Σχέδιο για την ασφάλεια του κυβερνοχώρου της Ευρωπαϊκής Ένωσης

Νέα έκθεση για την ανάπτυξη των υπηρεσιών cloud

Της Χρύσας Τσιώτση, 

 

Η ανάπτυξη του cloud computing είναι δίκοπο μαχαίρι, λαμβάνοντας μάλιστα υπόψη ότι ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών έχει δημοσιεύσει μια νέα έκθεση σε σχέση με τα cloud δίκτυα, σχεδόν μία εβδομάδα μετά την ανακοίνωση της Ευρωπαϊκής Επιτροπής για τα σχέδιά της για νέα κατεύθυνση στην Ασφάλεια Δικτύων και Πληροφοριών (NIS).

Συγκεκριμένα, στις 7 Φλεβάρη του 2013, η Ευρωπαϊκή Επιτροπή, μαζί με τον εκπρόσωπο της Ένωσης για Θέματα Εξωτερικής Πολιτικής και Πολιτικής Ασφαλείας, ανακοίνωσε τη στρατηγική της για την ασφάλεια στον κυβερνοχώρο της Ευρωπαϊκής Ένωσης. Στο πλαίσιο αυτής της στρατηγικής, η Ευρωπαϊκή Επιτροπή πρότεινε, επίσης, ένα σχέδιο σχετικά με τα μέτρα ώστε να εξασφαλιστεί ένα κοινό επίπεδο Ασφάλειας Δικτύων και Πληροφοριών («NIS») σε ολόκληρη την ΕΕ.

Η προτεινόμενη οδηγία είναι το όχημα για την υλοποίηση αυτής της στρατηγικής ασφαλείας στον κυβερνοχώρο. Εισάγει μια σειρά μέτρων για την ενίσχυση της ασφάλειας στον κυβερνοχώρο, όπως τα εξής:

 

  • Η απαίτηση για τα κράτη μέλη της ΕΕ να υιοθετήσουν μια στρατηγική ασφάλειας δικτύων και πληροφοριών (NIS) και να επιτρέψουν στις εθνικές αρχές NIS να αναλάβουν την πρόληψη αλλά και την αντιμετώπιση περιστατικών σε σχέση με την ασφάλεια δικτύων και πληροφοριών.

  • Η υποχρέωση των φορέων του για “κρίσιμες” υποδομές σε ορισμένους τομείς 1) (χρηματοοικονομικές υπηρεσίες, τις μεταφορές, την ενέργεια κ.λπ.), (2) οι πάροχοι υπηρεσιών στον τομέα των πληροφοριών και (3) οι δημόσιες διοικήσεις να πάρουν τα κατάλληλα μέτρα ασφαλείας και να καταγράφουν περιστατικά που έχουν σοβαρές συνέπειες σχετικά με τις υπηρεσίες που παρέχουν (π.χ., η μη διαθεσιμότητα της υπηρεσίας cloud εξαιτίας της οποίας οι χρήστες δεν θα μπορούν να έχουν πρόσβαση στα δεδομένα τους).

  • Η δημιουργία ενός δικτύου συνεργασίας για τη διευκόλυνση των εθνικών αρχών NIS, τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών, την Ευρωπαϊκή Επιτροπή και, μερικές φορές, το Europol Cybercrime Center, που θα μοιραζονται τις προειδοποιήσεις σχετικά με τους κινδύνους και τα περιστατικά και να εργαστούν από κοινού για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο.

  • Σύμφωνα με την προτεινόμενη νέα νομοθεσία, ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών θα βοηθήσει τα κράτη μέλη της Ευρωπαϊκής Ένωσης να ανταλλάσσουν πληροφορίες και δεδομένα σχετικά με τις παραβιάσεις της ασφάλειας.

 

Το Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών, κρίνει τα δίκτυα cloud ως την περιοχή των σοβαρών ανησυχιών και των κινδύνων, λαμβάνοντας υπόψη τη χρήση τους σε σημαντικούς τομείς όπως η οικονομία, η υγεία και η ενέργεια κλπ.

Ο εκτελεστικός διευθυντής του Οργανισμού για την ασφάλεια Δικτύων και Πληροφοριών, Udo Helmbrecht, ενέκρινε τα σχέδια για την υποχρεωτική υποβολή εκθέσεων παραβίασης της νέας οδηγίας, ειδικά για τις υπηρεσίες cloud.

Η έκθεση του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών απευθύνει επίσης έκκληση για μεγαλύτερη διαφάνεια, στην οποία θα βασίζονται σημαντικοί φορείς και υπηρεσίες στον χώρο του cloud computing.

Η προτεινόμενη οδηγία NIS περιλαμβάνει παραδείγματα εταιρειών που θα πρέπει να αναφέρουν τα περιστατικά στον κυβερνοχώρο, όπως:

 

  • Υπηρεσίες παροχής cloud computing

  • Μηχανές αναζήτησης

  • Πλατφόρμες ηλεκτρονικού εμπορίου

  • Πάροχοι υπηρεσιών διαδικτυακών πληρωμών

  • Κοινωνικά Δίκτυα

  • Πλατφόρμες που επιτρέπουν την παροχή και ανταλλαγή βίντεο

  • Πλατφόρμες που επιτρέπουν την παροχή και ανταλλαγή μουσικής

  • Δημοφιλή ηλεκτρονικά παιχνίδια

  • Καταστήματα εφαρμογών (Application Stores)

Για να μην είναι απαραίτητο οι εταιρείες να αναφέρουν τα περιστατικά του κυβερνοχώρου, σε όλα τα 27 κράτη μέλη της ΕΕ, η Ευρωπαϊκή Επιτροπή έχει δηλώσει ότι θα ενθαρρύνει την ανάπτυξη κοινών συστημάτων αναφοράς με την εφαρμογή των μέτρων της νέας αυτής οδηγίας.

Η προτεινόμενη οδηγία υποβλήθηκε στο Ευρωπαϊκό Κοινοβούλιο και το Ευρωπαϊκό Συμβούλιο για την επανεξέταση και την έγκρισή της. Μετά την έγκριση, τα κράτη μέλη της Ευρωπαϊκής Ένωσης θα έχουν προθεσμία 18 μηνών για να ενσωματώσουν τη νέα οδηγία στο εθνικό τους δίκαιο.

 

Η Χρύσα Τσιώτση είναι δικηγόρος, με μεταπτυχιακό δίπλωμα ειδίκευσης στο Δίκαιο του Internet και την τηλεπικοινωνιών (LL.M in Information Technology and Telecommunications Law, University of Strathclyde-Glasgow U.K).