Die EU-wet op kubersolidariteit kom: hier is wat dit beteken
INHOUDSOPGAWE:
Die EU kort nie kuberveiligheidswetgewing nie. Oor die afgelope jaar het dit wette ingestel wat dek smart toestelle, KI veiligheid, finansiële dienste, "belangrik" en "noodsaaklik" entiteite, en sekuriteitsertifikate. Tog was daar tot nou toe geen vastelandwye strategie om te help om grootskaalse kubervoorvalle regoor die EU voor te berei, op te spoor en daarop te reageer nie. Voer die in EU Wet op Kubersolidariteit, wat in 2025 aansienlike momentum gaan kry.
Dit beloof baie, maar gelukkig vir die meeste Britse organisasies sal dit min van hulle eis.
Hoekom ons dit nodig het
Alhoewel die Europese Kommissie die Wet op Kubersolidariteit in April 2023 voorgestel het, is die saad van die skepping daarvan 'n jaar gelede geplant toe drie konsortia van grensoverschrijdende sekuriteitsbedryfsentrums (SOC's) is gekies. Dit is nie toevallig dat Rusland vroeër daardie jaar die Oekraïne binnegeval het nie. Die bedreiging van staatsondersteunde digitale invalle en goed befondsde kubermisdaadgroepe wat straffeloos van buite-bereik jurisdiksies werk, sal inderdaad planne vir die wet hê.
Soos erken deur NIS 2, DORA, die Wet op Kuberveiligheid, die Wet op Kuberveerkragtigheid, die Wet op KI en ander statute, verteenwoordig kuberaanvalle 'n groeiende maatskaplike en ekonomiese bedreiging vir die EU. Hulle kan die stabiliteit van die finansiële stelsel en lewensreddende gesondheidsorgdienste bedreig, soos getuig deur losprysware-verwante IT-onderbrekings by hospitale regoor die streek. Hulle dreig ook om verkeerde inligting te versprei en verkiesings te ondermyn, om nie eens te praat van nasionale veiligheid nie. En data-oortredings veroorsaak 'n bedrog-epidemie. Betalingsbedrog alleen was €2 miljard werd in die eerste helfte van 2023, terwyl die EU skat kubermisdaad in die algemeen tot kos €5.5 triljoen jaarliks. Laasgenoemde is meer as 'n kwart van die EU se totale BBP.
Volgens Microsoft konvergeer hierdie neigings. In sy onlangse Digitale Verdedigingsverslag 2024, het die tegnologiereus gewaarsku dat die lyne tussen nasiestaat- en kubermisdaadaktiwiteit al hoe meer vervaag. Dit beteken meer staatsakteurs gemotiveer deur finansiële gewin, soos in Noord-Korea en Iran. En staatsgeborgde groepe wat kubermisdaadtaktieke, -tegnieke en -prosedures (TTP's) gebruik. Miskien die meeste kommerwekkend, dit beteken ook staatsgesteunde kuberkrakers wat bedrywighede aan kubermisdaadgroepe uitkontrakteer, vermoedelik vir geloofwaardige ontkenning. Microsoft het reeds waargeneem dat Kremlin-krakers die hulp van Storm-0593 inroep om Oekraïense organisasies te teiken.
Namate die bedreigingslandskap meer vloeibaar en ondeursigtig word namate geopolitieke spanning toeneem, is dit net reg dat die EU 'n streekwye voorvalreaksie en kuberveerkragtigheidsapparaat wil bou.
Wat sal die wet opdrag gee?
Daar is drie hoofelemente aan die wet. Dit poog om bekend te stel:
'n Europese kuberveiligheidskild: Ook bekend as die Europese kuberveiligheidswaarskuwingstelsel, sal dit bestaan uit 'n reeks nasionale en transnasionale sekuriteitsbedryfsentrums (SOC's) regoor die blok, wat ontwerp is om die krag van KI en analise te benut om bedreigingwaarskuwings op te spoor en te deel.
'n Kubernoodmeganisme: ontwerp om voorvalgereedheid en reaksie te verbeter, hoofsaaklik deur 'n EU-kuberveiligheidsreserwe. Dit sal saamgestel word uit vooraf geselekteerde "betroubare verskaffers" uit die private sektor wat op versoek van die EU of lidlande ontplooi kan word om te help met groot veiligheidsvoorvalle.
