Ενσωμάτωση της οδηγίας για την ασφάλεια των δικτύων και των πληροφοριών (ΑΔΠ) στις εθνικές νομοθεσίες

ΕΚΤΕΝΗΣ ΠΕΡΙΛΗΨΗ

Το Συμβούλιο της Ευρωπαϊκής Ένωσης δημοσίευσε στις 21 Απριλίου 2016 την τελική έκδοση της οδηγίας για την ασφάλεια των δικτύων και των πληροφοριών (ΑΔΠ). Παρόλο που αυτή χρειάζεται να επικυρωθεί επισήμως από το Ευρωπαϊκό Κοινοβούλιο εντός του καλοκαιριού, το ίδιο το κείμενο αποτελεί αποτέλεσμα συμφωνίας ανάμεσα στα τρία θεσμικά όργανα της ΕΕ και δεν αναμένεται να τροποποιηθεί. Τα κράτη μέλη αναμένεται να το ενσωματώσουν στις εθνικές τους νομοθεσίες εντός 21 μηνών από την ψήφισή της. Προκειμένου να συνδράμουμε σε αυτή τη διαδικασία, επισυνάπτουμε υπό μορφή παραρτήματος τον οδηγό βέλτιστων πρακτικών για την εφαρμογή των παραμέτρων που σχετίζονται με τη βιομηχανία της τεχνολογίας και την αποτελεσματική υλοποίηση των προθέσεων των συντακτών.

Η οδηγία ΑΔΠ της ΕΕ αποτελεί το πρώτο πανευρωπαϊκό νομοθέτημα για την ασφάλεια του κυβερνοχώρου και εστιάζει στην ενδυνάμωση των αρχών καταπολέμησης του ηλεκτρονικού εγκλήματος σε εθνικό επίπεδο, ενίσχυση της μεταξύ τους συνεργασίας και καθιέρωση απαιτήσεων ασφαλείας για σημαντικούς τομείς της βιομηχανίας.

Τα εθνικά νομοθετήματα με τα οποία θα ενσωματωθεί η οδηγία θα πρέπει να λαμβάνουν υπόψη τους δύο βασικούς στόχους της οδηγίας: (1) τη διασφάλιση ασφάλειας υψηλού επιπέδου στον κυβερνοχώρο για τις σημαντικότερες υποδομές της χώρας, και (2) τη δημιουργία ενός αποτελεσματικού μηχανισμού συνεργασίας ανάμεσα στα κράτη μέλη για την προαγωγή του πρώτου στόχου. Οι διάφοροι πόροι θα πρέπει να κατανεμηθούν με κύριο γνώμονα την επίτευξη των δύο αυτών σημαντικών στόχων.

Για τη βιομηχανία της τεχνολογίας, ιδιαίτερο ενδιαφέρον παρουσιάζουν οι διατάξεις περί των λεγόμενων παρόχων ψηφιακών υπηρεσιών (DSP). Στην οδηγία αναφέρεται ρητά ότι υπάρχουν θεμελιώδεις διαφορές ανάμεσα στους παρόχους βασικών υπηρεσιών (OES) και τους DSP. Για την ακρίβεια, οι τελευταίοι δεν θα πρέπει να θεωρείται ότι συγκαταλέγονται στις υποδομές ζωτικής σημασίας. Όπως αναγνωρίζεται στο νομοθέτημα, ένα περιστατικό το οποίο θα επηρέαζε αυτές τις ψηφιακές υπηρεσίες θα έθετε σε σημαντικά μικρότερο κίνδυνο την οικονομική και τη δημόσια ασφάλεια μιας χώρας. Η διατήρηση αυτής της διαφοράς είναι ουσιώδης για την αποτελεσματική και αποδοτική αξιοποίηση των περιορισμένων πόρων που θα έχουν στη διάθεσή τους οι αρχές για να εφαρμόσουν τους κανόνες και να επιβλέψουν την εφαρμογή τους.

Κατά συνέπεια, συνιστούμε να δώσετε μεγάλη προσοχή στο επιδιωκόμενο αντικείμενο των εν λόγω υπηρεσιών και να απευθύνετε έκκληση στους αρμόδιους για τη χάραξη πολιτικής να μην επιβάλουν απαιτήσεις ασφαλείας σε τομείς εκτός των DSP και των OES στα εθνικά τους νομοθετήματα.

