top of page
Nov 8, 2022

Talas cyber regulacije je pred nama

Nejasno je hoće li snažna regulatorna aktivnost, vezana sa cyber bezbednošću poboljšati trenutno stanje stvari, ali se povećava potencijal za neželjene posledice jer će ionako oskudni resursi morati da se usmere na usklađivanje, a ukupna bezbednost može biti smanjena.


Neće nedostajati preklapajućih sertifikata, a napori da se organizacije usklade sa različitim standardima izveštavanja u EU, SAD, Australiji i drugde će rasti. Posebno će biti komplikovano uskladiti rok za prijavu cyber incidenta - od 6 sati u Indiji, 72 sata u EU prema GDPR-u ili četiri radna dana u SAD. Postoje mnoge varijacije u svakoj zemlji jer postoje mnogi propisi koji dolaze iz različitih agencija.


Takođe, nije jasno definisano šta čak i predstavlja cyber "incident" jer svako može da pokrene zahteve za prijavljivanje ovisno o jurisdikciji. Prema jednoj zvaničnoj definiciji, prijavljena je samo radnja koja "odmah kompromituje" sistem ili predstavlja "neposrednu pretnju" kršenja zakona. Ali šta ako napadač pokuša da pokrene napad, ali bude odbijen jer nije pogodio lozinku? Da li je svaki phishing napad incident? Ili napad uskraćivanja usluge? Na ova pitanja nema odgovora, jer ni sami kreatori politike nisu sigurni u njih.


U nedavnom članku u Harvard Business Reviewu, Stuart Madnick s MIT-a navodi: "Zakonodavci se često bore da regulišu tehnologije - oni reaguju na političku hitnost, a većini nedostaje čvrsto razumevanje tehnologije koju žele da kontrolišu. Posledice, uticaji i neizvesnosti na preduzeća često se shvate tek kasnije." Prilikom uvođenja GDPR-a 2018. godine mnoge štetne nuspojave nisu uzete u obzir i smatra se da propis nije poboljšao stanje bezbednosti.


Ovo su neke od inicijativa koje se trenutno razmatraju ili donose:

  • u SAD, Federalna trgovinska komisija, Uprava za hranu i lekove, Ministarstvo saobraćaja, Ministarstvo energetike i Agencija za cyber i infrastrukturnu bezbednost (CISA) rade na novim pravilima za različite industrijske vertikale, sa posebnim fokusom na kritičnoj infrastrukturi.

  • Samo 2021. godine, 36 američkih država usvojilo je nove zakone o cyber bezbednosti.

  • Tokom 2022. godine, EU je radila na ažuriranju svoje Direktive o NIS-u iz 2016. godine, koja pruža okvir državama članicama da regulišu tehnološke usluge i proizvode koji se smatraju ključnim za funkcionisanje njihove privrede i društva. Predloženi NIS2 uključuje revizije koje bi stvorile novu kategoriju kritične digitalne infrastrukture, povećale zahteve za izveštavanje o cyber incidentima i nametnule dodatne zahteve za upravljanje rizicima cyber bezbednosti.

  • EU je takođe predložila ažuriranje Zakona o digitalnoj operativnoj otpornosti (DORA), stvarajući nove zahteve za informacione i komunikacione tehnologije koje se koriste u sektoru finansijskih usluga.

  • Evropska komisija je predložila Zakon o kibernetičkoj otpornosti, koji bi uspostavio zahteve za cyber bezbednost za samostalni softver i povezane uređaje, kao i pomoćne usluge. Relevantne prakse za prodavce softvera uključuju korišćenje bezbednog životnog ciklusa razvoja softvera i obezbeđivanje softverskog lista materijala za softver (tzv. SBOM).

  • Kongres SAD usvojio je zakon kojim se ovlašćuje Agencija za cyber bezbednost i infrastrukturnu bezbednost (CISA) da izdaje propise kojima se od operatera kritične infrastrukture zahteva da prijave cyber incidente, a Američka administracija za bezbednost transporta (TSA) izdala je nove sektorske zahteve za cyber bezbednost u sektoru transporta. Zahtevi uključuju imenovanje regulatora za cyber bezbednost i sprovođenje specifičnih mera za ublažavanje napada ransomvera.

  • TSA je takođe izdao dve dodatne bezbednosne direktive 2021. koje su proširile zahteve cyber bezbednosti na teretne železnice, putničke železničke prevoznike ili železničke tranzitne sisteme. Direktiva je, između ostalog, zahtevala da pokriveni prevoznici imenuju koordinatora za cyber bezbednost i prijave incidente cyber bezbednosti u roku od 24 sata.

  • TSA je takođe saopštila da je ažurirala svoje programe bezbednosti u vazduhoplovstvu tako da zahtevaju od operatera aerodroma i avio-kompanija da imenuju koordinatora za bezbednost i prijave incidente u roku od 24 sata.

  • U Velikoj Britaniji, Zakon o bezbednosti proizvoda i telekomunikacijskoj infrastrukturi zahtevaće od proizvođača potrošačkih proizvoda koji se mogu povezati (kao što su pametni televizori) da prestanu da koriste podrazumevane lozinke koje su lake mete za cyber kriminalce i da uspostave smernice za otkrivanje ranjivosti.

  • U EU se novi bezbednosni standardi ili zahtevi sprovode kroz niz zakonodavnih instrumenata, uključujući Delegirani akt za Direktivu o radio opremi, koji se primenjuje na bežične uređaje i nastoji da poboljša otpornost mreže, zaštiti privatnost potrošača i smanji rizik od finansijske prevare.

  • Agencija Evropske unije za kibernetičku sigurnost (ENISA) razmatra šemu sertifikacije sajber bezbednosti za pružaoce usluga u oblaku.

  • Agencija Evropske unije za bezbednost u vazduhoplovstvu, poznata kao EASA, izdala je nove zahteve za cyber bezbednost koji se primenjuju na lanac snabdevanja u vazduhoplovstvu, uključujući proizvođače aviona i avio kompanije. Nova pravila cyber bezbednosti zahtevaće od mnogih dobavljača avijacije da identifikuju i brane se od hakerskih rizika, radi bezbednosti letenja. Jasno je da će nova pravila, koja stupaju na snagu 2025. godine, dovesti do velikog povećanja obima posla.

Ovo su samo neki od novih propisa koji su na snazi ili će uskoro biti primenjeni. Jasno je da će kompanije morati da se snalaze u složenijim regulatornim okvirima, što implicira povećano opterećenje i veće troškove. Ono što nije jasno jeste kako će ovi često suprotstavljeni i nedosledni propisi promovisati cyber bezbednost.







Latest news

bottom of page