Европейская комиссия предложила масштабные изменения в Закон о кибербезопасности, направленные на усиление контроля за высокорискованными поставщиками технологий, работающими в ЕС. Этот шаг обусловлен ростом числа кибератак и давними опасениями по поводу зависимости от компаний из стран, которые считаются представляющими угрозу национальной безопасности, в первую очередь китайских фирм, таких как Huawei и ZTE.
Растущие Киберугрозы Стимулируют Действия
Кибератаки по всему ЕС становятся все более частыми и изощренными. Недавние данные указывают на около 150 зарегистрированных инцидентов только за последнюю неделю, включая программы-вымогатели, шпионаж и атаки на критическую инфраструктуру. Этот всплеск активности подчеркивает необходимость более скоординированного подхода к обеспечению безопасности цепочек поставок.
В течение многих лет Брюссель выражал разочарование добровольным характером «Инструментария по безопасности 5G» 2020 года, который поощрял, но не требовал от государств-членов ограничивать использование поставщиков с высоким уровнем риска. Комиссар по технологиям Хенна Вирккунен неоднократно подчеркивала, что добровольных мер недостаточно, поскольку поставщики с высоким уровнем риска по-прежнему интегрированы в европейские сети 5G.
Новые Полномочия для Комиссии и ENISA
В рамках пересмотренной структуры Комиссия получит право проводить оценки рисков на уровне ЕС, что может привести к ограничениям или запретам на использование оборудования в чувствительной инфраструктуре. Оценки будут учитывать страну происхождения поставщика и его влияние на национальную безопасность, хотя этот процесс предназначен для соблюдения нейтральности по отношению к странам в принципе — то есть американские фирмы также могут подвергаться проверкам при определенных условиях.
Европейское агентство по кибербезопасности (ENISA) также получит значительно расширенную роль. ENISA будет выдавать заблаговременные предупреждения об возникающих угрозах, координировать реагирование на крупные инциденты (такие как атаки программ-вымогателей) в сотрудничестве с Европолом и национальными органами власти, а также контролировать централизованную систему отчетности об инцидентах в ЕС.
Переходный Период и Затраты на Соответствие
Комиссия признает, что исключение поставщиков с высоким уровнем риска повлечет за собой экономические затраты. Операторам связи будет предоставлено несколько лет для перехода от этих поставщиков, а Комиссия обещает упростить процедуры сертификации и снизить нагрузку на соответствие требованиям для компаний, работающих в нескольких государствах-членах. Эта упрощающая повестка дня направлена на баланс между соображениями безопасности и экономической реальностью.
Политические Препятствия и Задержки в Реализации
Предложение теперь должно пройти переговоры с Европейским парламентом и правительствами стран ЕС, где ожидается сопротивление со стороны столиц, не желающих передавать контроль над решениями в области национальной безопасности Брюсселю. Учитывая эту оппозицию и сложность реализации, пересмотренный Закон о кибербезопасности вряд ли будет полностью введен в действие в течение нескольких лет.
Эта задержка ставит под сомнение способность ЕС эффективно противодействовать существующему иностранному вмешательству в критическую инфраструктуру. Хотя новая структура представляет собой значительный шаг к укреплению контроля за кибербезопасностью, ее долгосрочная эффективность будет зависеть от быстрых и согласованных действий со стороны государств-членов.
