.

Joseph Lieberman i Susan Collins zaproponowali ustawę o cyberbezpieczeństwie z 2012 roku . Ustawa wymagałaby stworzenia dobrowolnych „standardów najlepszych praktyk” w zakresie ochrony kluczowej infrastruktury przed cyberatakami, do przyjęcia których firmy byłyby zachęcane poprzez zachęty, takie jak ochrona odpowiedzialności. Ustawa trafiła pod głosowanie w Senacie, ale nie przeszła. Obama wyraził swoje poparcie dla ustawy w Wall Street Journal , a także uzyskała ona poparcie urzędników wojskowych i bezpieczeństwa narodowego, w tym Johna O. Brennana , głównego doradcy Białego Domu ds. walki z terroryzmem. Według The Washington Post eksperci stwierdzili, że brak uchwalenia ustawy może sprawić, że Stany Zjednoczone będą „narażone na powszechne ataki hakerskie lub poważny cyberatak”. Ustawie sprzeciwili się republikańscy senatorowie, tacy jak John McCain , który obawiał się, że ustawa wprowadzi regulacje, które nie będą skuteczne i mogą stanowić „obciążenie” dla biznesu. Po głosowaniu w Senacie republikańska senator Kay Bailey Hutchison stwierdziła, że ​​sprzeciw wobec ustawy nie jest kwestią partyjną, ale nie reprezentuje właściwego podejścia do cyberbezpieczeństwa. głosowało za nią pięciu Republikanów. Wśród krytyków ustawy znaleźli się Amerykańska Izba Handlowa , grupy rzeczników, takie jak American Civil Liberties Union i Electronic Frontier Foundation , ekspert ds. cyberbezpieczeństwa Jody Westby i The Heritage Foundation . był wadliwy w swoim podejściu i reprezentował „zbyt natrętną rolę federalną”.

W lutym 2013 r. Obama zaproponował rozporządzenie wykonawcze w sprawie poprawy bezpieczeństwa cybernetycznego infrastruktury krytycznej. Reprezentuje najnowszą iterację polityki, ale nie jest uważana za prawo, ponieważ Kongres nie zajął się jeszcze nią. Ma na celu poprawę istniejących partnerstw publiczno-prywatnych poprzez poprawę terminowości przepływu informacji między DHS a firmami zajmującymi się infrastrukturą krytyczną. Nakazuje agencjom federalnym udostępnianie ostrzeżeń wywiadowczych o zagrożeniach cybernetycznych każdemu podmiotowi sektora prywatnego zidentyfikowanemu jako cel. Zleca również DHS usprawnienie procesu w celu przyspieszenia procesów poświadczania bezpieczeństwa dla odpowiednich podmiotów sektora publicznego i prywatnego, aby umożliwić rządowi federalnemu udostępnianie tych informacji na odpowiednich wrażliwych i tajnych poziomach. Kieruje rozwojem ram w celu zmniejszenia ryzyka cybernetycznego, uwzględniając aktualne najlepsze praktyki branżowe i dobrowolne standardy. Na koniec zleca agencjom federalnym zaangażowanym w włączenie ochrony prywatności i swobód obywatelskich zgodnie z zasadami uczciwej praktyki informacyjnej.

