Comisia Europeană (CE) accelerează adoptarea unei noi Directive care stabilește reguli mai severe de securitate cibernetică pentru companii și propune amenzi uriașe în cazul nerespectării acestora. Anunțul vine după ce instituții-cheie în gestionarea pandemiei au fost vizate, recent, de atacuri concertate ale hackerilor.
Este vorba despre furtul documentelor depuse de Pfizer și BioNTech la Agenția Europeană pentru Medicamente (EMA) pentru aprobarea vaccinului anti-COVID, care conțin date sensibile despre tehnologia folosită, dosarele medicale ale voluntarilor și rețelele de distribuție ulterior aprobării.
Companiile mari din sectorul medical, energetic, transporturi, IT&C şi cel financiar, dar și cele care oferă servicii digitale ar putea fi amendate cu până la 2% din cifra de afaceri globală dacă vor încălca regulile de securitate cibernetică ale UE, potrivit noii Directive pentru securitatea cibernetică propusă de Comisie.
Autoritățile europene vor să urgenteze adoptarea noii legislații după ce, în ultimele luni, au apărut îngrijorări majore cu privire la vulnerabilitatea cibernetică a obiectivelor – cheie din Uniunea Europeană sau a companiilor din domenii sensibile precum energie, sănătate sau cel financiar.
O amplă investigație are loc la nivel european după ce Agenția Medicală Europeană (EMA) a fost recent vizată de un atac cibernetic, iar hackerii au sustras date sensibile din documentația depusă de Pfizer și de BioNTech pentru vaccinul anti-COVID 19. la începutul acestei luni, transmite Reuters.
Mai multe documente referitoare la depunerea dosarului pentru aprobarea vaccinului anti- COVID-19 al Pfizer și BioNTech, BNT162b2, care a fost stocat pe un server EMA, au fost accesate ilegal – reprezentant BioNTech
Acesta nu este singurul atac major semnalat recent de democrațiile occidentale. În acest moment agențiile federale americane și mii de companii investighează o uriașă campanie de hacking pe care oficialii o suspectează că este condusă de guvernul rus.
În era digitală, orice incident de securitate cibernetică, fie și limitat inițial la o entitate sau la un sector, poate avea efecte în cascadă cu efecte negative de lungă durată în furnizarea de servicii pe întreaga piață europeană, arată reprezentanții CE.
Costul anual al criminalității informatice la nivel global a fost de 5,5 trilioane de euro în 2020, ceea ce reprezintă cel mai mare transfer de bogăție economică din istorie, mai mare decât comerțul global cu droguri. Spre exemplu, pentru un singur incident major, atacul ransomware WannaCry din 2017, costul pentru economia globală a fost estimat la peste 6,5 miliarde euro.
La nivel european au fost raportate aproape 450 de incidente de securitate cibernetică în 2019 care implică infrastructuri critice europene, cum ar fi finanțele și energia, iar din 2020 atacurile s-au concentrat asupra infractructurii din Sănătate și a cercetării în domeniul COVID-19.
Cu doi din cinci angajați din UE care lucrează de acasă din cauza pandemiei COVID-19 și una din opt companii afectate de atacuri cibernetice, executivul UE spune că propunerea sa este menită să consolideze rezistența colectivă a Europei împotriva amenințărilor cibernetice.
Propunerea include consolidarea Legii UE 2016 privind securitatea cibernetică (NIS) cu sancțiuni și extinderea domeniului său de aplicare pentru a acoperi toate companiile mijlocii și mari din 10 sectoare esențiale – energie, transporturi, servicii bancare, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, administrație publică și spațiu.
Directiva NIS a permis statelor membre să dispună de o largă marjă de discreție în momentul stabilirii cerințelor de securitate și raportare a incidentelor de securitate cibernetică pentru operatorii de servicii esențiale (denumite în continuare „OES (s)”). ”Evaluarea arată că, în unele cazuri, statele membre au implementat aceste cerințe în moduri semnificativ diferite, creând o sarcină suplimentară pentru multinaționalele prezente în mai multe state”, argumentează experții în propunerea Comisiei Europene privind necesitatea actualizării Directivei privind securitatea cibernetică.
În noua formă, Directiva propune o accelerare a timpilor de raportate a incidentelor de securitate cibernetică.
Astfel, în cazul în care entitățile vizate de atac devin conștiente de un incident, acestea ar trebui să fie obligate să depună o notificare inițială în termen de 24 de ore, urmată de un raport final nu mai târziu de o luna.
Având în vedere acest lucru și, în scopul simplificării procedurii de raportare a incidentelor de securitate, statele membre ar trebui să stabilească un punct de intrare unic pentru toate notificările reglementate de Directivă în cazul atacurilor cibernetice.
Companiile se vor confrunta cu o serie de sancțiuni pentru nerespectarea regulilor, care vor viza inclusiv managementul, potirivit oficialilor UE.
Amenzile pentru acele entităţi care nu vor îndeplini cerinţele încep de la 10 milioane de euro (12,2 milioane de dolari) și merg până la 2% din cifra de afaceri – Thierry Breton, comisarul UE pentru piața internă.
