Europaparlamentet gjennomførte denne uken en midlertidig avstemning om det som kan bli de første felles IT-sikkerhetsreglene for hele EU. Reglene skal blant annet sikre at viktig infrastruktur og andre essensielle tjenester er godt sikret mot IT-angrep.
– Parlamentet har jobbet hard for å en harmonisert identifisering av kritiske operatører innen energi, transport, helse og finans, som vil måtte fullbyrde sikkerhetstiltak og varsle om betydelige IT-episoder. Medlemsstatene er nødt til å samarbeide mer om kybersikkerhet, noe som er enda viktigere i lys av den nåværende situasjonen i Europa, sier det tyske parlamentsmedlemmet Andreas Schwab, i en pressemelding fra Europaparlamentet.
Dette innebærer blant annet at selskaper som leverer essensielle samfunnstjenester, som trafikkontroll og styring av elektrisitetsnett, må sørge for at den digitale infrastrukturen de bruker er robust nok til å motstå kyberangrep.
Må identifiseres
Medlemsstatene vil selv måtte identifisere de konkrete leverandørene som er berørt av dette i hvert enkelt land. Det er gitt visse kriterier for en slik identifisering. Blant annet må det avgjøres om tjenesten kan anses som avgjørende for samfunnet og økonomien, at den avhenger av nettverks- eller IT-systemer, og om eventuelle hendelser vil ha betydelig forstyrrende effekt på forsingene de skal levere, eller på almen sikkerhet.
Reglene skal dog ikke gjelde bare for leverandører av samfunnstjenester, men også for noen leverandører av internett-baserte tjenester. Dette gjelder blant annet nettbaserte markedsplasser, som eBay og Amazon, søkemotorer som Google, samt leverandører av nettskytjenester.
Disse må både forsikre at infrastrukturen deres er sikret mot angrep, og varsle offentlige myndigheter dersom det likevel skjer betydelige sikkerhetsbrudd.
Ifølge Europaparlamentet vil små, digitale selskaper få unntak fra disse reglene. EUs definisjon på et lite selskap, er at det har færre enn 50 ansatte og en årlig omsetning på under 10 millioner euro.
Nasjonale responsteam
Etter alt å dømme gjenstår det fortsatt en del arbeid med detaljene i regelverket, før vedtaket er endelig.
– For å sikre et høyt sikkerhetsnivå på tvers av EU og å utvikle tillit og fortrolighet blant medlemsstatene, nedsetter regelutkastet en strategisk samarbeidsgruppe for å utveksle informasjon og beste praksis, å etablere retningslinjer og å bistå medlemsstatene i å bygge kapasitet innen kybersikkerhet, heter det i pressemeldingen.
Hvert medlemsland skal ifølge utkastet også etablere egne Computer Security Incidents Response Teams (CSIRT) for å håndtere hendelser. Nettverket av disse CSIRT-ene vil dessuten ha som oppgave å diskutere hendelser som krysser landene, samt å finne fram til koordinerte tiltak mot disse.
Alt i deres makt
Til britiske Computing sier Jens Puhle, daglig leder i IT-sikkerhetsselskapet 8MAN, at de nye reglene innebærer at virksomheter må ta mer ansvar rundt det å håndtere data.
– Overraskende store organisasjoner har liten oversikt over hvem som har tilgang til viktige data, slik som kunders finansielle data og immaterielle eiendom, noe som gjør dem vidåpne for interne datainnbrudd, sier Puhle.
– Selskaper må bevise at de gjør alt i deres makt for å låse ned virksomhetskritiske data, inkludert å begrense tilgangen til essensielt personell og å utstyre seg selv med muligheten til å overvåke og spore all tilgang, mener Puhle.
Han viser til lovgivning som nå foreslås parallelt med den kommende reguleringen av datavern i EU, åpner for bøter på opptil 100 millioner euro for dårlig sikkerhetspraksis.
– Enhver organisasjon som fortsatt ikke er i stand til å stå til regning for hvordan data aksesseres, risikerer katastrofe, sier Puhle til Computing.