W styczniu 2015 roku Obama ogłosił nowy wniosek legislacyjny dotyczący cyberbezpieczeństwa. Propozycja została złożona w celu przygotowania Stanów Zjednoczonych na rosnącą liczbę cyberprzestępstw. We wniosku Obama przedstawił trzy główne wysiłki na rzecz bezpieczniejszej cyberprzestrzeni dla USA. W ramach pierwszego głównego działania podkreślono znaczenie umożliwienia wymiany informacji dotyczących cyberbezpieczeństwa. Umożliwiając to, wniosek zachęcił do wymiany informacji między rządem a sektorem prywatnym. Pozwoliłoby to rządowi dowiedzieć się, jakie główne zagrożenia cybernetyczne stoją przed prywatnymi firmami, a następnie pozwoliłoby rządowi zapewnić ochronę przed odpowiedzialnością firmom, które udostępniły swoje informacje. Co więcej, dałoby to rządowi lepsze wyobrażenie o tym, przed czym należy chronić Stany Zjednoczone. Innym głównym wysiłkiem, na który zwrócono uwagę w niniejszym wniosku, była modernizacja organów ścigania, tak aby były lepiej przygotowane do właściwego zwalczania cyberprzestępczości poprzez wyposażenie ich w narzędzia potrzebne do tego celu. Zaktualizowałby również klasyfikacje cyberprzestępstw i konsekwencji. Jednym ze sposobów, w jaki można to zrobić, byłoby uznanie za przestępstwo sprzedaży informacji finansowych za granicą. Kolejnym celem wysiłków jest ściganie cyberprzestępstw. Ostatnim poważnym wysiłkiem wniosku legislacyjnego było zobowiązanie przedsiębiorstw do zgłaszania konsumentom naruszeń danych, jeśli ich dane osobowe zostały poświęcone. Wymagając tego od firm, konsumenci są świadomi, kiedy grozi im kradzież tożsamości.

W lutym 2016 r. Obama opracował plan działania w zakresie bezpieczeństwa narodowego w zakresie cyberbezpieczeństwa (CNAP). Plan powstał w celu stworzenia długoterminowych działań i strategii w celu ochrony USA przed cyberzagrożeniami. Celem planu było poinformowanie opinii publicznej o rosnącym zagrożeniu cyberprzestępczością, poprawa zabezpieczeń cybernetycznych, ochrona danych osobowych Amerykanów oraz poinformowanie Amerykanów o tym, jak kontrolować bezpieczeństwo cyfrowe. Jednym z głównych punktów tego planu jest utworzenie „Komisji ds. Wzmocnienia Narodowego Cyberbezpieczeństwa”. Celem jest utworzenie Komisji, która składa się z zróżnicowanej grupy myślicieli z perspektywami, które mogą przyczynić się do sformułowania zaleceń dotyczących tworzenia silniejszego cyberbezpieczeństwa dla sektora publicznego i prywatnego. Drugim punktem kulminacyjnym planu jest zmiana rządowego IT. Nowe rządowe IT sprawi, że będzie można wprowadzić bezpieczniejsze IT. Trzecim punktem kulminacyjnym planu jest przekazanie Amerykanom wiedzy, w jaki sposób mogą zabezpieczyć swoje konta internetowe i uniknąć kradzieży danych osobowych poprzez uwierzytelnianie wieloskładnikowe. Czwartym punktem planu jest zainwestowanie w cyberbezpieczeństwo o 35% więcej pieniędzy, niż zainwestowano w 2016 roku.

Inne działania rządu

Oprócz regulacji rząd federalny próbował poprawić bezpieczeństwo cybernetyczne, przeznaczając więcej środków na badania i współpracując z sektorem prywatnym w celu opracowania standardów. W 2003 roku Narodowa Strategia Prezydenta na rzecz Zabezpieczenia Cyberprzestrzeni powierzyła Departamentowi Bezpieczeństwa Wewnętrznego (DHS) odpowiedzialność za rekomendacje bezpieczeństwa i badanie krajowych rozwiązań. Plan wzywa do wspólnych wysiłków między rządem a przemysłem „w celu stworzenia systemu reagowania kryzysowego na ataki cybernetyczne i zmniejszenia podatności kraju na takie zagrożenia”. W 2004 roku Kongres USA przeznaczył 4,7 miliarda dolarów na cyberbezpieczeństwo i osiągnięcie wielu celów określonych w Narodowa Strategia Prezydenta na rzecz Zabezpieczenia Cyberprzestrzeni. Niektórzy branżowi eksperci ds. bezpieczeństwa twierdzą, że Narodowa Strategia Prezydenta na rzecz Zabezpieczenia Cyberprzestrzeni to dobry pierwszy krok, ale niewystarczający. Bruce Schneier stwierdził: „Narodowa strategia zabezpieczania cyberprzestrzeni jeszcze niczego nie zabezpieczyła”. Jednak Narodowa Strategia Prezydenta wyraźnie mówi, że celem jest stworzenie ram dla właścicieli systemów komputerowych, aby poprawić ich bezpieczeństwo, a nie przejmowanie i rozwiązywanie problemu przez rząd. Jednak firmy, które uczestniczą we wspólnych wysiłkach nakreślonych w strategii, nie są zobowiązane do przyjęcia odkrytych rozwiązań bezpieczeństwa.

