Ресурсна платформа за граѓани и медиуми

Краток осврт на директивите и регулативите за сајбер-безбедност на Европската Унија

 

Пишува: д-р Димитар Богатинов, доцент на Воената академија „Генерал Михаило Апостолски“ – Скопје и претставник на Иницијативата за сајбер и корпоративна безбедност и кризен менаџмент – C3I Скопје

 

Во денешницава државите, организациите, како и луѓето се сè повеќе зависни од употребата на интернетот и на технолошките придобивки. Од една страна, тие влијаат на целокупниот напредок на општеството преку подобрување на образованието и науката, индустријата, економијата, начините на комуникација, здравството, административните услуги итн. или, генерално гледано, го подобруваат начинот на живот. Од друга страна, интернетот и технолошките придобивки претставуваат сериозна закана во економска и политичка смисла или, генерално, тие се канал/извор за сигурносна и безбедносна закана по целокупното општество.

Согледувајќи ја важноста на сајбер-безбедноста, Европска Унија (ЕУ) во 2016 година ја донесе Директивата за безбедност на мрежи и информациски системи (Директива НИС), која е првиот инструмент што е насочен кон засилување на отпорноста на ЕУ кон ризиците за сајбер-безбедноста. Во институционална смисла, најважна е улогата на ЕНИСА – Агенцијата на ЕУ за сајбер-безбедност. Од 2019 год. на сила е и Актот за сајбер-безбедност, кој ја редефинира и ја засили улогата на ЕНИСА.

 

Директива за безбедност на мрежи и информациски системи (Директива НИС) – Directive on Security of Network and Information Systems (NIS Directive)

 Директивата претставува прв инструмент што е насочен кон засилување на отпорноста на ЕУ кон ризиците за сајбер-безбедноста. Директивата промовира култура на управување со ризик меѓу компаниите или другите ентитети што обезбедуваат услуги, односно „операторите на есенцијални услуги“ (Оperators of essential services).

Во согласност со членот 5(2), критериум за идентификување на „оператори на есенцијални услуги“ е операторите да се субјекти што обезбедуваат услуги кои се неопходни за одржување на критичните општествени и/или економски активности во државите и нивното функционирање да биде зависно од мрежните и од информациските системи.

Операторите може да бидат приватни бизниси или јавни субјекти што имаат важна улога во обезбедувањето безбедност во здравството, транспортот, енергијата, банкарството и во инфраструктурата на финансискиот пазар, дигиталната инфраструктура и во водоснабдувањето.

Овие ентитети се должни да преземат соодветни и пропорционални технички и организациски мерки за да управуваат со ризиците за нивната безбедност на мрежните и на информациските системи и да ги известат надлежните органи за сериозните инциденти.

Во согласност со членот 114 од Договорот за функционирање на Европската Унија, целта на оваа директива е да обезбеди континуитет на обезбедувањето услуги и на тој начин да овозможи правилно функционирање на економијата и на општеството на Унијата.

За таа цел Директивата предвидува конкретни мерки за засилување на вкупното ниво на компјутерска безбедност во ЕУ преку:

  • воспоставување и опремување соодветни тимови за одговор на компјутерски безбедносни инциденти (CSIRT) и надлежен национален НИС авторитет;
  • соработка преку формирање т.н. Група за соработка, која има цел да ја поддржи и да ја олесни стратегиската соработка и размената на информации меѓу земјите членки;
  • воспоставување CSIRT-мрежа за да се промовира брза и ефективна оперативна соработка за специфични инциденти во областа на сајбер-безбедноста и споделување информации;
  • секторите што се идентификувани од земјите членки како оператори на основни услуги, а кои се од витално значење за економијата и за општеството, мора да преземат соодветни безбедносни мерки и да го известат за сериозните инциденти релевантниот национален орган. Исто така, клучните даватели на дигитални услуги (пребарувачи, услуги во облак-компјутер и сл.) ќе мора да ги почитуваат барањата за безбедност и известување според Директивата НИС.

