Evropská komise navrhla rozsáhlé změny zákona o kybernetické bezpečnosti zaměřené na posílení kontrol poskytovatelů vysoce rizikových technologií působících v EU. Tento krok přichází s nárůstem kybernetických útoků a dlouhodobými obavami ze závislosti na společnostech ze zemí považovaných za národní bezpečnostní hrozby, především čínských firem jako Huawei a ZTE.
Rostoucí kybernetické hrozby podporují akci
Kybernetické útoky v celé EU jsou stále častější a sofistikovanější. Nedávná data poukazují na přibližně 150 hlášených incidentů jen za poslední týden, včetně ransomwaru, špionáže a útoků na kritickou infrastrukturu. Tento nárůst aktivity zdůrazňuje potřebu koordinovanějšího přístupu k zabezpečení dodavatelských řetězců.
Brusel po léta vyjadřoval frustraci nad dobrovolnou povahou 2020 5G Security Toolkit, který povzbuzoval, ale nevyžadoval, aby členské státy omezovaly používání vysoce rizikových dodavatelů. Komisařka pro technologie Henna Virkkunenová opakovaně zdůraznila, že dobrovolná opatření nestačí, protože vysoce rizikoví dodavatelé zůstávají integrováni do evropských sítí 5G.
Nové pravomoci pro Komisi a ENISA
Podle revidovaného rámce bude mít Komise pravomoc provádět hodnocení rizik na úrovni EU, což by mohlo vést k omezením nebo zákazům používání zařízení v citlivé infrastruktuře. Hodnocení zohlední zemi původu dodavatele a její dopad na národní bezpečnost, ačkoli proces má zůstat v zásadě neutrální vůči zemi – to znamená, že za určitých podmínek mohou být přezkoumány i americké firmy.
Významně rozšířenou roli bude mít také Evropská agentura pro kybernetickou bezpečnost (ENISA). ENISA bude vydávat včasná varování před vznikajícími hrozbami, koordinovat reakce na závažné incidenty (jako jsou útoky ransomwaru) ve spolupráci s Europolem a vnitrostátními orgány a dohlížet na centralizovaný systém hlášení incidentů v EU.
Přechodné období a náklady na dodržování předpisů
Komise uznává, že vyloučení vysoce rizikových dodavatelů bude mít ekonomické náklady. Telekomunikační operátoři dostanou několik let na to, aby od těchto poskytovatelů odešli, přičemž Komise slíbila, že zjednoduší certifikační postupy a sníží zátěž pro společnosti působící ve více členských státech v oblasti dodržování předpisů. Tento zjednodušující program se snaží vyvážit obavy o bezpečnost s ekonomickou realitou.
Politické překážky a zpoždění v implementaci
Návrh nyní musí projít jednáním s Evropským parlamentem a vládami EU, kde se očekává odpor hlavních měst neochotných předat kontrolu nad rozhodnutími o národní bezpečnosti Bruselu. Vzhledem k tomuto odporu a složitosti provádění je nepravděpodobné, že by revidovaný zákon o kybernetické bezpečnosti mohl být plně proveden po několik let.
Toto zpoždění zpochybňuje schopnost EU účinně čelit stávajícímu zahraničnímu vměšování do kritické infrastruktury. Zatímco nový rámec představuje významný krok k posílení dohledu nad kybernetickou bezpečností, jeho dlouhodobá účinnost bude záviset na rychlém a společném postupu členských států.