W Stanach Zjednoczonych Kongres USA stara się uczynić informacje bardziej przejrzystymi po tym, jak Ustawa o bezpieczeństwie cybernetycznym z 2012 r., która stworzyłaby dobrowolne standardy ochrony kluczowej infrastruktury, nie przeszła przez Senat. W lutym 2013 r. Biały Dom wydał zarządzenie zatytułowane „Poprawa cyberbezpieczeństwa infrastruktury krytycznej”, które umożliwia władzom wykonawczym dzielenie się informacjami o zagrożeniach z większą liczbą firm i osób. W kwietniu 2013 r. Izba Reprezentantów uchwaliła ustawę o udostępnianiu i ochronie danych wywiadowczych (CISPA), która wzywa do ochrony przed procesami sądowymi wymierzonymi w firmy ujawniające informacje o naruszeniu. Administracja Obamy zapowiedziała, że ​​może zawetować ustawę.

Indie

W świetle włamania na stronę internetową komercyjnego ramienia Indyjskiej Agencji Kosmicznej w 2015 roku, Antrix Corporation i rządowy program Digital India , ekspert ds . ustawodawstwo dotyczące bezpieczeństwa jako kluczowy wymóg dla Indii. Nie wystarczy po prostu umieścić cyberbezpieczeństwo jako część ustawy o IT. Musimy postrzegać cyberbezpieczeństwo nie tylko z perspektywy sektorowej, ale także z perspektywy krajowej.

Unia Europejska

Normy bezpieczeństwa cybernetycznego mają ogromne znaczenie w dzisiejszych firmach napędzanych technologią. Aby zmaksymalizować swoje zyski, korporacje wykorzystują technologię, prowadząc większość swoich operacji przez Internet. Ponieważ istnieje wiele zagrożeń związanych z operacjami międzysieciowymi, takie operacje muszą być chronione kompleksowymi i obszernymi przepisami. Istniejące przepisy dotyczące cyberbezpieczeństwa obejmują różne aspekty działalności biznesowej i często różnią się w zależności od regionu lub kraju, w którym działa firma. Ze względu na różnice w społeczeństwie, infrastrukturze i wartościach danego kraju, jeden nadrzędny standard bezpieczeństwa cybernetycznego nie jest optymalny do zmniejszenia ryzyka. Podczas gdy standardy amerykańskie stanowią podstawę działalności, Unia Europejska stworzyła bardziej dostosowane regulacje dla firm działających konkretnie w UE. Ponadto w świetle Brexitu ważne jest, aby zastanowić się, w jaki sposób Wielka Brytania zdecydowała się przestrzegać takich przepisów bezpieczeństwa.

Trzy główne regulacje w UE to ENISA, dyrektywa NIS i unijne RODO. Są częścią jednolitego rynku cyfrowego .

ENIZA

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) to agencja zarządzająca, która została pierwotnie utworzona na mocy rozporządzenia (WE) nr 460/2004 Parlamentu Europejskiego i Rady z dnia 10 marca 2004 r. w celu zwiększenia bezpieczeństwa sieci i informacji ( NIS) dla wszystkich operacji międzysieciowych w UE. ENISA działa obecnie na podstawie rozporządzenia (UE) nr 526/2013, które w 2013 r. zastąpiło pierwotne rozporządzenie. ENISA aktywnie współpracuje ze wszystkimi państwami członkowskimi UE, aby świadczyć szereg usług. W centrum ich działań są trzy czynniki:

• Zalecenia dla państw członkowskich dotyczące postępowania w przypadku naruszenia bezpieczeństwa
• Wsparcie w kształtowaniu i wdrażaniu polityki dla wszystkich państw członkowskich UE
• Bezpośrednie wsparcie ENISA w praktycznym podejściu do pracy z zespołami operacyjnymi w UE

ENISA składa się z zarządu, który polega na wsparciu dyrektora wykonawczego i Stałej Grupy Zainteresowanych Stron. Większość operacji jest jednak prowadzona przez szefów różnych działów.

