DHS a GR CONNECT oznámili iniciatívu porovnávajúcu oznamovanie kybernetických incidentov s cieľom lepšie zosúladiť transatlantické prístupy

Generálne riaditeľstvo Európskej komisie pre komunikáciu, siete, obsah a technológie (GR CONNECT) a Ministerstvo vnútornej bezpečnosti USA (DHS) dnes oznámili iniciatívu na porovnanie prvkov oznamovania kybernetických incidentov, ktoré budú podkladom pre požiadavky USA na oznamovanie kybernetických incidentov a Európskej únie (EÚ) podľa smernice NIS 2. Táto transatlantická spolupráca medzi EÚ a USA nadväzuje na ich úsilie o zabezpečenie svojich občanov, kritickej infraštruktúry a podnikov proti škodlivým kybernetickým aktivitám. 

Spoločná správa vypracovaná GR CONNECT a DHS s podporou ich príslušných agentúr pre kybernetickú bezpečnosť, Európskej agentúry pre kybernetickú bezpečnosť (ENISA) a Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) poskytuje porovnávacie posúdenie a faktický prehľad odporúčaní Rady USA pre oznamovanie kybernetických incidentov a správy DHS z roku 2023 o harmonizácii oznamovania kybernetických incidentov federálnej vláde a smernice EÚ 2022/2555 o opatreniach na zabezpečenie vysokej úrovne kybernetickej bezpečnosti v Únii (smernica NIS2), pričom sa identifikujú hlavné podobnosti a rozdiely. Zistenia v tejto správe pomôžu GR CONNECT a prístup DHS k hodnoteniu procesov oznamovania kybernetických incidentov v budúcnosti. V správe sa uvádza šesť hlavných oblastí porovnávacej analýzy medzi správou DHS a smernicou EÚ vrátane: i) vymedzenia pojmov a prahové hodnoty nahlasovania, ii) harmonogramy, spúšťacie mechanizmy a druhy oznamovania kybernetických incidentov, iii) obsah správ o kybernetických incidentoch, iv) mechanizmy oznamovania, v) zhromažďovanie údajov o incidentoch a vi) zverejňovanie informácií o kybernetických incidentoch. 

Kybernetické incidenty neuznávajú hranice a nadnárodné spoločnosti sú často povinné oznamovať incidenty v mnohých jurisdikciách. Sme odhodlaní harmonizovať pravidlá oznamovania incidentov na vnútroštátnej úrovni a s podobne zmýšľajúcimi partnermi, ako je Európska únia, kedykoľvek je to možné. Náš prístup umožní vládnym orgánom získať informácie, ktoré potrebujú na zabezpečenie kybernetickej obrany, a zároveň zefektívniť proces pre organizácie obetí,

povedal Robert Silvers, štátny tajomník DHS pre politiku a predseda Rady pre oznamovanie kybernetických incidentov. 

V Atlantickom oceáne sa snažíme spolupracovať na porovnaní príslušných požiadaviek na podávanie správ vrátane formy alebo formátu požadovaných informácií s cieľom minimalizovať administratívne zaťaženie vykazujúcich subjektov,

Roberto Viola, generálny riaditeľ EK pre komunikačné siete, obsah a technológie 

Táto iniciatíva, ktorá je v súlade so spoločným vyhlásením ministra vnútornej bezpečnosti Alejandra N. Mayorkasa a európskeho komisára pre vnútorný trh Thierryho Bretona z roku 2024, predstavuje začiatok procesu zosúladenia transatlantického oznamovania kybernetických incidentov tam, kde je to možné. DHS & GR CONNECT vyzývajú priemysel z USA aj EÚ, aby sa podelili o svoje príspevky a reakcie na našu spoločnú spoluprácu a prístup k hodnoteniu procesov oznamovania kybernetických incidentov. 

Táto oblasť je rozhodujúca, keďže príslušné vládne orgány musia mať prístup k informáciám o kybernetických incidentoch, ktoré majú vplyv na ich občanov alebo inak vyvolávajú obavy o bezpečnosť a ochranu. Okrem toho uznávame, že v nasledujúcich mesiacoch budú Spojené štáty aj Európska únia pokračovať v práci na zavedení povinných režimov nahlasovania, a to aj zavedením presnejších ustanovení o postupe oznamovania incidentov, obsahu správ a harmonogramoch. Je dôležité zostať v spojení s týmito otázkami a tam, kde je to možné, zosúladiť.

Lorena Boix Alonso, riaditeľka EK pre digitálnu spoločnosť, dôveru a kybernetickú bezpečnosť

V priebehu budúceho roka naše tímy plánujú pokračovať v spolupráci na technickejšej úrovni, a to aj mapovaním prvkov, ako sú taxonómie kybernetických incidentov, vzory nahlasovania a obsah správ a formátov. Vykonáme dôkladnú križovatku vzorového formulára na podávanie správ vypracovaného DHS proti požadovanému obsahu správ NIS 2, aby sme zistili, kde dochádza k prekrývaniu a rozdielom v typoch požadovaných údajov. Keďže v tomto úsilí pokračujeme, musíme zostať agilní a prispôsobiť sa rýchlo sa vyvíjajúcemu prostrediu kybernetických hrozieb, keďže v našom digitálnom svete dlho nič nezostáva statické.

Iránga Kahangama, námestníčka DHS pre kybernetickú bezpečnosť, infraštruktúru, riziká a odolnosť.

V zákone o oznamovaní kybernetických incidentov pre kritickú infraštruktúru (Circia), ktorý v roku 2022 podpísal prezident Biden, sa zriadila Rada pre oznamovanie kybernetických incidentov (CIRC) pod vedením DHS s cieľom „koordinovať, riešiť konflikty a harmonizovať federálne požiadavky na ohlasovanie incidentov vrátane tých, ktoré boli vydané prostredníctvom nariadení.“ V CIRC, ktorej predsedá DHS a ktorá zahŕňa zastúpenie viac ako 30 agentúr, sa načrtáva súbor odporúčaní, ako môže vláda USA zefektívniť a harmonizovať nahlasovanie kybernetických incidentov s cieľom lepšie chrániť kritickú infraštruktúru krajiny. V roku 2023 DHS predložil Kongresu správu vrátane odporúčaní Rady s názvom Harmonizácia podávania správ o kybernetických incidentoch federálnej vláde.

V januári 2023 nadobudla účinnosť smernica NIS2, ktorá členským štátom EÚ poskytla 21 mesiacov na jej transpozíciu do vnútroštátneho práva. Smernica NIS2 vychádza z požiadaviek predchodkyne smernice (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (smernica NIS), ktorá je účinná od roku 2016, ale zvyšuje spoločnú úroveň ambícií EÚ v oblasti kybernetickej bezpečnosti prostredníctvom širšieho rozsahu pôsobnosti, jasnejších pravidiel a silnejších nástrojov dohľadu. Smernicou NIS2 sa harmonizujú, posilňujú a zjednodušujú požiadavky na bezpečnosť a oznamovanie incidentov pre väčší počet subjektov, ktoré sú rozhodujúce pre európske hospodárstvo a spoločnosť.