Die kubernoodmeganisme beloof ook om die idee van wedersydse bystand tussen lidlande wat deur voorvalle geraak word, te ondersteun. En die seleksie en periodieke kwesbaarheidstoetsing van kritieke infrastruktuursektore soos gesondheidsorg en finansies. Die sektore wat getoets moet word, sal volgens 'n gemeenskaplike risiko-evaluering op EU-vlak gekies word.
'n Hersieningsmeganisme vir kuberveiligheidsinsident: ontwerp om ernstige voorvalle te assesseer en te hersien op versoek van die Europese Kommissie of nasionale owerhede. Die sekuriteitsagentskap ENISA sal die hersiening uitvoer en 'n lesse-geleerde dokument lewer wat aanbevelings bevat vir die verbetering van die blok se sekuriteitsposisie.
Jeff Le, VP van globale regeringsake en openbare beleid by derdeparty-risikoplatform SecurityScorecard, sê aan ISMS.online dat die inisiatief dalk meer nodig het as die €1.1 miljard (£920 miljoen) wat tans daaraan toegeken is.
"In die VSA is die wedersydse hulpstelsel meer volwasse en verdien beduidende oorweging in die EU in die geval van 'n katastrofiese voorval wat lidlande lamlê," voeg hy by.
“ENISA moet 'n rol speel wat verder as programme versterk word en daarna streef om sy aandeel in denkleierskap te vergroot. Veral dieper vennootskappe met NIST en ander globale standaardliggame om te fokus op voorsieningskettingveerkragtigheidsmaatstawwe, standaarde en sekuriteitsraamwerke is nodig, aangesien 'n druk vir harmonisering in fokus kom.
Le voeg by dat EU-voorvalrapportering ook kan baat vind by nouer belyning met wêreldwye kritieke infrastruktuur-voorvalrapporteringregimes soos die Amerikaanse CIRCIA-proses.
"Verslaggewing moet meer in lyn wees, en 'n duidelike fokus op watter inligting noodsaaklik is, moet uitgespel word vir beleidmakers en CISO's," voer hy aan. "Gegewe onlangse probleme met Volt en Salt Typhoon in kritieke infrastruktuur, moet daar ook 'n dieper klem op die assessering van telekommunikasie wees. Terwyl ander sektore genoem word, is hierdie kwesbare ruimte nie.”
Hoe om gereed te maak daarvoor
Die wet sal min van die meeste Britse firmas eis.
“Na Brexit sal die VK nie deel wees van die samewerkingsmeganismes wat deur die Wet op Kubersolidariteit ingestel is nie,” vertel Sarah Pearce en David Dumont, vennote by Hunton Andrews Kurth, aan ISMS.online.
“Die wet sal nie op alle organisasies van toepassing wees nie, slegs dié wat in uiters kritieke sektore werksaam is. Organisasies moet ten minste op hoogte bly van ontwikkelings en bepaal of dit binne die bestek van die wetgewing val of nie. Diegene wat binne die bestek is, kan onderhewig wees aan 'gekoördineerde paraatheidstoetsing', so die CISO en ander relevante interne spanne sal sulke toetsing binne hul bestuursprogramme moet akkommodeer.”
Die begrip van ISMS.online is egter dat slegs kritieke infrastruktuurorganisasies met bedrywighede in die EU aan hierdie vereistes onderhewig kan wees.
Edward Machin, advokaat by Ropes & Gray, waarsku ook dat indien hierdie toetse kritieke kwesbaarhede vir kuberbedreigings aan die lig bring, sulke organisasies blootgestel kan word aan "wyer afdwingings- en reputasierisiko's" wat verband hou met die nie-nakoming van ander EU-kuberwette.
"CISO's in kritieke bedryfsektore wat voorberei het vir die EU se ander kuberwette, moet vind dat daardie voorbereidings hulle goed bystaan om te reageer op potensiële toetsversoeke wat ingevolge die Cyber Solidarity Act gemaak word," sê hy aan ISMS.online.
"Gegewe dat ander EU-kuberwette 'n groter impak vir CISO's op 'n daaglikse basis het en sal hê, sal ek voorstel dat u voorlopig op daardie wette fokus terwyl u 'n opdrag oor die daad hou."
Die Europese Parlement en Raad het in Maart 2024 'n voorlopige ooreenkoms oor die wetgewing bereik, en die voorlopige teks is dieselfde maand gepubliseer. Dit is egter onduidelik wanneer wetgewers dit formeel kan aanvaar. Verwag dat nog baie meer in 2025 sal kom.