ENISA wydała różne publikacje, które obejmują wszystkie najważniejsze kwestie dotyczące cyberbezpieczeństwa. Przeszłe i obecne inicjatywy ENISA obejmują unijną strategię dotyczącą chmury, otwarte standardy w technologii informacyjno-komunikacyjnej, unijną strategię bezpieczeństwa cybernetycznego oraz grupę koordynacyjną ds. bezpieczeństwa cybernetycznego. ENISA współpracuje również z istniejącymi międzynarodowymi organizacjami normalizacyjnymi, takimi jak ISO i ITU .

dyrektywa NIS

6 lipca 2016 r. Parlament Europejski wprowadził w życie dyrektywę w sprawie bezpieczeństwa sieci i systemów informatycznych ( dyrektywę NIS ).

Dyrektywa weszła w życie w sierpniu 2016 r., a wszystkie państwa członkowskie Unii Europejskiej miały 21 miesięcy na włączenie jej przepisów do prawa krajowego. Celem dyrektywy NIS jest stworzenie ogólnie wyższego poziomu cyberbezpieczeństwa w UE. Dyrektywa znacząco wpływa na dostawców usług cyfrowych (DSP) i operatorów usług kluczowych (OES). Operatorzy usług kluczowych obejmują wszelkie organizacje, na których działalność naruszenie bezpieczeństwa miałoby duży wpływ, gdyby zaangażowały się w działalność społeczną lub gospodarczą o krytycznym znaczeniu. Zarówno DSP, jak i OES są teraz odpowiedzialne za zgłaszanie poważnych incydentów bezpieczeństwa do zespołów reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT). Chociaż DSP nie podlegają tak rygorystycznym przepisom jak operatorzy usług podstawowych, dostawcy DSP, którzy nie są ustanowieni w UE, ale nadal działają w UE, nadal podlegają regulacjom. Nawet jeśli DSP i OES zlecają konserwację swoich systemów informatycznych stronom trzecim, dyrektywa NIS nadal pociąga ich do odpowiedzialności za wszelkie incydenty związane z bezpieczeństwem.

Państwa członkowskie UE są zobowiązane do stworzenia strategii dyrektywy w sprawie bezpieczeństwa sieci i informacji, która oprócz właściwych organów krajowych (NCA) i pojedynczych punktów kontaktowych (SPOC) obejmuje zespoły CSIRT. Zasoby te są odpowiedzialne za obsługę naruszeń bezpieczeństwa cybernetycznego w sposób minimalizujący skutki. Ponadto zachęca się wszystkie państwa członkowskie UE do wymiany informacji dotyczących bezpieczeństwa cybernetycznego.

Wymogi bezpieczeństwa obejmują środki techniczne, które zapobiegawczo zarządzają ryzykiem naruszenia bezpieczeństwa cybernetycznego. Zarówno DSP, jak i OES muszą dostarczać informacji, które pozwolą na dogłębną ocenę ich systemów informatycznych i polityki bezpieczeństwa. Wszystkie istotne incydenty należy zgłaszać zespołom CSIRT. Znaczące incydenty cyberbezpieczeństwa są określane na podstawie liczby użytkowników, których dotyczy naruszenie bezpieczeństwa, a także czasu trwania incydentu i zasięgu geograficznego incydentu. Powstaje NIS 2.

