Skaitmeninė erdvė tapo nauju geopolitikos frontu, kuriame sprendžiamas ne tik technologinis, bet ir ekonominis bei valstybių suvereniteto klausimas. Kiekviena diena atneša naujų kibernetinių atakų, tiekimo grandinių pažeidimų, infrastruktūros trikdžių ir didėjančių kaštų verslui. Būtent šiame kontekste Europos Sąjunga (ES) imasi naujo „Kibernetinio saugumo akto“ – sprendimo, kuris gali nulemti, ar Europa taps skaitmeninių grėsmių objektu, ar jų valdytoja.
Šiuo metu Briuselyje diskutuojama apie naująjį Europos Komisijos šių metų sausį pasiūlytą „Kibernetinio saugumo aktą“ (angl. Cybersecurity Act). Diskusijose dalyvaujantys Europos Komisijos, Europos Parlamento, Europos regionų komiteto atstovai bei verslo ir saugumo politikos ekspertai sutaria, kad kalbama ne apie techninį reglamento atnaujinimą. Tai strateginis dokumentas, galintis iš esmės pakeisti Europos kibernetinio saugumo architektūrą.
Ši tema svarbi ir Lietuvos verslui, todėl verta trumpai paaiškinti, kas iš tikrųjų keičiasi. Pats aktas yra gana detalus dokumentas, apimantis kelias pagrindines kryptis, todėl čia pateikiu tik svarbiausius aspektus.
Pirmiausia svarbu suprasti, kad kibernetinis saugumas šiandien nebėra siauras IT srities klausimas. Tai strateginis Europos saugumo, ekonomikos stabilumo ir geopolitinio atsparumo veiksnys. Pramonė, energetika, finansų sistema, transportas, sveikatos apsauga ir duomenų infrastruktūra – visa tai priklauso nuo patikimų skaitmeninių sistemų. Todėl naujasis „Kibernetinio saugumo aktas“ turi būti vertinamas ne kaip dar viena reguliacinė iniciatyva, o kaip platesnės Europos suvereniteto strategijos dalis.
Natūraliai kyla klausimas – kodėl reikėjo naujo akto, jei 2019 metais jau buvo priimtas analogiškas „Kibernetinio saugumo aktas“? Ar tai nėra dar vienas bandymas dar labiau reguliuoti europinį verslą?
Atsakymas slypi per pastaruosius penkerius metus dramatiškai pasikeitusioje saugumo aplinkoje. 2019 metų reglamentas buvo svarbus žingsnis teisinga kryptimi. Jis sustiprino ES kibernetinio saugumo agentūros (angl. European Union Agency for Cybersecurity, ENISA) mandatą ir sukūrė bendrą sertifikavimo sistemą. Tačiau tuo metu dar neturėjome nei sisteminių „ransomware“ atakų prieš ligonines ir energetikos infrastruktūrą, nei plataus masto tiekimo grandinių pažeidimų, nei atviro geopolitinio konflikto Europoje, kuriame kibernetinė dimensija tapo neatsiejama karo dalimi.
Per šį laikotarpį tapo akivaizdu, kad kibernetinis saugumas yra ne tik technologinis klausimas, bet ir geopolitikos instrumentas. Tiekimo grandinės, programinės įrangos priklausomybės ir infrastruktūros komponentai gali tapti politinio spaudimo ar sabotažo įrankiais. 2019 m. reglamentas šios dimensijos praktiškai neapėmė. Sprendimai dėl aukštos rizikos tiekėjų dažnai buvo priimami fragmentiškai, nacionaliniu lygiu, o tai silpnino bendrąją ES rinką ir kūrė teisinį neapibrėžtumą verslui.
Be to, sertifikavimo sistema – viena pagrindinių 2019 m. akto ašių – nepasiteisino taip, kaip tikėtasi. Sertifikavimo schemos kūrėsi lėtai, jų praktinė nauda buvo ribota, o sertifikavimas netapo realiu atitikties įrodymu pagal vėliau priimtą „Tinklo ir informacinių sistemų saugumo direktyvą (NIS2)“ direktyvą. Kitaip tariant, sukurta sistema nevirto veiksmingu kibernetinio saugumo įrankiu.
Naujasis „Kibernetinio saugumo aktas“ šią situaciją keičia iš esmės. Tai jau nebe techninis reglamentas apie sertifikavimo procedūras. Tai dokumentas, kuris kibernetinį saugumą traktuoja kaip strateginį ES suvereniteto instrumentą. Dėmesys perkeliamas nuo procesų prie realaus rizikos valdymo ir operacinės galios stiprinimo.
