eu-loven om cybersolidaritet kommer her er, hvad det betyder banner

EU's cybersolidaritetslov kommer: Her er hvad det betyder

EU mangler ikke cybersikkerhedslovgivning. I løbet af det seneste år har den indført love, der dækker smarte enheder, AI sikkerhed, finansielle tjenesteydelser, "vigtigt" og "væsentligt" enhederog sikkerhedscertificeringer. Alligevel har der indtil nu ikke været nogen strategi for hele kontinentet til at hjælpe med at forberede, opdage og reagere på store cyberhændelser i hele EU. Indtast EU's lov om cybersolidaritet, som er sat til at tage betydeligt fart i 2025.

Det lover meget, men heldigvis vil det for de fleste britiske organisationer kræve lidt af dem.

Hvorfor har vi brug for det

Selvom Europa-Kommissionen foreslog Cybersolidaritetsloven i april 2023, blev kimen til dens oprettelse plantet for et år siden, da tre konsortier af grænseoverskridende sikkerhedsoperationscentre (SOC'er) blev udvalgt. Det er ikke tilfældigt, at Rusland tidligere samme år invaderede Ukraine. Truslen om statsstøttede digitale indtrængen og velfinansierede cyberkriminalitetsgrupper, der opererer ustraffet fra ude af rækkevidde jurisdiktioner, vil virkelig have fastgjorte planer for handlingen.

Som anerkendt af NIS 2, DORA, Cybersecurity Act, Cyber ​​Resilience Act, AI Act og andre vedtægter repræsenterer cyberangreb en voksende samfundsmæssig og økonomisk trussel mod EU. De kan true stabiliteten af ​​det finansielle system og livreddende sundhedsydelser, hvilket ses af ransomware-relaterede it-udfald på hospitaler i hele regionen. De truer også med at sprede misinformation og underminere valg, for ikke at nævne den nationale sikkerhed. Og databrud giver næring til en svindelepidemi. Betalingssvig alene var €2 mia. værd i første halvdel af 2023, mens EU vurderer cyberkriminalitet generelt til koster 5.5 billioner euro årligt. Sidstnævnte er over en fjerdedel af EU's samlede BNP.

Ifølge Microsoft konvergerer disse tendenser. I sin seneste Digital Forsvarsrapport 2024, advarede teknologigiganten om, at grænserne mellem nationalstats- og cyberkriminalitetsaktivitet i stigende grad udviskes. Det betyder flere statslige aktører motiveret af økonomisk gevinst, som i Nordkorea og Iran. Og statssponsorerede grupper, der bruger cyberkriminalitetstaktikker, -teknikker og -procedurer (TTP'er). Måske mest bekymrende betyder det også, at statsstøttede hackere outsourcer operationer til cyberkriminalitetsgrupper, formentlig for plausibel benægtelse. Microsoft har allerede observeret, at Kreml-hackere henter hjælp fra Storm-0593 for at målrette mod ukrainske organisationer.

Efterhånden som trusselslandskabet bliver mere flydende og uigennemskueligt, efterhånden som de geopolitiske spændinger stiger, er det kun rigtigt, at EU søger at opbygge et region-dækkende hændelses- og cyberresiliensapparat.

Hvad vil loven give mandat?

Der er tre hovedelementer i handlingen. Det søger at introducere:

Et europæisk cybersikkerhedsskjold: Også kendt som European Cybersecurity Alert System, vil dette omfatte en række nationale og transnationale sikkerhedsoperationscentre (SOC'er) på tværs af blokken, designet til at udnytte kraften i AI og analyser til at opdage og dele trusselsadvarsler.

En cybernødmekanisme: designet til at forbedre hændelsesberedskab og -respons, primært gennem en EU-cybersikkerhedsreserve. Dette vil være sammensat af forudvalgte "betroede udbydere" fra den private sektor, der kan indsættes på anmodning fra EU eller medlemslande for at hjælpe med større sikkerhedshændelser.