În cazul în care o companie continuă să nu îşi îndeplinească obligaţiile, în această categorie, putem ajunge la suspendarea autorizaţiei, ca ultimă soluţie. ”Este posibil să avem şi interdicţii temporare împotriva oricăror persoane care îşi asumă responsabilitatea managerială, a adăugat acesta.
Se așteaptă ca noua directivă privind securitatea cibernetică să aducă beneficii semnificative, se arată în documentul publicat pe siteul Comisiei Europene.
Estimările indică faptul că aceasta poate duce la o reducerea costului incidentelor de securitate cibernetică cu 11,3 miliarde euro. Domeniul de aplicare sectorial ar fi extins considerabil în cadrul NIS, explică oficialii europeni.
Implementarea noii Directive ar conduce, de asemenea, la anumite costuri de conformitate și executare pentru autoritățile de resort din statele membre (a fost estimată o creștere globală de aproximativ 20-30% a resurselor alocate ecurității cibernetice la nivelul bugetelor administrațiilor statelor membre), însă costurile sunt justificare prin creștere generală a capabilități de securitate cibernetică în toate statele membre.
Pentru companiile din domeniile-cheie care ar intra sub incidența cadrului NIS, se estimează că acestea ar avea nevoie de o creștere de maximum 22% din cheltuielile actuale de securitate IT&C în primii ani după introducerea noului cadru NIS.
Creșterea cheltuielilor de securitate IT&C s-ar regăsi în creșterea profitului, în special datorită unei reduceri considerabile a costurilor incidentelor de securitate cibernetică, estimată de experții europeni la 118 miliarde euro în zece ani.
Întreprinderile mici și microîntreprinderile ar fi exceptate de la sfera cadrului NIS. Cu toate acestea, pentru întreprinderile mijlocii este de așteptat să existe o creștere a nivelului
cheltuielilor de securitate în primii ani după introducerea noului cadru NIS.
De asemenea, sunt considerate entități importante și se încadrează în normele propuse toate IMM-urile din servicii poștale și de curierat, gestionarea deșeurilor, produse chimice, fabricarea alimentelor, dispozitive medicale, computere și electronice, echipamente pentru mașini, autovehicule și furnizori digitali, cum ar fi pieţele online, motoare de căutare online și platforme de servicii de rețele sociale.
Autoritățile competente ar trebui să fie împuternicite să aplice sancțiuni constând din
suspendarea unei certificări sau autorizații privind o parte sau toate serviciile furnizate de companiile din domeniile-cheie și impunerea unei interdicții temporare privind exercitarea funcțiilor manageriale de către o persoană fizică.
Companiile vor fi supuse unor cerințe stricte de securitate cibernetică care acoperă lanțurile de aprovizionare și relațiile cu furnizorii, precum și un regim de supraveghere strict.
Propunerea Comisiei include înființarea unei rețele la nivel european de centre de operațiuni de securitate pentru a detecta semnalele timpurii de atac cibernetic iminent și crearea unei unități cibernetice comune pentru a stimula cooperarea dintre organismele UE și autoritățile naționale. Propunerea va trebui să fie aprobată de statele membre ale UE și de Parlamentul European înainte ca aceasta să intre în vigoare, proces care ar putea dura câțiva ani.
Peste 82% dintre managerii IT susţin că securitatea cibernetică reprezintă principala prioritate în următoarea perioadă, iar şapte din zece (71%) lideri spun că vor acorda o atenţie sporită infrastructurii de reţea, reiese din sondajul „Cisco Connect România 2020”.
Potrivit sursei citate, peste jumătate dintre managerii IT (52%) vor acorda o atenţie sporită consolidării centrului de date, în timp ce 39% au indicat ca prioritate IT implementarea de soluţii de colaborare software (voce, video, mesagerie), 28% soluţiile de cloud privat şi 21% soluţiile de colaborare hardware (terminale video). Cea mai mare provocare din acest an, pentru managerii IT, a fost permiterea accesului securizat la reţeaua şi aplicaţiile companiei, pentru orice utilizator, de pe orice dispozitiv, în orice moment (71%).
În plus, pentru 64% principala provocare a fost cea legată de securizarea dispozitivelor de birou utilizate de angajaţi pentru a lucra de la distanţă, iar 63% au depus eforturi semnificative pentru menţinerea controlului şi aplicarea politicilor de securitate.
De asemenea, protejarea confidenţialităţii datelor şi a informaţiilor despre clienţi şi securizarea dispozitivelor private utilizate de angajaţi pentru a lucra de la distanţă au reprezentat principalele provocări de securitate în această perioadă pentru 55%, respectiv 49% dintre managerii IT participanţi la sondajul Cisco Connect România.
Sondajul Cisco a fost realizat în luna noiembrie 2020, în rândul a 150 de specialişti IT din companii şi instituţii din România, prezenţi la evenimentul online Cisco Connect România 2020 – cea mai mare conferinţă dedicată soluţiilor pentru reţele de comunicaţii care a reunit peste 1.300 de specialişti locali din domeniul IT&C, experţi în reţelistică şi factori de decizie