Το DHS και η ΓΔ CONNECT ανακοινώνουν την πρωτοβουλία σύγκρισης της αναφοράς περιστατικών στον κυβερνοχώρο με στόχο την καλύτερη ευθυγράμμιση των διατλαντικών προσεγγίσεων

Σήμερα, η Γενική Διεύθυνση Επικοινωνιών, Δικτύων, Περιεχομένου και Τεχνολογίας της Ευρωπαϊκής Επιτροπής (ΓΔ CONNECT) και το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ (DHS) ανακοίνωσαν μια πρωτοβουλία για τη σύγκριση στοιχείων αναφοράς περιστατικών στον κυβερνοχώρο που θα ενημερώσουν τις απαιτήσεις αναφοράς περιστατικών στον κυβερνοχώρο από τις ΗΠΑ και την Ευρωπαϊκή Ένωση (ΕΕ) βάσει της οδηγίας NIS 2. Αυτή η διατλαντική συνεργασία μεταξύ της ΕΕ και των ΗΠΑ βασίζεται στις προσπάθειές τους να εξασφαλίσουν τους ανθρώπους, τις υποδομές ζωτικής σημασίας και τις επιχειρήσεις τους έναντι επιζήμιων δραστηριοτήτων στον κυβερνοχώρο. 

Η κοινή έκθεση που εκπονήθηκε από τη ΓΔ CONNECT και το DHS, με την υποστήριξη των αντίστοιχων οργανισμών κυβερνοασφάλειας, του Ευρωπαϊκού Οργανισμού για την Κυβερνοασφάλεια (ENISA) και του Οργανισμού Ασφάλειας Κυβερνοασφάλειας και Υποδομών (CISA), παρέχει συγκριτική αξιολόγηση και τεκμηριωμένη επισκόπηση των συστάσεων του Συμβουλίου Αναφοράς Συμβάντος στον Κυβερνοχώρο των ΗΠΑ και της έκθεσης του DHS του 2023 σχετικά με την εναρμόνιση των αναφορών συμβάντων στον κυβερνοχώρο προς την ομοσπονδιακή κυβέρνηση και την οδηγία 2022/2555 της ΕΕ σχετικά με μέτρα για υψηλό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (οδηγία NIS2), προσδιορίζοντας τις κύριες ομοιότητες και αποκλίσεις. Τα πορίσματα της παρούσας έκθεσης θα συμβάλουν στην ενημέρωση της ΓΔ CONNECT και της προσέγγισης του DHS όσον αφορά την αξιολόγηση των διαδικασιών αναφοράς συμβάντων στον κυβερνοχώρο στο μέλλον. Η έκθεση προσδιορίζει έξι βασικούς τομείς για συγκριτική ανάλυση μεταξύ της έκθεσης του DHS και της οδηγίας της ΕΕ, μεταξύ των οποίων: I) ορισμοί και κατώτατα όρια αναφοράς, ii) χρονοδιαγράμματα, σημεία ενεργοποίησης και είδη αναφοράς συμβάντων στον κυβερνοχώρο, iii) περιεχόμενο αναφορών περιστατικών στον κυβερνοχώρο, iv) μηχανισμοί αναφοράς, v) συγκέντρωση δεδομένων συμβάντων και vi) δημοσιοποίηση πληροφοριών σχετικά με συμβάντα. 

Τα κυβερνοπεριστατικά δεν αναγνωρίζουν σύνορα και οι πολυεθνικές εταιρείες συχνά υποχρεούνται να αναφέρουν περιστατικά σε πολλές δικαιοδοσίες. Δεσμευόμαστε να εναρμονίσουμε τους κανόνες αναφοράς συμβάντων σε εθνικό επίπεδο και με ομοϊδεάτες εταίρους, όπως η Ευρωπαϊκή Ένωση, όποτε αυτό είναι εφικτό. Η προσέγγισή μας θα επιτρέψει στις κυβερνητικές αρχές να λάβουν τις πληροφορίες που χρειάζονται για την παροχή κυβερνοάμυνας, ενώ παράλληλα θα εξορθολογίσουν τη διαδικασία για τις οργανώσεις θυμάτων.

δήλωσε ο Robert Silvers, Υφυπουργός Πολιτικής του DHS και πρόεδρος του Συμβουλίου Αναφοράς Συμβάντος στον Κυβερνοχώρο. 

Πέρα από τον Ατλαντικό, επιδιώκουμε να συνεργαστούμε για τη σύγκριση των σχετικών απαιτήσεων υποβολής εκθέσεων, συμπεριλαμβανομένης της μορφής ή της μορφής των πληροφοριών που ζητούνται αναζητώντας τρόπους ελαχιστοποίησης του διοικητικού φόρτου για τις αναφέρουσες οντότητες,

Roberto Viola, Γενικός Διευθυντής Επικοινωνιακών Δικτύων, Περιεχομένου και Τεχνολογίας της Ευρωπαϊκής Επιτροπής 

Η πρωτοβουλία αυτή — η οποία ευθυγραμμίζεται με την κοινή δήλωση του 2024 μεταξύ του υπουργού Εσωτερικής Ασφάλειας Alejandro N. Mayorkas και του Ευρωπαίου Επιτρόπου Εσωτερικής Αγοράς κ. Thierry Breton — σηματοδοτεί την έναρξη μιας διαδικασίας για την ευθυγράμμιση της διατλαντικής αναφοράς περιστατικών στον κυβερνοχώρο, όπου αυτό είναι εφικτό. Το DHS & η ΓΔ CONNECT καλούν τη βιομηχανία τόσο από τις ΗΠΑ όσο και από την ΕΕ να μοιραστεί τις απόψεις και τις αντιδράσεις της στην κοινή μας συνεργασία και προσέγγιση όσον αφορά την αξιολόγηση των διαδικασιών αναφοράς περιστατικών στον κυβερνοχώρο. 