Όσον αφορά τη δικαιοδοσία, οι DSPs θα πρέπει να μπορούν να βασιστούν στην ισχύουσα νομοθεσία της χώρας κύριας εγκατάστασής τους, ακόμη και σε περιπτώσεις όπου ενδέχεται να εμπλέκονται περισσότερες από μία χώρες. Ως προς την εποπτεία, οι αρμόδιες αρχές θα πρέπει να εφαρμόσουν μια προσέγγιση εποπτείας εκ των υστέρων αντί της επιβολής μιας γενικής υποχρέωσης εποπτείας των DSP. Επιπλέον, θα πρέπει να εστιάσουν στα αποτελέσματα και να διατηρήσουν τη διάκριση ανάμεσα στους OES και τους DSP, μέσω της μη επιβολής απαιτήσεων στους τελευταίους, οι οποίες δεν προβλέπονται από την οδηγία, π.χ. ελεγκτικές και δεσμευτικές οδηγίες.

Τα μέτρα ασφαλείας για τους DSP θα πρέπει να είναι διαφορετικά από εκείνα για τους OES, δεδομένου ότι στην οδηγία δηλώνεται πως αποτελούν σημαντικά χαμηλότερο κίνδυνο για την ασφάλεια. Οι ιθύνοντες θα πρέπει να υλοποιήσουν τον στόχο της εναρμόνισης για αυτές τις υπηρεσίες, να αναγνωρίσουν τα υπάρχοντα διεθνή πρότυπα που έχουν αναπτυχθεί από την ίδια τη βιομηχανία, να αποφύγουν τεχνολογικές απαιτήσεις και να σεβαστούν το δικαίωμα των DSP το οποίο περιλαμβάνεται στην οδηγία να ορίζουν μόνοι τους τα πιο κατάλληλα μέτρα ασφαλείας για τα συστήματά τους. Η αναφορά περιστατικών θα πρέπει, επίσης, να εναρμονιστεί σε Ευρωπαϊκό επίπεδο όσο το δυνατόν περισσότερο, να εστιάσει σε περιστατικά που επηρεάζουν τη συνέχεια παροχής της υπηρεσίας, να σέβεται την ευελιξία στους χρόνους αναφοράς και να δημιουργεί ένα περιβάλλον εμπιστοσύνης, το οποίο ενθαρρύνει την κοινή χρήση πληροφοριών χωρίς να αποδίδει εκείνον που παρέχει την αναφορά εκτεθειμένο σε αυξημένη ευθύνη.

Τα μέτρα που επιβάλλονται στους OES θα έχουν, επίσης, αντίκτυπο σε άλλες βιομηχανίες, καθώς η υποχρέωση για μέτρα ασφαλείας και αναφορές περιστατικών θα αναπαράγεται σε διατάξεις συμβάσεων. Αυτό ισχύει ιδιαίτερα για υπηρεσίες υπολογιστικού νέφους (cloud). Κατά συνέπεια, οι DSP ενδέχεται να υπόκεινται έμμεσα στην εθνική νομοθεσία των πελατών τους και, επομένως, μας συμφέρει εξαιρετικά να φροντίσουμε να εφαρμοστούν διεθνώς αναγνωρισμένα μέτρα ασφαλείας σε αυτές τις υπηρεσίες. Επιπλέον, προτείνουμε όσο το δυνατόν καλύτερο συντονισμό και όσο το δυνατόν περισσότερες συνεργίες ανάμεσα στις απαιτήσεις αναφοράς τόσο για τους OES όσο και για τους DSP, δεδομένου ότι είναι πιθανό οι δεύτεροι να υπόκεινται σε διπλή υποχρέωση αναφοράς.

Στην οδηγία ορίζεται η φιλοδοξία επίτευξης ενός υψηλού κοινού επιπέδου ασφαλείας για δίκτυα και πληροφοριακά συστήματα με σκοπό τη βελτίωση της λειτουργίας της εσωτερικής αγοράς. Για να επιτευχθεί αυτός ο μεγαλόπνοος στόχος, τα εθνικά μέτρα μεταφοράς θα πρέπει να εστιάζουν σε μια εναρμονισμένη και διεθνή προσέγγιση βάσει κινδύνου, η οποία θα παρέχει στον ιδιωτικό τομέα την ευελιξία να προσαρμοστεί σε ένα συνεχώς μεταβαλλόμενο περιβάλλον απειλών, θα επιτρέπει στις αρχές καταπολέμησης του ηλεκτρονικού εγκλήματος να αφιερώνουν τους περιορισμένους τους πόρους στις σημαντικότερες προκλήσεις, και θα αναγνωρίζει ότι η λύση σε ένα πρόβλημα που δεν έχει σύνορα πρέπει να είναι διεθνής. Ελπίζουμε ότι αυτός ο οδηγός θα αποτελέσει χρήσιμο εργαλείο για το σκοπό αυτό και θα χαρούμε να απαντήσουμε τυχόν περαιτέρω ερωτήσεις σας.