Од оваа директива е произлезен и т.н. “NIS Directive tool”, кој е од креиран од ЕНИСА (Агенцијата за сајбер-безбедност на Европската Унија), наменет за операторите на есенцијални услуги (ОЕС), кои можат да ја користат оваа алатка за да ги мапираат своите сопствени стандарди според предложените безбедносни мерки, овозможувајќи процена на своите практики за безбедност на информациите наспроти условите усвоени од Групата за соработка.

Директивата е усвоена од Европскиот парламент на 6 јули 2016 година, а по нејзиното влегување во сила во август 2016 година, земјите членки имале рок до 9 мај 2018 година да ја вметнат во своите национални закони и да се усогласат со нејзините одредби. Дополнително, земјите членки имале задача да ги дефинираат и да ги идентификуваат „операторите на есенцијални услуги“ во своите држави.

 

ЕНИСА – ENISA

ЕНИСА е агенција што е креирана во 2004 година,  а нејзина примарна цел е достигнување на високо ниво на сајбер-безбедност низ цела ЕУ и Европа. Таа е предводник во сајбер-политиката на ЕУ и има клучна улога во дефинирање на услугите, процесите и сертифицирање на дигиталните производи. Преку споделување знаење, процена на ризиците, градење капацитети и подигање на свеста, ЕНИСА работи заедно со земјите членки и телата на ЕУ за засилување на довербата во поврзаната економија, за засилување на отпорноста на инфраструктурата на Унијата и ѝ помага на Европа да се подготви за сајбер-предизвиците на иднината.

 

Акт за сајбер-безбедност – Cybersecurity Act

Актот за сајбер-безбедност од 2019 г. ги редефинираше целите, задачите и организациската структура на ЕНИСА и ја засили нејзината улога преку посилни надлежности, нови задачи и зголемени ресурси.

Според овој акт, ЕНИСА има клучна улога во воспоставувањето и во одржувањето на рамката за сертифицирање на дигитални производи, услуги и процеси преку подготвување техничка основа за специфични шеми за сертифицирање и информирање на јавноста за шемите за сертификација, како и за сертификатите издадени преку посебна веб-страница.

Исто така, ЕНИСА има мандат да ја зголеми оперативната соработка на ниво на ЕУ, помагајќи им на земјите членки на ЕУ што ќе побараат помош за справување со сајбер-безбедносни инциденти и поддршка во координацијата на ЕУ во случај на големи прекугранични сајбер-напади и кризи.

 

Република Северна Македонија, која го очекува почетокот на пристапните преговори, веќе од претходно има отпочнато со приспособување на националните закони и градење капацитети во делот на сајбер-безбедноста во согласност со директивите и актите на ЕУ. Еден од главните чекори што се преземени е воспоставувањето Национален центар за одговор на компјутерски инциденти, (MKD-CIRT), како и креирање на Националната стратегија за сајбер-одбрана, која се донесе во 2018 година. Со почетокот на преговорите, покрај усогласувањето со правото на ЕУ, државата ќе мора значително да вложува во изградба на капацитетите на институциите и на приватните ентитети за спроведување на стандардите за сајбер-безбедност, како и превенција и откривање сајбер-криминал.

 

 

Овој текст е изработен во рамките на проектот „Нетрасиран пат: Граѓански ангажман во образованието, истражувањето и мониторингот поврзан со Поглавјето 24”, спроведен од ЕВРОТИНК – Центар за европски стратегии, а финансиски поддржан од Балканскиот фонд за демократија, проект на Германскиот Маршалов фонд на САД и Амбасадата на Кралството Норвешка во Белград. Гледиштата изразени во оваа публикација се на авторот и не ги одразуваат секогаш гледиштата на Амбасадата на Кралството Норвешка во Белград, Балканскиот фонд за демократија и Германскиот Маршалов фонд на САД или на нивните партнери.

04/11/2020