Перевод статьи «Cybersecurity: MEPs strengthen EU-wide requirements against threats»

Новый законопроект установит более жесткие обязательства по кибербезопасности с точки зрения управления рисками, отчетности и обмена информацией.

Согласно законодательному тексту, принятому в четверг Промышленным комитетом, страны ЕС должны будут соблюдать более строгие меры надзора и правоприменения, и согласовывать свои режимы санкций.

По сравнению с действующим законодательством, новая директива обяжет больше субъектов и отраслей принимать меры. «Основные секторы», такие как энергетика, транспорт, банковское дело, здравоохранение, цифровая инфраструктура, государственное управление и космический сектор, будут охвачены новыми положениями о безопасности. Кроме того, новые правила также защитят так называемые «важные секторы», такие как почтовые услуги, управление отходами, химикаты, продукты питания; производство медицинских устройств, электроники, машинного оборудования, автотранспортных средств и поставщиков цифровых услуг. Все средние и крупные компании в отдельных секторах попадут под действие законодательства.

Конкретно, требования включают, среди прочего, реагирование на инциденты, безопасность цепочки поставок, шифрование и раскрытие уязвимостей. Государства-члены смогут идентифицировать более мелкие организации с высоким профилем риска для безопасности, в то время как кибербезопасность станет обязанностью высшего управленческого уровня.

Директива также устанавливает основу для лучшего сотрудничества и обмена информацией между различными органами власти и государствами-членами и создает европейскую базу данных уязвимости.

Первоначальная директива о кибербезопасности была принята в 2017 году. Однако страны ЕС применяли ее по-разному, тем самым фрагментируя единый рынок, что привело к недостаточному уровню кибербезопасности. По словам депутатов Европарламента, учитывая нынешний высокий уровень угроз кибербезопасности, это обновленное законодательство крайне необходимо.

Цитата

«Киберпреступность увеличилась вдвое в 2019 году, количество атак программ-вымогателей утроилось в 2020 году, однако наши компании и учреждения тратят на кибербезопасность на 41 процент меньше, чем в США. Мы должны усилить кибербезопасность ЕС и создать инструменты для совместной обработки киберинцидентов, когда они происходят. Мы не можем остановить все киберпреступления, но мы можем защитить себя лучше, чем раньше, и лучше, чем другие. Это новое законодательство делает ЕС безопасным местом для работы и ведения бизнеса», — сказал главный депутат Европарламента Барт Гротуис (Renew, Нидерланды).

Следующие шаги

Проект переговорного мандата — отчет — был принят 70 голосами против 3-х при 1 воздержавшемся. Депутаты Европарламента также проголосовали за начало переговоров с Советом 71 голосом против 2 при 1 воздержавшемся. Мандат будет объявлен на пленарном заседании 10 ноября.

Предпосылка

В информационной записке ЕП подчеркивается, что кибератаки не только являются одной из самых быстрорастущих форм преступности во всем мире, но также растут по своим масштабам — стоимости и изощренности. В 2017 году Cybersecurity Ventures прогнозировала, что глобальные затраты на ущерб от программ-вымогателей достигнут 20 миллиардов долларов США к 2021 году, что в 57 раз больше, чем в 2015 году. Также прогнозировалось, что к 2021 году компании будут подвергаться атакам программ-вымогателей каждые 11 секунд, по сравнению с каждыми 40 секундами в 2016 г.

Последний обзор угроз 2021 (Threat Landscape 2021)  отчет от Агентства Европейского союза по кибербезопасности (ENISA) подчеркивает, что атаки в кибербезопасности продолжают расти на протяжении 2020 и 2021, и не только с точки зрения векторов и чисел, но и с точки зрения их влияния. Пандемия COVID-19 также повлияла на ситуацию угроз кибербезопасности.