Vienas svarbiausių pokyčių – ENISA vaidmens transformacija. Jei anksčiau agentūra daugiausia rengė gaires, koordinavo tinklus ir administravo sertifikavimo schemas, dabar ji turėtų tapti realiu operaciniu ES kibernetinio saugumo centru. Tai reikštų aktyvesnį dalyvavimą incidentų valdyme, ankstyvojo įspėjimo sistemų stiprinimą, pažeidžiamumų valdymo platformų administravimą ir glaudesnę tarpvalstybinę priežiūros koordinaciją. Tai kokybinis pokytis, galintis reikšmingai padidinti ES reagavimo greitį ir vieningumą krizės atveju.
Ne mažiau svarbi naujovė – patikimų informacinių ir ryšių technologijų (ICT) tiekimo grandinių saugumo sistema. Kitaip tariant, klausimas – iš kur ir kokias technologijas įsigyjame. Pirmą kartą kuriamas horizontalus ES lygmens mechanizmas, leidžiantis identifikuoti kritinius ICT aktyvus ir aukštos rizikos tiekėjus, įvertinti technologines priklausomybes ir, esant poreikiui, koordinuotai taikyti ribojimus ar fazinį atsisakymą. Tai jau tiesiogiai susiję su geopolitika – ES siekia mažinti priklausomybę nuo technologinių sprendimų, galinčių kelti sisteminę riziką.
Naujasis aktas siekia, kad kibernetinio saugumo sertifikavimas pagaliau veiktų praktiškai. Sertifikatai turėtų tapti realiu įrodymu, kad įmonė laikosi NIS2 reikalavimų. Tai ypač svarbu įmonėms, dirbančioms keliose ES valstybėse, nes dabar jos dažnai susiduria su skirtingais tų pačių taisyklių aiškinimais.
Diskusijose Europos ekonomikos ir socialinių reikalų komitete, kuriame aš atstovauju Lietuvos pramoninkų konfederaciją, jau ryškėja ir svarbus principas: saugumo stiprinimas neturi reikšti perteklinės administracinės naštos. ENISA stiprinimas turi būti paremtas adekvačiais ištekliais, sertifikavimas turi mažinti dubliavimą, o ne kurti naujus barjerus, o tiekimo grandinių apsaugos sprendimai turi būti proporcingi ir paremti išsamiais ekonominiais vertinimais. Ypač svarbu išvengti situacijos, kai saugumo reikalavimai tampa neproporcinga našta mažoms ir vidutinėms įmonėms.
Taip pat būtina aiškiai įtvirtinti „de-risking“ principą. Kitaip tariant, ES neturėtų integruoti kritinės IT ar IRT infrastruktūros iš šalių, kurios aktyviai kenkia mūsų saugumo interesams. Tuo pačiu reikia mažinti biurokratiją ir kurti aiškias, rizika grįstas taisykles. Be investicijų į kibernetinį raštingumą ir specialistų rengimą net geriausias reguliavimas liks tik popieriuje.
Kaip naujasis „Kibernetinio saugumo aktas“ paveiks Lietuvos verslą ir pramonę?
Pirmiausia, jis turėtų suteikti daugiau aiškumo ir vieningumo visoje ES rinkoje. Lietuvos įmonėms, veikiančioms keliose valstybėse narėse, turėtų sumažėti reguliacinė fragmentacija. Jei sertifikavimas taps realiu atitikties įrodymu, tai gali sumažinti pakartotinių auditų ir skirtingų nacionalinių reikalavimų naštą.
Kita vertus, tiekimo grandinių saugumo reikalavimai pareikalaus atidesnio technologinių priklausomybių vertinimo. Telekomunikacijų, energetikos, gynybos ir aukštųjų technologijų sektoriams gali tekti peržiūrėti dalį tiekėjų ar investicinių sprendimų. Tačiau ilgalaikėje perspektyvoje tai didins atsparumą ir mažins geopolitines rizikas.
Svarbiausia, kad Lietuvos verslas gali tapti šios transformacijos dalimi – investuoti į saugias technologijas, kurti patikimus sprendimus, stiprinti kompetencijas ir taip didinti konkurencingumą bendrojoje rinkoje. Naujasis „Kibernetinio saugumo aktas“ gali tapti ne tik reguliavimo iššūkiu, bet ir galimybe.
Europa juda link kibernetinio suvereniteto. Turime daryti viską, kad šį pokytį paverstume konkurenciniu pranašumu. Lietuvos verslui tai ypač svarbu.
Komentaro autorius – Lietuvos pramonininkų konfederacijos atstovas prie Europos ekonomikos ir socialinių reikalų komiteto Eitvydas Bajarūnas.
Kopijuoti, platinti, skelbti ELTA turinį be ELTA raštiško sutikimo draudžiama.
