Dogovorena prva europska pravila o kibernetičkoj sigurnosti

Prometne i energetske tvrtke morat će osigurati da digitalna infrastruktura koju koriste za pružanje usluga od ključne važnosti, kao što je upravljanje prometom ili elektroenergetskom mrežom, bude dovoljno otporna na kibernetičke napade, po novim pravilima koja su u ponedjeljak dogovorili predstavnici Europskog parlamenta i država članica.

Online trgovine poput eBaya ili Amazona, pretraživači interneta i pružatelji cloud usluga također će morati osigurati da njihova infrastruktura bude sigurna, objavio je Europski parlament.

"Ovo je važan korak prema bolje koordiniranom pristupu kibernetičkoj sigurnosti u Europi. Svi čimbenici, javni i privatni, morat će uložiti veće napore, ponajprije jačanjem suradnje između država članica i uvođenjem strožih sigurnosnih pravila za infrastrukturne operatore i digitalne usluge", istaknuo je luksemburški premijer Xavier Bettel.

Nova pravila povećat će povjerenje potrošača u online usluge, posebice prekogranične, rekao je potpredsjednik Europske komisije za jedinstveno digitalno tržište Andrus Ansip. "Internet ne poznaje granice - problem u jednoj zemlji može se osjetiti u ostatku Europe. Zato su nam potrebna europska rješenja za kibernetičku sigurnost. Ovaj dogovor važan je korak u tom smjeru", rekao je.

Sektori na koje će se odnositi novi zakon, Direktiva o mrežnoj i informacijskoj sigurnosti, su energetika, promet, bankarstvo, financijska tržišta, zdravstvo i vodoopskrba. To će zahvatiti i neke američke internetske tvrtke.

"Uz to, neki pružatelji internetskih usluga, poput online trgovina (eBay, Amazon), pretraživača interneta (Google) i pružatelja cloud usluga također će morati osigurati sigurnost svoje infrastrukture i podnositi izvješća nacionalnim vlastima o ozbiljnijim incidentima", ističe se u priopćenju Europskog parlamenta.

Države članice morat će odrediti koje tvrtke u tim sektorima pružaju usluge od ključne važnosti na osnovi jasnih kriterija definiranih direktivom.

Mikro i male digitalne tvrtke iz toga će biti izuzete, a nova pravila neće se odnositi niti na društvene mreže poput Facebooka.

Predviđa se i osnivanje "skupine za stratešku suradnju" u kojoj će države članice razmjenjivati informacije i iskustva, pripremati smjernice i međusobno si pomagati u jačanju kapaciteta na području kibernetičke sigurnosti. Osnovana će biti i mreža nacionalnih timova za odgovor na sigurnosne incidente radi bolje koordinacije u njihovom radu.

Parlamentarni izvjestitelj izrazio je zadovoljstvo dogovorom. "Danas je važna prekretnica: dogovorili smo prva europska pravila o kibernetičkoj sigurnosti, koja je Parlament tražio godinama", rekao je Andreas Schwab (EPP, Njemačka).

Europska komisija, koja je pravila o kibernetičkoj sigurnosti predložila u veljači 2013., posredovala je u pregovorima.

"Parlament je inzistirao na harmoniziranom određivanju ključnih operatora na području energetike, prometa, zdravstva ili bankarstva, koji će morati poštivati sigurnosna pravila i podnositi izvješća o značajnim kibernetičkim incidentima. Države članice morat će bolje surađivati na području kibernetičke sigurnosti, što je postalo još važnije u svjetlu sadašnje sigurnosne situacije u Europi", rekao je.

Antanas Guoga, litavski eurozastupnik (ALDE), rekao je da je dogovor "daleko od savršenog", ali ipak "važan korak" prema sigurnosti informacijskih sustava. "Liberali i demokrati zauzimali su se za harmonizirani pristup kako bi tvrtke koje pružaju usluge u cijelom EU-u mogle primjenjivati isti skup pravila, umjesto 28 različitih pristupa", rekao je.

Načelni dogovor predstavnika EP-a i država članica moraju formalno odobriti Europski parlament na plenarnoj sjednici i Vijeće EU-a.

Države članice novu će direktivu morati usvojiti u roku 21 mjeseca od njezina stupanja na snagu. Nakon toga imat će 6 mjeseci da odrede tvrtke koje pružaju usluge od ključne važnosti.