З прийняттям Закону про кібербезпеку–2 Брюссель переходить до жорсткіших заходів: Huawei та подібні компанії мають бути витіснені з критично важливих сфер, а бізнес і державні структури – підготовлені до протидії державним кібератакам, пише німецьке видання heise online.
У вівторок у Страсбурзі Європейська комісія представила ініціативу, що може стати поворотним моментом для європейського ІТ-ринку. Її проєкт Закону про кібербезпеку–2 пропонує відповіді на виклики епохи, у якій цифрова інфраструктура стала ареною геополітичної конкуренції. Комісія відходить від рекомендаційного підходу і прагне створити правову базу для послідовного виведення з європейської інфраструктури постачальників із критичним профілем ризику, таких як Huawei або ZTE з Китаю.
"Фортеця Європа"
Спрямованість законодавчого пакета однозначна: ЄС хоче покласти край залежності від постачальників із третіх країн, які в надзвичайних ситуаціях можуть діяти як інструмент іноземних урядів. Те, що досі стосувалося переважно мереж 5G в рамках "набору інструментів", тепер планують поширити на 18 критичних секторів. Комісія чітко заявляє: питання вже не полягає лише в тому, чи має маршрутизатор прихований доступ. Важливо, хто виготовив пристрій і яким законам підпорядковується виробник у своїй країні. Мета – "Фортеця Європа" в цифровому просторі.
"Безпека – це не додаткова опція, а основа нашого цифрового суверенітету та необхідна умова конкурентоспроможності у нестабільному світі", – заявила у вівторок віцепрезидентка Комісії Хенна Вірккунен, відповідальна за технологічний суверенітет. За її словами, кібербезпека має вийти за межі суто ІТ-завдання і стати центральним елементом національної політики безпеки.
Як і очікувалося, зазначає heise online, проєкт не містить переліку країн або компаній, які, на думку Комісії, становлять підвищений ризик, адже така оцінка може швидко змінюватися. Натомість держави-члени ЄС мають спільно виявляти та мінімізувати ризики в ланцюгах постачання, водночас враховуючи економічні наслідки, щоб уникнути дефіциту постачання компонентів, зокрема чипів.
Прискорена сертифікація як конкурентна перевага
Щоб пом'якшити економічні наслідки виведення проблемних постачальників, Комісія зосереджується на розширенні сертифікації. Нова Європейська система сертифікації кібербезпеки (ECCF) має забезпечити розробку продуктів за принципом "Безпека за замовчуванням". І це повинно відбуватися швидко: нові схеми сертифікації у майбутньому мають розроблятися як стандарт протягом дванадцяти місяців. Раніше регулювання часто відставало від технічного розвитку. Для компаній в ЄС це має стати конкурентною перевагою: сертифікат підтверджуватиме відповідність суворим вимогам ЄС щодо безпеки.
Окрема увага приділяється малим і середнім підприємствам, які часто потерпають від бюрократичного навантаження. Комісія пропонує компенсаторні кроки: близько 28 700 компаній мають отримати полегшення завдяки спрощенню процедур. Нова категорія "середніх підприємств" повинна зменшити витрати на дотримання вимог для десятків тисяч компаній без шкоди для безпеки. Це доповнює єдиний канал повідомлення про інциденти безпеки (Single Entry Point), який, як очікується, прискорить реагування у разі атак програм-вимагачів.
ENISA як центр оборони
Як зазначає heise online, центральним елементом нової архітектури безпеки є Агентство ЄС з кібербезпеки ENISA. Його повноваження не лише продовжують, а й розширюють. Агентство має стати центром європейської лінії оборони: воно керуватиме системами раннього попередження, координуватиме співпрацю з Європолом та підтримуватиме компанії у відновленні після атак. Завдяки новій академії навичок кібербезпеки при ENISA та загальноєвропейським сертифікатам для фахівців з кібербезпеки, Комісія прагне сформувати кадрову базу для підтримки та експлуатації безпечних мереж.
Після оприлюднення пропозиції законодавчий процес переходить до Європарламенту та Ради ЄС. У разі її схвалення регламент негайно набуде чинності. Для національних урядів пакет також означає необхідність протягом одного року впровадити супутні зміни до вимог Директиви NIS2.
Для таких гігантів, як Huawei, чиє обладнання для мобільних мереж вже поступово виходить з ужитку в Німеччині, час спливає: період, коли вони могли відігравати провідну роль у європейській інфраструктурі попри застереження щодо безпеки, добігає кінця. Фрідріх Мерц вже чітко висловився проти використання будь-яких компонентів китайських виробників у німецьких мережах 6G.
Водночас, зауважує heise online, ініціатива ЄС виходить далеко за межі мобільного зв'язку: технології китайських виробників роками використовуються в інших критично важливих сферах, зокрема в залізничному транспорті, енергетиці та муніципальних мережах. Huawei також є одним зі світових лідерів на ринку інверторів для сонячних електростанцій.
Джерело: heise online
