Predlog Direktive o mrežnoj i informacionoj bezbednosti EU

Predlog Direktive o mrežnoj i informacionoj bezbednosti EU

Uvod

Predlog direktive o mrežnoj i informacionoj bezbednosti (NIS Directive) Evropske unije predstavlja jedan od početnih koraka ka izgradnji politike EU u ovoj oblasti. Tekst predložene direktive objavljen je u februaru 2013. godine, a Evropski parlament je usvojio amandmane na direktivu u martu 2014. godine, na koje je najveći uticaj imao Komitet za unutrašnje tržište i zaštitu potrošača. Direktiva još nije usvojena, i o njoj još uvek postoje nesaglasnosti, o kojima će biti reči u ovom tekstu.

Predložena direktiva pripremljena je u cilju uspostavljanja celovitog sistema mrežne i informacione bezbednosti, koji će, putem učešća državnih organa i privrednih subjekata, omogućiti da se poveća nivo opšte pripremljenosti, informisanosti i reagovanja na incidente u informaciono-komunikacionim (IKT) sistemima. Aktom je planirano da države članice donesu Strategiju mrežne i informacione bezbednosti, odrede nadležni organ za informacionu bezbednost i uspostave Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT), kao i da odrede jedinstvene kontakt tačke za razmenu informacija. Prema predloženom rešenju, države članice su dužne da razmenjuju rana upozorenja o incidentima i reaguju na incidente uz međusobnu saradnju. Takođe, direktivom bi se obavezali određeni subjekti da preduzmu adekvatne tehničke i organizacione mere u cilju održanja informacione bezbednosti, kao i da nadležnim organima prijavljuju incidente u svojim IKT sistemima kojima se značajno narušava informaciona bezbednost.

Direktivom se ne dira u pravni režim ustanovljen propisima o zaštiti podataka o ličnosti i privatnosti, te je prilikom primene ove direktive neophodno voditi računa o pravilima u navedenim oblastima. Države članice bi bile dužne da direktivu prenesu u svoje pravne sisteme u roku od 18 meseci od njenog usvajanja.

Sporna pitanja

Između Evropskog parlamenta i Evropskog saveta postoje različita viđenja o pojedinim pitanjima koje treba da reguliše ova direktiva. O nekoliko pitanja postignuta je saglasnost, dok neka i dalje ostaju otvorena, zbog čega još uvek nije došlo do usvajanja direktive.

Evropski parlament i Evropski savet su se složili da se poslovi organa EU i država članica koji su predviđeni ovom direktivom obavljaju u okviru postojeće infrastrukture (Evropska agencija za bezbednost mreža i informacija – ENISA, EU-CERT, CERT-ovi država članica, državni organi i regulatorna tela) i u saradnji nadležnih tela za različite društvene oblasti (pre svega u odnosu na operatore kritične infrastrukture). Države članice samostalno, zavisno od svojih kapaciteta i potreba, imenuju jedno ili više nadležnih tela, s tim što je za potrebe međunarodne saradnje potrebno da odrede jedinstvenu kontakt tačku (instituciju).

Kako je saznavanje i širenje informacija o opasnim incidentima veoma korisno i važno, direktiva je predvidela da subjekti na koje se ona odnosi (državni organi i određeni privredni subjekti) prijavljuju incidente nadležnom organu koji znatno ugrožavaju bezbednost usluga koje se pružaju. Međutim, postojala je nesaglasnost o tome šta bi se smatralo incidentom koji treba da se prijavi. Dogovoreno je da se državama članicama ostavi sloboda da definišu koji to incidenti predstavljaju „značajno ugrožavanje bezbednosti“ i koji, usled toga, moraju da se prijave nadležnim organima, vodeći računa o različitosti svakog privrednog sektora.

Ipak, otvoreno je pitanje na koje će se subjekte ova direktiva primenjivati. Predloženom direktivom predvidelo se da javna uprava i privredni subjekti budu obavezni da preduzmu adekvatne tehničke i organizacione mere kako bi se postigao odgovarajući nivo informacione bezbednosti, kao i da prijavljuju incidente u svojim IKT sistemima nadležnom organu. Evropski parlament je mišljenja da javna uprava ne treba da bude obavezana direktivom i da države članice samostalno treba da odluče o tom pitanju, te su usvojeni amandmani kojima je regulisano da države članice samostalno odlučuju da li će se ova direktiva primenjivati na javnu upravu. Pored toga, postoje sporenja o vrsti privrednih subjekata na koje bi se direktiva primenjivala.

Najpre je bilo predviđeno da to budu pružaoci usluga informacionog društva kojima se omogućavaju druge usluge informacionog društva, i to:

Planirano je da države članice mogu da dodaju i druge subjekte u ovu grupu.

Međutim, Evropski parlament je suprotnog mišljenja i smatra da ovi subjekti ne treba da budu obuhvaćeni direktivom. Važno je istaći da su navedeni privredni subjekti izrazili veliko nezadovoljstvo predloženom direktivom, uz konstatacije da njihovo postupanje ne treba striktno uređivati i da bi takva „tvrda regulacijaˮ ometala privredni razvoj.

