Glavna uprava Europske komisije za komunikacije, mreže, sadržaj i tehnologiju (DG CONNECT) i Ministarstvo domovinske sigurnosti SAD-a (DHS) danas su najavili inicijativu za usporedbu elemenata izvješćivanja o kiberincidentima na kojima će se temeljiti zahtjevi SAD-a i Europske unije za izvješćivanje o kiberincidentima u skladu s Direktivom NIS 2. Transatlantska suradnja između EU-a i SAD-a temelji se na njihovim naporima da svoje građane, ključnu infrastrukturu i poduzeća zaštite od štetnih kiberaktivnosti.
Zajedničko izvješće koje su izradili GU CONNECT i Ministarstvo domovinske sigurnosti, uz potporu njihovih agencija za kibersigurnost, Europske agencije za kibersigurnost (ENISA) i Agencije za sigurnost kibersigurnosti i infrastrukture (CISA), sadržava usporednu procjenu i činjenični pregled preporuka Vijeća za izvješćivanje o kiberincidentima SAD-a i izvješća Ministarstva domovinske sigurnosti za 2023. o usklađivanju izvješćivanja o kiberincidentima Saveznoj vladi i Direktive EU-a 2022/2555 o mjerama za visoku razinu kibersigurnosti diljem Unije (Direktiva NIS2) utvrđivanjem glavnih sličnosti i razlika. Nalazi u ovom izvješću pomoći će u informiranju pristupa GU-a CONNECT i DHS-a evaluaciji postupaka izvješćivanja o kiberincidentima u budućnosti. U izvješću je utvrđeno šest glavnih područja za komparativnu analizu između izvješća Ministarstva domovinske sigurnosti i Direktive EU-a, uključujući: i. definicije i pragovi za izvješćivanje, ii. rokovi, pokretači i vrste izvješćivanja o kiberincidentima, iii. sadržaj izvješća o kiberincidentima, iv. mehanizmi izvješćivanja, v. agregiranje podataka o incidentima i vi. javno objavljivanje informacija o kiberincidentima.
Kiberincidenti ne priznaju granice, a multinacionalna poduzeća često moraju prijaviti incidente u brojnim jurisdikcijama. Predani smo usklađivanju pravila o izvješćivanju o incidentima na nacionalnoj razini i s partnerima istomišljenicima kao što je Europska unija kad god je to izvedivo. Naš pristup omogućit će vladinim tijelima da dobiju informacije koje su im potrebne za pružanje kiberobrane, uz istovremeno racionalizaciju procesa za organizacije žrtava,
rekao je Robert Silvers, podtajnik Ministarstva domovinske sigurnosti za politiku i predsjednik Vijeća za izvješćivanje o kiberincidentima.
U cijelom Atlantiku nastojimo surađivati kako bismo usporedili relevantne zahtjeve u pogledu izvješćivanja, uključujući oblik ili format traženih informacija u potrazi za načinima smanjenja administrativnog opterećenja izvještajnih subjekata,
Roberto Viola, glavni direktor Europske komisije za komunikacijske mreže, sadržaje i tehnologije
Tom se inicijativom, koja je u skladu sa Zajedničkom izjavom ministra domovinske sigurnosti Alejandra N. Mayorkasa i europskog povjerenika za unutarnje tržište Thierryja Bretona, obilježava početak postupka usklađivanja izvješćivanja o transatlantskim kiberincidentima ako je to izvedivo. Ministarstvo domovinske sigurnosti i Glavna uprava CONNECT pozivaju industriju iz SAD-a i EU-a da podijele svoje doprinose i reakcije na našu zajedničku suradnju i pristup evaluaciji postupaka izvješćivanja o kiberincidentima.