Cyber ​​Emergency Mechanism lover også at støtte ideen om gensidig bistand mellem medlemslande, der er påvirket af hændelser. Og udvælgelse og periodisk sårbarhedstest af kritiske infrastruktursektorer såsom sundhedspleje og finans. De sektorer, der skal testes, vil blive udvalgt i henhold til en fælles risikovurdering på EU-plan.

Mekanisme for gennemgang af cybersikkerhedshændelser: designet til at vurdere og gennemgå alvorlige hændelser efter anmodning fra Europa-Kommissionen eller nationale myndigheder. Sikkerhedsagenturet ENISA vil gennemføre gennemgangen og levere et dokument med erfaringer, der indeholder anbefalinger til forbedring af blokkens sikkerhedsposition.

Jeff Le, VP for globale regeringsanliggender og offentlig politik på tredjeparts risikoplatform SecurityScorecard, siger til ISMS.online, at initiativet muligvis har brug for mere end de €1.1 mia.

"I USA er det gensidige bistandssystem mere modent og fortjener betydelig overvejelse i EU i tilfælde af en katastrofal hændelse, der lammer medlemslandene," tilføjer han.

"ENISA bør påtage sig en rolle, der er styrket ud over programmer og søge at øge sin andel af tankelederskab. Især er der behov for dybere partnerskaber med NIST og andre globale standardorganer for at fokusere på forsyningskædens modstandsdygtighedsmålinger, standarder og sikkerhedsrammer, da et skub for harmonisering kommer i fokus."

Le tilføjer, at EU-hændelsesrapportering også kunne drage fordel af en tættere tilpasning til globale kritiske infrastruktur-hændelsesrapporteringsordninger såsom den amerikanske CIRCIA-proces.

"Rapportering bør være mere tilpasset, og et klart fokus på, hvilken information der er vigtig, bør præciseres for politiske beslutningstagere og CISO'er," argumenterer han. "I betragtning af de seneste problemer med Volt og Salt Typhoon i kritisk infrastruktur, bør der også være en dybere vægt på at vurdere telekommunikation. Mens andre sektorer er nævnt, er dette sårbare rum ikke det.”

Sådan bliver du klar til det

Loven vil kræve lidt af de fleste britiske virksomheder.

"Efter Brexit vil Storbritannien ikke være en del af de samarbejdsmekanismer, der er introduceret af Cyber ​​Solidarity Act," fortæller Sarah Pearce og David Dumont, partnere hos Hunton Andrews Kurth, til ISMS.online.

"Loven vil ikke gælde for alle organisationer, kun dem, der opererer i meget kritiske sektorer. Organisationer bør som minimum holde sig ajour med udviklingen og vurdere, om de falder inden for lovgivningens rammer eller ej. De, der er inden for omfanget, kan være genstand for 'koordineret beredskabstestning', så CISO og andre relevante interne teams bliver nødt til at rumme sådanne tests inden for deres styringsprogrammer."

Men forståelsen af ​​ISMS.online er, at kun kritiske infrastrukturorganisationer med aktiviteter i EU kan være underlagt disse krav.

Edward Machin, rådgiver hos Ropes & Gray, advarer også om, at hvis disse test afslører kritiske sårbarheder over for cybertrusler, kan sådanne organisationer blive udsat for "bredere håndhævelses- og omdømmerisici" i forbindelse med manglende overholdelse af andre EU-cyberlove.

"CISO'er i kritiske industrisektorer, der har forberedt sig på EU's andre cyberlove, bør finde ud af, at disse forberedelser holder dem i god stand til at reagere på potentielle testanmodninger, der er fremsat under Cyber ​​Solidarity Act," siger han til ISMS.online.

"I betragtning af at andre EU-cyberlove gør og vil have en større indvirkning på CISO'er på daglig basis, vil jeg foreslå, at du fokuserer på disse love indtil videre, mens du holder øje med handlingen."

Europa-Parlamentet og Rådet nåede til en foreløbig aftale om lovgivningen i marts 2024, og den foreløbige tekst blev offentliggjort samme måned. Det er dog uklart, hvornår lovgivere formelt kan vedtage det. Forvent, at der kommer meget mere i 2025.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!