Увод
Предлог директиве о мрежној и информационој безбедности (NIS Directive) Европске уније представља један од почетних корака ка изградњи политике ЕУ у овој области. Текст предложене директиве објављен је у фебруару 2013. године, а Европски парламент је усвојио амандмане на директиву у марту 2014. године, на које је највећи утицај имао Комитет за унутрашње тржиште и заштиту потрошача. Директива још није усвојена, и о њој још увек постоје несагласности, о којима ће бити речи у овом тексту.
Предложена директива припремљена је у циљу успостављања целовитог система мрежне и информационе безбедности, који ће, путем учешћа државних органа и привредних субјеката, омогућити да се повећа ниво опште припремљености, информисаности и реаговања на инциденте у информационо-комуникационим (ИКТ) системима. Актом је планирано да државе чланице донесу Стратегију мрежне и информационе безбедности, одреде надлежни орган за информациону безбедност и успоставе Национални центар за превенцију безбедносних ризика у ИКТ системима (Национални ЦЕРТ), као и да одреде јединствене контакт тачке за размену информација. Према предложеном решењу, државе чланице су дужне да размењују рана упозорења о инцидентима и реагују на инциденте уз међусобну сарадњу. Такође, директивом би се обавезали одређени субјекти да предузму адекватне техничке и организационе мере у циљу одржања информационе безбедности, као и да надлежним органима пријављују инциденте у својим ИКТ системима којима се значајно нарушава информациона безбедност.
Директивом се не дира у правни режим установљен прописима о заштити података о личности и приватности, те је приликом примене ове директиве неопходно водити рачуна о правилима у наведеним областима. Државе чланице би биле дужне да директиву пренесу у своје правне системе у року од 18 месеци од њеног усвајања.
Спорна питања
Између Европског парламента и Европског савета постоје различита виђења о појединим питањима које треба да регулише ова директива. О неколико питања постигнута је сагласност, док нека и даље остају отворена, због чега још увек није дошло до усвајања директиве.
Европски парламент и Европски савет су се сложили да се послови органа ЕУ и држава чланица који су предвиђени овом директивом обављају у оквиру постојеће инфраструктуре (Европска агенција за безбедност мрежа и информација – ENISA, EU-CERT, ЦЕРТ-ови држава чланица, државни органи и регулаторна тела) и у сарадњи надлежних тела за различите друштвене области (пре свега у односу на операторе критичне инфраструктуре). Државе чланице самостално, зависно од својих капацитета и потреба, именују једно или више надлежних тела, с тим што је за потребе међународне сарадње потребно да одреде јединствену контакт тачку (институцију).
Како је сазнавање и ширење информација о опасним инцидентима веома корисно и важно, директива је предвидела да субјекти на које се она односи (државни органи и одређени привредни субјекти) пријављују инциденте надлежном органу који знатно угрожавају безбедност услуга које се пружају. Међутим, постојала је несагласност о томе шта би се сматрало инцидентом који треба да се пријави. Договорено је да се државама чланицама остави слобода да дефинишу који то инциденти представљају „значајно угрожавање безбедности“ и који, услед тога, морају да се пријаве надлежним органима, водећи рачуна о различитости сваког привредног сектора.
Ипак, отворено је питање на које ће се субјекте ова директива примењивати. Предложеном директивом предвидело се да јавна управа и привредни субјекти буду обавезни да предузму адекватне техничке и организационе мере како би се постигао одговарајући ниво информационе безбедности, као и да пријављују инциденте у својим ИКТ системима надлежном органу. Европски парламент је мишљења да јавна управа не треба да буде обавезана директивом и да државе чланице самостално треба да одлуче о том питању, те су усвојени амандмани којима је регулисано да државе чланице самостално одлучују да ли ће се ова директива примењивати на јавну управу. Поред тога, постоје спорења о врсти привредних субјеката на које би се директива примењивала.
Најпре је било предвиђено да то буду пружаоци услуга информационог друштва којима се омогућавају друге услуге информационог друштва, и то:
- платформе за е-трговину,
- платформе за плаћање путем Интернета,
- друштвене мреже,
- Интернет претраживачи,
- субјекти који обављају услуге рачунарства у облаку (енг. Cloud Computing),
- онлајн продавнице апликација.
Планирано је да државе чланице могу да додају и друге субјекте у ову групу.