To je područje ključno jer relevantna državna tijela moraju imati pristup informacijama o kiberincidentima koji utječu na njihove građane ili na drugi način izazivaju zabrinutost u pogledu sigurnosti i zaštite. Nadalje, svjesni smo da će tijekom sljedećih mjeseci i Sjedinjene Američke Države i Europska unija nastaviti s radom na provedbi sustava obveznog izvješćivanja, među ostalim provedbom preciznijih odredbi o postupku izvješćivanja o incidentima, sadržaju izvješća i rokovima. Važno je ostati povezan s tim pitanjima i uskladiti se gdje je to moguće.
dodala Lorena Boix Alonso, direktorica Europske komisije za digitalno društvo, povjerenje i kibersigurnost
Tijekom sljedeće godine naši timovi planiraju nastaviti suradnju na tehničkoj razini, među ostalim mapiranjem elemenata kao što su taksonomije kibersigurnosnih incidenata, predlošci za izvješćivanje te sadržaj izvješća i formata. Provest ćemo dubinski prijelaz obrasca za izvješćivanje o modelu koji je razvio Ministarstvo domovinske sigurnosti u odnosu na NIS 2 koji je zahtijevao sadržaj izvješća kako bi se utvrdilo gdje postoje preklapanja i razlike u vrstama podataka koji se traže. Dok nastavljamo s tim naporima, moramo ostati agilni i prilagoditi se brzom razvoju kiberprijetnji jer ništa u našem digitalnom svijetu nije dugo statično.
Iranga Kahangama, pomoćnik ministra za kibersigurnost, infrastrukturu, rizike i otpornost Ministarstva domovinske sigurnosti.
Zakonom o izvješćivanju o kiberincidentima za kritičnu infrastrukturu (Circia), koji je predsjednik Biden potpisao 2022., osnovano je Vijeće za izvješćivanje o kiberincidentima (CIRC), pod vodstvom Ministarstva domovinske sigurnosti, radi „koordiniranja, dekonfliktiranja i usklađivanja zahtjeva za izvješćivanje o saveznim incidentima, uključujući one koji se izdaju na temelju propisa.” CIRC, kojim predsjeda Ministarstvo domovinske sigurnosti i uključuje zastupanje više od 30 agencija, iznio je niz provedivih preporuka o tome kako vlada SAD-a može pojednostavniti i uskladiti izvješćivanje o kiberincidentima kako bi se bolje zaštitila kritična infrastruktura nacije. Ministarstvo domovinske sigurnosti dostavilo je 2023. Kongresu izvješće s preporukama Vijeća pod nazivom Usklađivanje izvješćivanja o kiberincidentima Saveznoj vladi.
U siječnju 2023. na snagu je stupila Direktiva NIS2, čime je državama članicama EU-a dano 21 mjesec da je prenesu u nacionalno zakonodavstvo. Direktiva NIS2 temelji se na zahtjevima iz Direktive (EU) 2016/1148 koja je prethodila Direktivi (EU) 2016/1148 o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (Direktiva NIS), koja je na snazi od 2016., ali se njome povećava zajednička razina ambicije EU-a u pogledu kibersigurnosti s pomoću šireg područja primjene, jasnijih pravila i jačih nadzornih alata. Direktivom NIS2 usklađuju se, jačaju i pojednostavnjuju zahtjevi u pogledu sigurnosti i izvješćivanja o incidentima za veći broj subjekata, koji su ključni za europsko gospodarstvo i društvo.
Related content
Policy and legislation | 20 ožujka 2024
Kako bi se pružila informacija o trenutačnoj provedbi Akta o izvješćivanju o kiberincidentima za kritičnu infrastrukturu iz 2022. i Direktive EU-a o visokoj razini kibersigurnosti diljem Unije (Direktiva NIS 2) od strane odgovarajućih tijela te kako bi se subjektima aktivnima u više jurisdikcija pružila potpora u njihovim nastojanjima da odgovore na kiberincidente, Ministarstvo domovinske sigurnosti (DHS) i GU CONNECT Europske komisije objavljuju ovo zajedničko izvješće u kojem se utvrđuju glavne sličnosti i razlike.