Navodili su da bi obaveza prijavljivanja incidenata izazvala troškove i opterećenje za njih i stvorila tzv. „reputacioni rizik“, a pre svega kod malih i srednjih preduzeća, koja često nemaju kapacitet da ispune zahtevane standarde, te bi javno objavljivanje incidenata štetilo njihovom poslovanju i ugledu. Uz to, isticano je da je bolje slediti politiku SAD u ovoj oblasti, u kojoj ne postoje obavezujući akti na nivou države, već se standardi mrežne i informacione bezbednosti postavljaju u okviru same industrije.

Direktivom je planirano da se obuhvate i operatori kritične infrastrukture, i to u oblastima energetike, prevoza, bankarstva, berzi, zdravstva. Direktiva je nabrojala ove oblasti, uz davanje prostora državama članicama da same dodatno predvide i druge oblasti. Međutim, Evropski parlament je stava da bi direktiva trebala da detaljnije odredi oblasti kritične infrastrukture, kao i da se obaveze iz direktive odnose samo na one subjekte čije usluge imaju veći značaj u državama članicama, i čiji su IKT sistemi povezani sa njegovim ključnim uslugama. To znači da bi se obavezali oni operatori kritične infrastrukture čiji rad se u velikoj meri zasniva na korišćenju IKT sistema (što je danas čest slučaj).

Evropski parlament je u svom predlogu detaljnije odredio gore pobrojane oblasti kritične infrastukture, i dodao da operatori kritične infrastrukture mogu da budu i operatori finansijskog tržišta, središta za razmenu Internet saobraćaja, snabdevači vode i lanci snabdevanja hranom.

Treba istaći da SAD drugačije pristupaju regulisanju oblasti informacione bezbednosti. Naime, Nacionalni institut za standarde i tehnologiju izradio je Okvir za unapređenje informacione bezbednosti kritičnih infrastruktura, kao i Smernice za unapređenje informacione bezbednosti kritičnih infrastruktura. Međutim, one nemaju obavezujuću pravnu snagu, jer SAD nije trenutno sklona tvrdom regulisanju ove oblasti. To može da bude problem, s obzirom da SAD i EU imaju različite pristupe u pogledu potrebe za regulacijom, a posebno imajući u vidu da najviše kompanija iz oblasti informacionih tehnologija potiče iz SAD. Incidenti u računarskim sistemima često imaju prekogranični karakter, a različiti pristupi regulisanju mogu da naprave poteškoće u efikasnoj prevenciji i odgovoru na incidente.

Rešenja za koja bi se trebalo opredeliti

Ipak, čini se da je u ovoj oblasti određena regulacija neophodna. Najpre, javna uprava bi morala da bude obavezana da preduzima mere informacione bezbednosti, jer obavlja poslove u službi građana i društva, pri čemu u svojim IKT sistemima često prikuplja podatke o građanima, vodi evidencije i čuva dokumenta koja nastaju u njihovom radu. Sajtovi javne uprave neretko su meta napada iz različitih motiva (političkih, kriminalnih i dr.). Zbog toga, ne bi smelo da se dozvoli da ne postoje obaveze i odgovornosti za bezbednost IKT sistema tih organa, odnosno da ne postoji prevencija od računarskih incidenata u javnoj upravi.

Dalje, pružaoci usluga informacionog društva kojima se obezbeđuju druge usluge informacionog društva, koji su gore pobrojani, treba da budu subjekti regulacije.

Nesporno je da platforme za e-trgovinu, platforme za plaćanja putem Interneta, subjekti koji obavljaju usluge računarstva u oblaku i drugi rukuju sa podacima čije bi neovlašćeno pribavljanje moglo da izazove velike štete.

Iako mnogi od njih imaju svoje politike bezbednosti, preduzimaju mere i sarađuju sa državnim organima u slučaju incidenata, pritisak države putem imperativnih odredaba zakona i sankcija za njihovo neizvršenje može da bude koristan.

Pri tome, država treba da ima partnerski pristup prema privredi, što je utvrđeno i u Strategiji informacione bezbednosti EU, dok bi sankcionisanje bila krajnja mera. Ne treba potpuno biti nepoverljiv i misliti da ovi subjekti i bez zakonskih obaveza ne bi preduzimali odgovarajuće mere (naprotiv, mnogima je, iz više razloga, bitno da sačuvaju poverenje korisnika i ne trpe štete u svom poslovanju), ali treba imati u vidu da, prema konstatacijama iz Strategije informacione bezbednosti EU, nemali broj privrednih subjekata doživljava ulaganje u informacionu bezbednost kao trošak (što se videlo i u njihovim reakcijama na predlog ove direktive), zbog čega bi, radi opšteg dobra, država trebalo da interveniše u meri u kojoj je to dovoljno, pri tom ne propisujući obaveze koje nisu neophodne i ostavljajući prostor da ti subjekti, zavisno od konkretnog IKT sistema i rizika, procene koje su mere najpogodnije.

Milan Vojvodić

Diplomirani pravnik sa fokusom na informacionu bezbednost. Radi u Ministarstvu trgovine, turizma i telekomunikacija - Sektor za informaciono društvo. Bio član delegacije R. Srbije na skriningu u okviru PG 10 - Informaciono društvo i mediji.

One Comment

  1. Pingback: ENISA: analiza kritične informacione infrastrukture | PravoIKT

Comments are closed.