Међутим, Европски парламент је супротног мишљења и сматра да ови субјекти не треба да буду обухваћени директивом. Важно је истаћи да су наведени привредни субјекти изразили велико незадовољство предложеном директивом, уз констатације да њихово поступање не треба стриктно уређивати и да би таква „тврда регулацијаˮ ометала привредни развој.
Наводили су да би обавеза пријављивања инцидената изазвала трошкове и оптерећење за њих и створила тзв. „репутациони ризик“, а пре свега код малих и средњих предузећа, која често немају капацитет да испуне захтеване стандарде, те би јавно објављивање инцидената штетило њиховом пословању и угледу. Уз то, истицано је да је боље следити политику САД у овој области, у којој не постоје обавезујући акти на нивоу државе, већ се стандарди мрежне и информационе безбедности постављају у оквиру саме индустрије.
Директивом је планирано да се обухвате и оператори критичне инфраструктуре, и то у областима енергетике, превоза, банкарства, берзи, здравства. Директива је набројала ове области, уз давање простора државама чланицама да саме додатно предвиде и друге области. Међутим, Европски парламент је става да би директива требала да детаљније одреди области критичне инфраструктуре, као и да се обавезе из директиве односе само на оне субјекте чије услуге имају већи значај у државама чланицама, и чији су ИКТ системи повезани са његовим кључним услугама. То значи да би се обавезали они оператори критичне инфраструктуре чији рад се у великој мери заснива на коришћењу ИКТ система (што је данас чест случај).
Европски парламент је у свом предлогу детаљније одредио горе побројане области критичне инфрастуктуре, и додао да оператори критичне инфраструктуре могу да буду и оператори финансијског тржишта, средишта за размену Интернет саобраћаја, снабдевачи воде и ланци снабдевања храном.
Треба истаћи да САД другачије приступају регулисању области информационе безбедности. Наиме, Национални институт за стандарде и технологију израдио је Оквир за унапређење информационе безбедности критичних инфраструктура, као и Смернице за унапређење информационе безбедности критичних инфраструктура. Међутим, оне немају обавезујућу правну снагу, јер САД није тренутно склона тврдом регулисању ове области. То може да буде проблем, с обзиром да САД и ЕУ имају различите приступе у погледу потребе за регулацијом, а посебно имајући у виду да највише компанија из области информационих технологија потиче из САД. Инциденти у рачунарским системима често имају прекогранични карактер, а различити приступи регулисању могу да направе потешкоће у ефикасној превенцији и одговору на инциденте.
Решења за која би се требало определити
Ипак, чини се да је у овој области одређена регулација неопходна. Најпре, јавна управа би морала да буде обавезана да предузима мере информационе безбедности, јер обавља послове у служби грађана и друштва, при чему у својим ИКТ системима често прикупља податке о грађанима, води евиденције и чува документа која настају у њиховом раду. Сајтови јавне управе неретко су мета напада из различитих мотива (политичких, криминалних и др.). Због тога, не би смело да се дозволи да не постоје обавезе и одговорности за безбедност ИКТ система тих органа, односно да не постоји превенција од рачунарских инцидената у јавној управи.
Даље, пружаоци услуга информационог друштва којима се обезбеђују друге услуге информационог друштва, који су горе побројани, треба да буду субјекти регулације.
Неспорно је да платформе за е-трговину, платформе за плаћања путем Интернета, субјекти који обављају услуге рачунарства у облаку и други рукују са подацима чије би неовлашћено прибављање могло да изазове велике штете.
Иако многи од њих имају своје политике безбедности, предузимају мере и сарађују са државним органима у случају инцидената, притисак државе путем императивних одредаба закона и санкција за њихово неизвршење може да буде користан.
При томе, држава треба да има партнерски приступ према привреди, што је утврђено и у Стратегији информационе безбедности ЕУ, док би санкционисање била крајња мера. Не треба потпуно бити неповерљив и мислити да ови субјекти и без законских обавеза не би предузимали одговарајуће мере (напротив, многима је, из више разлога, битно да сачувају поверење корисника и не трпе штете у свом пословању), али треба имати у виду да, према констатацијама из Стратегије информационе безбедности ЕУ, немали број привредних субјеката доживљава улагање у информациону безбедност као трошак (што се видело и у њиховим реакцијама на предлог ове директиве), због чега би, ради општег добра, држава требало да интервенише у мери у којој је то довољно, при том не прописујући обавезе које нису неопходне и остављајући простор да ти субјекти, зависно од конкретног ИКТ система и ризика, процене које су мере најпогодније.