Tylko 23 państwa członkowskie w pełni wdrożyły środki zawarte w dyrektywie w sprawie bezpieczeństwa sieci i informacji. Nie wszczęto przeciwko nim postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego w celu wykonania dyrektywy i nie oczekuje się, aby miało ono miejsce w najbliższej przyszłości. To nieudane wdrożenie doprowadziło do fragmentacji zdolności w zakresie cyberbezpieczeństwa w całej UE, przy czym w różnych państwach członkowskich wdrażane są różne normy, wymogi dotyczące zgłaszania incydentów i wymogi w zakresie egzekwowania prawa.

Akt UE w sprawie cyberbezpieczeństwa

Unijny akt w sprawie cyberbezpieczeństwa ustanawia ogólnounijne ramy certyfikacji cyberbezpieczeństwa produktów, usług i procesów cyfrowych. Uzupełnia dyrektywę NIS. ENISA będzie odgrywać kluczową rolę w ustanawianiu i utrzymywaniu europejskich ram certyfikacji cyberbezpieczeństwa.

RODO UE

Unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) weszło w życie 14 kwietnia 2016 r., ale aktualna data wejścia w życie to 25 maja 2018 r. RODO ma na celu zapewnienie jednolitego standardu ochrony danych we wszystkich państwach członkowskich w UE. Zmiany obejmują przedefiniowanie granic geograficznych. Dotyczy to podmiotów, które działają na terenie UE lub zajmują się danymi dowolnego mieszkańca UE. Niezależnie od tego, gdzie dane są przetwarzane, jeśli przetwarzane są dane obywatela UE, podmiot podlega teraz przepisom RODO.

Grzywny są również znacznie surowsze w ramach RODO i mogą wynieść 20 mln EUR lub 4% rocznego obrotu podmiotu, w zależności od tego, która z tych kwot jest wyższa. Ponadto, podobnie jak w poprzednich regulacjach, wszelkie naruszenia danych mające wpływ na prawa i wolności osób fizycznych przebywających na terenie UE muszą zostać ujawnione w ciągu 72 godzin.

Nadrzędna rada, Rada Ochrony Danych UE, EDP, odpowiada za cały nadzór określony w RODO.

Zgoda odgrywa ważną rolę w RODO. Firmy, które przechowują dane dotyczące obywateli UE, muszą teraz oferować im również prawo do wycofania się z udostępniania danych tak samo łatwo, jak wtedy, gdy wyrażali zgodę na udostępnianie danych.

Ponadto obywatele mogą również ograniczyć przetwarzanie przechowywanych na nich danych i zezwolić przedsiębiorstwom na przechowywanie ich danych, ale nie na ich przetwarzanie, co stwarza wyraźne rozróżnienie. W przeciwieństwie do poprzednich regulacji, RODO ogranicza również przekazywanie danych obywatela poza UE lub podmiotowi trzeciemu bez uprzedniej zgody obywatela.

Proponowana dyrektywa NIS II

16 czerwca 2022 r. Parlament Europejski opublikował briefing dotyczący proponowanej Dyrektywy NIS II. Nowa dyrektywa ma na celu rozszerzenie zakresu obowiązków podmiotów zobowiązanych do podjęcia działań w celu zwiększenia ich zdolności w zakresie cyberbezpieczeństwa. Dyrektywa ma również na celu harmonizację podejścia UE do zgłaszania incydentów, wymogów bezpieczeństwa, środków nadzorczych i wymiany informacji. Parlament ma głosować nad dyrektywą w nadchodzących miesiącach.

Ustawa o cyfrowej odporności operacyjnej (DORA)

DORA tworzy ramy regulacyjne dotyczące cyfrowej odporności operacyjnej, zgodnie z którymi wszystkie firmy muszą upewnić się, że są w stanie wytrzymać, zareagować i odzyskać siły po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z ICT. Wymogi te są jednolite we wszystkich państwach członkowskich UE. Rozporządzenie będzie obowiązywać od 17 stycznia 2025 r. w odniesieniu do odpowiednich podmiotów finansowych oraz zewnętrznych dostawców usług ICT.

