Brukseli nxit mbikëqyrje më të fortë të sigurisë kibernetike të furnizuesve të teknologjisë me rrezik të lartë

Komisioni Evropian po prezanton rregulla të reja për të ndaluar kompanitë e teknologjisë që konsiderohen se përbëjnë rrezik për sigurinë e Bashkimit Evropian, por zbatimi i tyre nuk pritet të fillojë për njëfarë kohe.

Komisioni Evropian prezantoi të martën një rishikim të Aktit të Sigurisë Kibernetike që synon të zvogëlojë rreziqet e lidhura me të ashtuquajturit furnizues “me rrezik të lartë” në zinxhirët e furnizimit të teknologjisë së informacionit dhe komunikimit të BE-së.

Fusha e zbatimit është e gjerë, duke mbuluar kompanitë që ofrojnë pajisje dhe shërbime për rrjetet e telekomunikacionit, qendrat e të dhënave, shërbimet cloud, pajisjet e lidhura dhe platformat e mediave sociale. Edhe pse propozimi nuk përmend firma specifike, zyrtarët e BE-së pranojnë se ai bazohet në shqetësime të hershme në lidhje me grupet kineze të teknologjisë, veçanërisht Huawei dhe ZTE, veçanërisht në rrjetet mobile.

Ky veprim vjen pas viteve të tëra zhgënjimi në Bruksel për shkak të zbatimit të pabarabartë të Kutisë së Mjeteve të Sigurisë 5G të BE-së, e prezantuar në vitin 2020 për të inkurajuar shtetet anëtare të kufizojnë varësinë nga shitësit me rrezik të lartë.

Sulmet kibernetike po bëhen gjithnjë e më të shpeshta në të gjithë BE-në, duke filluar nga ransomware dhe spiunazhi deri te përpjekjet për të destabilizuar infrastrukturën kritike. Komisioni thotë se numri i incidenteve të raportuara është në rritje, me rreth 150 sulme të raportuara në të gjithë bllokun vetëm javën e fundit.

Komisionerja e Teknologjisë Henna Virkkunen ka paralajmëruar vazhdimisht se masat vullnetare nuk kanë shkuar aq larg sa duhet. Duke iu drejtuar Parlamentit Europian muajin e kaluar, ajo argumentoi se nevojiten veprime më të rrepta dhe më të koordinuara, duke theksuar se furnizuesit me rrezik të lartë mbeten të pranishëm në pjesë kritike të infrastrukturës 5G të Europës.

Frenimi i rrezikut

Sipas kuadrit të rishikuar, Komisioni do të jetë në gjendje të organizojë vlerësime të rrezikut në nivel BE-je dhe, kur është e justifikuar, të mbështesë kufizime ose ndalime për pajisje të caktuara të përdorura në infrastrukturën e ndjeshme.

Shtetet anëtare do të vlerësonin së bashku rreziqet bazuar në vendin e origjinës së furnizuesit dhe implikimet e tij për sigurinë kombëtare. Ndërsa telekomunikacioni është sektori më i përparuar për sa i përket vlerësimit të rrezikut, kjo qasje mund të zgjerohet më vonë në fusha të tjera, nga sistemet e energjisë dhe transporti deri te automjetet e lidhura dhe pajisjet e sigurisë.

Komisioni ka sinjalizuar gjithashtu se kuadri do të mbetet neutral ndaj vendit në parim, që do të thotë se furnizuesit nga partnerë të tjerë – përfshirë Shtetet e Bashkuara – teorikisht mund të shqyrtohen në të ardhmen, ndërsa tensionet rregullatore rriten, veçanërisht rreth mediave sociale dhe qeverisjes së të dhënave.

Komisioni këmbëngul se procesi do të jetë gradual. Në sektorin e telekomunikacionit, operatorëve do t’u jepet një periudhë tranzicioni prej disa vitesh për të larguar gradualisht furnizuesit me risk të lartë, me Brukselin që pranon koston e konsiderueshme ekonomike që përfshihet.

Përtej sigurisë së zinxhirit të furnizimit, propozimi forcon ndjeshëm rolin e Agjencisë së BE-së për Sigurinë Kibernetike, ENISA . Agjencia do të fitonte një mandat më operacional, duke përfshirë lëshimin e paralajmërimeve të hershme mbi kërcënimet kibernetike në zhvillim dhe koordinimin e përgjigjeve ndaj incidenteve të mëdha, siç janë sulmet me programe ransomware, në bashkëpunim me Europolin dhe autoritetet kombëtare.

ENISA do të mbikëqyrë gjithashtu një pikë të vetme hyrjeje në BE për raportimin e incidenteve, e projektuar për të përshpejtuar përgjigjet dhe për të përmirësuar ndërgjegjësimin për situatën ndërkufitare.

Së fundmi, Komisioni po ndjek axhendën e tij më të gjerë për thjeshtim , duke premtuar barrë më të lehta administrative për kompanitë. Procedurat e certifikimit do të thjeshtohen dhe ndryshimet e synuara në legjislacionin ekzistues synojnë të ulin kostot e pajtueshmërisë, veçanërisht për firmat që operojnë në shumë shtete anëtare.

Propozimi tani do të negociohet nga Parlamenti Evropian dhe qeveritë e BE-së, ku pritet rezistencë nga disa kryeqytete të kujdesshme ndaj rritjes së përfshirjes së BE-së në vendimet e sigurisë kombëtare.

Akti i rishikuar i sigurisë kibernetike ka shumë të ngjarë të mos zbatohet për disa vite, duke ngritur pikëpyetje në lidhje me aftësinë e BE-së për të luftuar ndërhyrjet e huaja tashmë aktive.