Wg organizacji Institut Choiseul* 30% specjalistów ds. cyberbezpieczeństwa jest przekonanych, że zagraniczne rozwiązania IT mogą stanowić zagrożenie.
Luki w zabezpieczeniach będące wynikiem stosowania rozwiązań cyberbezpieczeństwa niepochodzących z Europy stanowią coraz większy problem dla firm. Unia Europejska stara się przeciwdziałać tej sytuacji wdrażając kolejne rozporządzenia i priorytetyzując europejską suwerenność z zakresie ochrony IT. Celem jest umocnienie europejskiej cyberodporności, szczególnie w kontekście infrastruktur krytycznych i ochrony danych obywateli Unii Europejskiej.
Na pierwszy rzut oka może się wydawać, że europejska suwerenność może mieć niewiele wspólnego z codziennym funkcjonowaniem firm. W rzeczywistości jednak ma ona znaczny wpływ, a łagodzenie ryzyka związanego z nieeuropejskimi rozwiązaniami cyberbezpieczeństwa stanowi prawdziwe wyzwanie dla wielu organizacji.
*Badanie „Cyberbezpieczeństwo - warunek suwerenności gospodarczej, czerwiec 2022 r.”
- RODO, NIS2 itd. – w jaki sposób europejskie wymogi zgodności wpływają na firmy
- Ochrona danych: prawdziwe wyzwanie dla firm
RODO, NIS2 itd. – w jaki sposób europejskie wymogi zgodności wpływają na firmy
Spełnienie zobowiązań prawnych i wymogów regulacyjnych staje się coraz większym wyzwaniem dla organizacji – niezależnie od sektora rynkowego, tym bardziej, że Unia Europejska wprowadza nowe rozporządzenia, takie jak NIS2, DORA, Cyber Solidarity Act czy Cyber Resilience Act. Największy wpływ na działanie firm w dalszym ciągu ma Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), jednak wprowadzenie dyrektywy NIS2 (planowane najpóźniej na wrzesień 2024 r.) nałoży na organizacje nowe i jeszcze bardziej restrykcyjne zobowiązania. Na szczęście istnieje sposób na złagodzenie ograniczeń z zakresie zgodności ciążących na firmach.
Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) odnosi się bezpośrednio do cyberbezpieczeństwa. Podlegają mu wszystkie firmy, które przetwarzają dane osobowe obywateli Unii Europejskiej. W szczególności rozporządzenie nakłada na firmy wymóg ochrony danych osobowych przed potencjalnymi włamaniami i cyberatakami poprzez wdrożenie stosownych środków bezpieczeństwa. Na firmy, które nie dostosują się do wymogów RODO, może zostać nałożona kara finansowa w wysokości 4% rocznego obrotu lub do 20 milionów euro.
Do września 2024 r. firmy funkcjonujące w Europie muszą się także przygotować na spełnienie wymogów nadchodzącej dyrektywy NIS2, której celem jest zagwarantowanie bezpieczeństwa sieci i systemów informatycznych. Dyrektywa NIS2 jest znacznie bardziej restrykcyjna od swojej poprzedniczki NIS z 2016 r. i obejmuje więcej sektorów rynkowych. NIS2 nakłada wysokie wymagania związane z bezpieczeństwem, łącznie z koniecznością przygotowania listy środków zarządzania ryzykiem i obowiązkiem zgłaszania istotnych incydentów w ciągu 24 godzin.
Aby spełnić wymogi dyrektywy NIS2, firmy będą musiały znacznie zwiększyć poziom swoich zabezpieczeń.
Co ważne, większość europejskich rozwiązań cyberbezpieczeństwa zapewnia zgodność z wymogami ISO/IEC 27001 oraz RODO, co nie zawsze ma miejsce w przypadku oferty firm spoza Europy. Ponadto, najbardziej zaawansowane europejskie rozwiązania już teraz gwarantują zgodność z NIS2.
Ochrona danych: prawdziwe wyzwanie dla firm
Zgodność z RODO i ochrona danych użytkowników może być postrzegana jako jedno z dodatkowych zobowiązań, które firmy muszą spełniać. Jednak problem ochrony danych sięga znacznie głębiej – gromadzenie informacji bez uprzedniej zgody może bezpośrednio wpływać na organizacje.
Ochrona danych jest blisko powiązana z kwestią europejskiej suwerenności w zakresie cyberbezpieczeństwa. Najważniejszym celem jest zapewnienie, że dane nie podlegają prawu obowiązującemu poza Unią Europejską, a może się tak dziać w zależności od tego, gdzie się znajdujemy, gdzie przechowywane są informacje i gdzie są one przesyłane. Warto dodać, że nie wszystkie legislacje stawiają ochronę danych na pierwszym miejscu.
Najbardziej znanym prawem związanym z cyberbezpieczeństwem jest wprowadzona w 2018 r. kontrowersyjna ustawa Cloud Act (Clarifying Lawful Overseas Use of Data Act). Na jej mocy władze Stanów Zjednoczonych mogą uzyskiwać dostęp do danych przechowywanych przez amerykańskie firmy poza granicami Stanów Zjednoczonych – bez zgody kraju, w którym informacje się znajdują. Innymi słowy ustawa Cloud Act uprawnia władze Stanów Zjednoczonych do legalnego dostępu do wszystkich danych gromadzonych przez firmy amerykańskie, o ile są one przechowywane na serwerach należących do tych firm. W rezultacie, nawet jeżeli dana firma znajduje się i funkcjonuje w Europie, gdzie jej dane są chronione na mocy prawa, amerykańskie rozwiązanie cyberbezpieczeństwa może dać dostęp do jej danych władzom Stanów Zjednoczonych.
Szpiegostwo przemysłowe realizowane z użyciem zagranicznych rozwiązań bezpieczeństwa staje się poważnym zagrożeniem dla firm. Ryzyko to dotyczy także korzystania z chmur oferowanych przez dostawców amerykańskich. Planując swoją strategię cyberbezpieczeństwa warto zatem rozważyć wdrożenie rozwiązań, które są tworzone i przechowywane w Europie.
Źródło: https://tehtris.com/en/blog/the-impact-of-european-sovereignty-on-your-company