Η νέα οδηγία που ενέκρινε το ΕΚ την Τετάρτη 6 Ιουλίου προβλέπει ότι οι επιχειρήσεις που παρέχουν βασικές υπηρεσίες όπως ενέργεια, μεταφορές, τραπεζικές υπηρεσίες και υπηρεσίες υγείας, καθώς και ψηφιακές υπηρεσίες όπως μηχανές αναζήτησης και υπηρεσίες cloud computing, θα υποχρεωθούν να ενισχύσουν τα επίπεδα ασφάλειας ώστε να μπορούν να αντιμετωπίζουν ενδεχόμενες επιθέσεις στον κυβερνοχώρο.
Οι ρυθμίσεις για τα κοινά πρότυπα ασφάλειας στον κυβερνοχώρο και η ενίσχυση της συνεργασίας μεταξύ των ευρωπαϊκών χωρών θα ενισχύσει την προστασία των επιχειρήσεων και θα βοηθήσει στην πρόληψη επιθέσεων σε διασυνδεδεμένες υποδομές των χωρών της ΕΕ.
“Τα περιστατικά παραβίασης της ασφάλειας στον κυβερνοχώρο έχουν πολύ συχνά διασυνοριακό αντίκτυπο, με συνέπειες για περισσότερα από ένα κράτη μέλη της ΕΕ. Το σημερινό κατακερματισμένο σύστημα των διαφόρων εθνικών νομοθεσιών μας καθιστά όλους ευάλωτους και εγκυμονεί μεγάλους κινδύνους για την ασφάλεια της Ευρώπης στο σύνολό της. Η παρούσα οδηγία θα θεσπίσει ένα κοινό επίπεδο ασφαλείας για δίκτυα και πληροφοριακά συστήματα και θα ενισχύσει τη συνεργασία μεταξύ των κρατών μελών της ΕΕ”, δήλωσε ο εισηγητής του ΕΚ Andreas Schwab (ΕΛΚ, Γερμανία).
Οι χώρες της ΕΕ θα αποφασίζουν ποιες είναι οι επιχειρήσεις που θα εφαρμόσουν την οδηγία
Η νέα ευρωπαϊκή οδηγία ορίζει τις υποχρεώσεις για την τήρηση συγκεκριμένων επιπέδων ασφάλειας και την υποβολή εκθέσεων για “φορείς εκμετάλλευσης βασικών υπηρεσιών” σε τομείς όπως η ενέργεια, οι μεταφορές, η υγεία, οι τραπεζικές υπηρεσίες και η παροχή νερού. Τα κράτη μέλη της ΕΕ θα είναι εκείνα που θα ορίσουν ποιοι φορείς ανήκουν σε αυτούς τους τομείς, χρησιμοποιώντας συγκεκριμένα κριτήρια, όπως π.χ. εάν η παρεχόμενη υπηρεσία είναι ζωτικής σημασίας για την κοινωνία και την οικονομία και το κατά πόσον ένα περιστατικό παραβίασης ασφαλείας θα έχει σημαντικές επιπτώσεις στην παροχή της συγκεκριμένης υπηρεσίας.
Ορισμένοι πάροχοι ψηφιακών υπηρεσιών, όπως οι διαδικτυακές αγορές, οι μηχανές αναζήτησης και οι υπηρεσίες cloud computing, θα υποχρεωθούν επίσης να λάβουν επιπρόσθετα μέτρα προκειμένου να εξασφαλίσουν ένα επιθυμητό επίπεδο ασφαλείας για τις υποδομές τους, ενώ θα υποχρεούνται να αναφέρουν στις εθνικές αρχές τα όποια συμβάντα παραβιάσεων των συστημάτων ασφαλείας τους. Οι απαιτήσεις, ωστόσο, για τους παρόχους ψηφιακών υπηρεσιών θα είναι μικρότερες, ενώ θα εξαιρεθούν οι πολύ μικρές επιχειρήσεις.
Συγκρότηση ομάδας συνεργασίας
Θα συγκροτηθεί ομάδα συνεργασίας με σκοπό την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών. Όλες οι χώρες της ΕΕ θα εφαρμόσουν μια εθνική στρατηγική για την αντιμετώπιση των απειλών στον κυβερνοχώρο.
Τα κράτη μέλη θα δημιουργήσουν επίσης ένα δίκτυο “ομάδων απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT)”, οι οποίες θα χειρίζονται περιστατικά και απειλές, θα συζητούν διασυνοριακά ζητήματα ασφάλειας και θα προωθούν την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία.
Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) θα διαδραματίσει καίριο ρόλο στην εφαρμογή της οδηγίας, ιδίως σε ό,τι αφορά τη συνεργασία μεταξύ των ευρωπαϊκών κρατών.
Το ζήτημα της προστασίας των προσωπικών δεδομένων περιλαμβάνεται σε πολλές διατάξεις της οδηγίας.
Επόμενα βήματα
Η νέα οδηγία “σχετικά με τα μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση” θα δημοσιευθεί σύντομα στην Επίσημη Εφημερίδα της ΕΕ και θα τεθεί σε ισχύ την εικοστή ημέρα μετά τη δημοσίευσή της. Τα κράτη μέλη θα έχουν στη διάθεση τους 21 μήνες προκειμένου να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο και έξι επιπλέον μήνες για να καθορίσουν τους εθνικούς “φορείς εκμετάλλευσης βασικών υπηρεσιών”.