Ustawa o odporności cybernetycznej

Cyber ​​Resilience Act (CRA) to rozporządzenie zaproponowane 15 września 2022 r. przez Komisję Europejską, które określa wspólne standardy cyberbezpieczeństwa dla sprzętu i oprogramowania w UE.

Reakcje

Chociaż eksperci zgadzają się, że konieczne są ulepszenia w zakresie cyberbezpieczeństwa, nie ma zgody co do tego, czy rozwiązaniem jest więcej regulacji rządowych, czy więcej innowacji w sektorze prywatnym.

Wsparcie

Wielu urzędników państwowych i ekspertów ds. cyberbezpieczeństwa uważa, że ​​sektor prywatny nie rozwiązał problemu cyberbezpieczeństwa i że potrzebne są regulacje. Richard Clarke stwierdza, że ​​„przemysł reaguje tylko wtedy, gdy grozisz regulacją. Jeśli przemysł nie reaguje [na zagrożenie], musisz to zrobić”. Uważa on, że firmy programistyczne muszą być zmuszane do tworzenia bezpieczniejszych programów. Bruce Schneier popiera również przepisy, które zachęcają firmy programistyczne do pisania bezpieczniejszego kodu poprzez zachęty ekonomiczne. Przedstawiciel USA Rick Boucher ( D- VA ) proponuje poprawę bezpieczeństwa cybernetycznego poprzez pociągnięcie firm programistycznych do odpowiedzialności za luki bezpieczeństwa w ich kodzie. Oprócz poprawy bezpieczeństwa oprogramowania, Clarke uważa, że ​​niektóre branże, takie jak przedsiębiorstwa użyteczności publicznej i dostawcy usług internetowych, wymagają regulacji.

Sprzeciw

Z drugiej strony wielu menedżerów i lobbystów z sektora prywatnego uważa, że ​​więcej regulacji ograniczy ich zdolność do poprawy cyberbezpieczeństwa. Harris Miller, lobbysta i prezes Information Technology Association of America , uważa, że ​​regulacje hamują innowacje. Rick White, były prawnik korporacyjny oraz prezes i dyrektor generalny grupy lobbystycznej TechNet, również sprzeciwia się większej regulacji. Stwierdza, że ​​„sektor prywatny musi nadal być w stanie wprowadzać innowacje i dostosowywać się w odpowiedzi na nowe metody ataków w cyberprzestrzeni, iw tym celu chwalimy prezydenta Busha i Kongres za stosowanie powściągliwości regulacyjnej”.

Innym powodem, dla którego wielu dyrektorów sektora prywatnego sprzeciwia się regulacjom, jest to, że są one kosztowne i wiążą się z nadzorem rządu nad przedsiębiorstwami prywatnymi. Firmy są tak samo zaniepokojone regulacjami ograniczającymi zyski, jak i regulacjami ograniczającymi ich elastyczność w skutecznym rozwiązywaniu problemów związanych z cyberbezpieczeństwem.

Zobacz też

• Centrum Koordynacyjne CERT
• Normy bezpieczeństwa cybernetycznego
• Ustawa o udostępnianiu informacji o cyberbezpieczeństwie
• Domyślne hasło
• Lista naruszeń danych
• Przejęcie urządzenia medycznego
• Krajowy Wydział Bezpieczeństwa Cybernetycznego
• Narodowa strategia zabezpieczenia cyberprzestrzeni
• Dyrektywa prezydencka
• Proaktywna cyberobrona
• Zespół gotowości komputerowej w Stanach Zjednoczonych
• Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych

