Європейська комісія запропонувала кардинальні зміни до Закону про кібербезпеку, спрямовані на посилення контролю над постачальниками технологій високого ризику, які працюють в ЄС. Цей крок відбувається на тлі зростання кількості кібератак і давніх побоювань щодо залежності від компаній з країн, які вважаються загрозами національній безпеці, насамперед китайських компаній, таких як Huawei і ZTE.
Зростання кіберзагроз спонукає до дій
Кібератаки в ЄС стають все більш частими та витонченими. Останні дані вказують на близько 150 зареєстрованих інцидентів лише за останній тиждень, включаючи програми-вимагачі, шпигунство та атаки на критичну інфраструктуру. Цей сплеск активності підкреслює необхідність більш скоординованого підходу до безпеки ланцюгів поставок.
Протягом багатьох років Брюссель висловлював розчарування добровільним характером 2020 5G Security Toolkit, який заохочував, але не вимагав від держав-членів обмежувати використання постачальників із високим ризиком. Комісар із технологій Хенна Віркунен неодноразово наголошувала, що добровільних заходів недостатньо, оскільки постачальники з високим ризиком залишаються інтегрованими в європейські мережі 5G.
Нові повноваження для Комісії та ENISA
Згідно з переглянутою структурою, Комісія матиме повноваження проводити оцінку ризиків на рівні ЄС, що може призвести до обмежень або заборони на використання обладнання в чутливій інфраструктурі. Оцінки враховуватимуть країну походження постачальника та її вплив на національну безпеку, хоча в принципі процес має залишатися нейтральним щодо країни, тобто американські фірми також можуть підлягати перевірці за певних умов.
Європейське агентство з кібербезпеки (ENISA) також матиме значно розширену роль. ENISA видаватиме ранні попередження про нові загрози, координуватиме реагування на серйозні інциденти (такі як атаки програм-вимагачів) у співпраці з Європолом і національними органами влади, а також контролюватиме централізовану систему звітування про інциденти ЄС.
Перехідний період і витрати на відповідність
Комісія визнає, що виключення постачальників із високим ризиком матиме економічні витрати. Операторам телекомунікацій буде надано кілька років, щоб відійти від цих провайдерів, при цьому Комісія обіцяє спростити процедури сертифікації та зменшити тягар відповідності для компаній, які працюють у кількох державах-членах. Цей спрощений порядок денний прагне збалансувати проблеми безпеки з економічною реальністю.
Політичні перешкоди та затримки в реалізації
Тепер ця пропозиція має пройти переговори з Європейським парламентом та урядами ЄС, де очікується опір з боку столиць, які не бажають передати контроль над рішеннями щодо національної безпеки Брюсселю. Враховуючи цю протидію та складність впровадження, переглянутий Закон про кібербезпеку навряд чи буде повністю імплементований протягом кількох років.
Ця затримка ставить під сумнів здатність ЄС ефективно протистояти існуючому іноземному втручанню в критичну інфраструктуру. Хоча нова структура є значним кроком до посилення нагляду за кібербезпекою, її довгострокова ефективність залежатиме від швидких і узгоджених дій держав-членів.