Ο τομέας αυτός είναι κρίσιμος, καθώς οι αρμόδιες κυβερνητικές αρχές πρέπει να έχουν πρόσβαση σε πληροφορίες σχετικά με συμβάντα στον κυβερνοχώρο που επηρεάζουν τους πολίτες τους ή εγείρουν με άλλο τρόπο ανησυχίες σχετικά με την ασφάλεια και την προστασία. Επιπλέον, αναγνωρίζουμε ότι τους επόμενους μήνες, τόσο οι Ηνωμένες Πολιτείες όσο και η Ευρωπαϊκή Ένωση θα συνεχίσουν τις εργασίες για την εφαρμογή υποχρεωτικών καθεστώτων αναφοράς, μεταξύ άλλων με την εφαρμογή ακριβέστερων διατάξεων σχετικά με τη διαδικασία αναφοράς συμβάντων, το περιεχόμενο των αναφορών και τα χρονοδιαγράμματα. Είναι σημαντικό να παραμείνετε συνδεδεμένοι σε αυτά τα θέματα και να ευθυγραμμιστείτε όπου είναι δυνατόν.

η Lorena Boix Alonso, διευθύντρια της Ευρωπαϊκής Επιτροπής για την Ψηφιακή Κοινωνία, την Εμπιστοσύνη και την Κυβερνοασφάλεια

Κατά τη διάρκεια του επόμενου έτους, οι ομάδες μας σχεδιάζουν να συνεχίσουν τη συνεργασία μας σε πιο τεχνικό επίπεδο, μεταξύ άλλων με τη χαρτογράφηση στοιχείων όπως οι ταξινομίες συμβάντων κυβερνοασφάλειας, τα πρότυπα αναφοράς και το περιεχόμενο των αναφορών και των μορφοτύπων. Θα διεξάγουμε μια εις βάθος διασταύρωση του αναπτυγμένου από το DHS Model Reporting Form σε σχέση με το απαιτούμενο περιεχόμενο των εκθέσεων NIS 2 για να εντοπίσουμε πού υπάρχει αλληλεπικάλυψη και διαφορές στους τύπους των δεδομένων που ζητούνται. Καθώς συνεχίζουμε αυτές τις προσπάθειες, πρέπει να παραμείνουμε ευέλικτοι και να προσαρμοστούμε στο ταχέως εξελισσόμενο τοπίο απειλών στον κυβερνοχώρο, καθώς τίποτα δεν παραμένει στατικό στον ψηφιακό μας κόσμο για μεγάλο χρονικό διάστημα.

ο Iranga Kahangama, Βοηθός Γραμματέας του DHS για τον Κυβερνοχώρο, τις Υποδομές, τους Κινδύνους και την Ανθεκτικότητα.

Ο νόμος Cyber Incident Reporting for Critical Infrastructure Act (Circia), ο οποίος υπογράφηκε από τον Πρόεδρο Biden το 2022, θέσπισε το Συμβούλιο Αναφοράς Συμβάντος στον Κυβερνοχώρο (CIRC), υπό την ηγεσία του DHS, με σκοπό τον συντονισμό, την άρση συγκρούσεων και την εναρμόνιση των ομοσπονδιακών απαιτήσεων αναφοράς συμβάντων, συμπεριλαμβανομένων εκείνων που εκδίδονται μέσω κανονισμών.» Το CIRC, του οποίου προεδρεύει το DHS και περιλαμβάνει εκπροσώπηση από περισσότερους από 30 οργανισμούς, παρουσίασε μια σειρά από εφαρμόσιμες συστάσεις σχετικά με τον τρόπο με τον οποίο η κυβέρνηση των ΗΠΑ μπορεί να εξορθολογίσει και να εναρμονίσει την αναφορά περιστατικών στον κυβερνοχώρο για την καλύτερη προστασία των υποδομών ζωτικής σημασίας του έθνους. Το 2023, το DHS υπέβαλε έκθεση στο Κογκρέσο, συμπεριλαμβανομένων συστάσεων του Συμβουλίου με τίτλο Εναρμόνιση της αναφοράς συμβάντων στον κυβερνοχώρο προς την ομοσπονδιακή κυβέρνηση.

Τον Ιανουάριο του 2023 τέθηκε σε ισχύ η οδηγία NIS2, δίνοντας στα κράτη μέλη της ΕΕ 21 μήνες για να την μεταφέρουν στο εθνικό δίκαιο. Η οδηγία NIS2 βασίζεται στις απαιτήσεις της προηγούμενης οδηγίας (ΕΕ) 2016/1148, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (οδηγία NIS), η οποία ισχύει από το 2016, αλλά αυξάνει το κοινό επίπεδο φιλοδοξίας της ΕΕ για την ασφάλεια στον κυβερνοχώρο, μέσω ευρύτερου πεδίου εφαρμογής, σαφέστερων κανόνων και ισχυρότερων εργαλείων εποπτείας. Η οδηγία NIS2 εναρμονίζει, ενισχύει και εξορθολογίζει τις απαιτήσεις ασφάλειας και αναφοράς συμβάντων για μεγαλύτερο αριθμό οντοτήτων, οι οποίες είναι ζωτικής σημασίας για την ευρωπαϊκή οικονομία και κοινωνία.