Notatki

1. ^ „ Chronologia naruszeń danych zgłoszonych od czasu incydentu w ChoicePoint ”. (2005). Źródło 13 października 2005 r.
2. ^ „ Ścieżka rachunku elektronicznego centrum informacji o prywatności: śledzenie prywatności, wypowiedzi i swobód obywatelskich na 109. kongresie ”. (2005). Źródło 23 października 2005 r.
3. ^ „ Jak działają wirusy komputerowe ”. (2005). Źródło 10 października 2005 r.
4. ^ „ Narodowa strategia zabezpieczania cyberprzestrzeni ”. (2003). Źródło 14 grudnia 2005 r.
5. ^ " Zawiadomienie o naruszeniu bezpieczeństwa - sekcje kodeksu cywilnego 1798.29 i 1798.82 - 1798.84 ." 2003). Źródło 23 października 2005 r.
6. ^ „ Wywiad z Richardem Clarke'em ”. (2003). Źródło 4 grudnia 2005 r.
7. ^ Gordon, LA, Loeb, MP, Lucyshyn, W. & Richardson, R. (2005). „ Badanie dotyczące przestępczości komputerowej i bezpieczeństwa z 2005 r. CSI/FBI ”. Źródło 10 października 2005 r.
8. ^ Heiman, BJ (2003). Rozporządzenie dotyczące cyberbezpieczeństwa jest tutaj . Konferencja bezpieczeństwa RSA , Waszyngton, DC Źródło 17 października 2005 r.
9. ^ Kirby, C. (2003, 4 grudnia 2003). „ Forum koncentruje się na cyberbezpieczeństwie ”. Kronika San Francisco.
10. ^ Lemos R. (2003). „ Bush przedstawia ostateczny plan bezpieczeństwa cybernetycznego ”. Źródło 4 grudnia 2005 r.
11. ^ Menn, J. (2002, 14 stycznia 2002). „ Luki w zabezpieczeniach mogą być pułapką dla Microsoftu ”. Los Angeles Times, s. C1.
12. ^ Rasmussen, M. i Brown, A. (2004). „ Prawo stanu Kalifornia ustanawia obowiązek dbałości o bezpieczeństwo informacji ”. Źródło 31 października 2005 r.
13. ^ Schmitt, E., Charron, C., Anderson, E. i Joseph, J. (2004). „ Co proponowane przepisy dotyczące danych będą oznaczać dla marketerów ”. Źródło 31 października 2005 r.
14. Bibliografia _ (2 sierpnia 2012) „ Ustawa o cyberbezpieczeństwie przegrywa w Senacie ”. Dostęp 29 sierpnia 2012 r.
15. Bibliografia _ (23 lipca 2012 r.) „ Ustawa o bezpieczeństwie cybernetycznym z 2012 r.: poprawiona ustawa o cyberprzestrzeni wciąż ma problemy ”. Fundacja Dziedzictwa. Dostęp 20 sierpnia 2012 r.
16. ^ Ed O'Keefe i Ellen Nakashima. (2 sierpnia 2012 r.) „ Ustawa o cyberbezpieczeństwie przegrywa w Senacie ”. Washington Post. Dostęp 20 sierpnia 2012 r.
17. Bibliografia _ (20 lipca 2012 r.) „ Obama popiera nową ustawę o cyberbezpieczeństwie ”. Mieszalny. Dostęp 29 sierpnia 2012 r.
18. Bibliografia _ (4 sierpnia 2012) „ Po odrzuceniu przez Senat ustawy o cyberbezpieczeństwie, Obama rozważa opcję zarządzenia wykonawczego ”. Wzgórze. Dostęp 20 sierpnia 2012 r.
19. Bibliografia _ (16 sierpnia 2012) „ Nie ma partyzantki nad ustawą o cyberbezpieczeństwie, mówi senator GOP ”. Komputerowy świat. Dostęp 29 sierpnia 2012 r.
20. Bibliografia _ (2 sierpnia 2012 r.) „ Ponieważ ustawa o cyberbezpieczeństwie odrzucona w Senacie, radujcie się obrońcy prywatności ”. Moduł TPM. 29 sierpnia 2012 r.
21. Bibliografia _ (2 sierpnia 2012) „ Ustawa o cyberbezpieczeństwie utknęła w Senacie ”. Mieszalny. Dostęp 29 sierpnia 2012 r.
22. ^ Jody Westby (13 sierpnia 2012) „ Kongres musi wrócić do szkoły w zakresie legislacji cybernetycznej ”. Forbesa. Dostęp 20 sierpnia 2012 r.