EU:n kybersolidaarisuuslaki on tulossa: tässä on mitä se tarkoittaa
EU:lla ei ole pulaa kyberturvalainsäädännöstä. Viime vuoden aikana se on ottanut käyttöön lakeja, jotka kattavat älylaitteet, AI turvallisuus, rahoituspalvelut, "tärkeää" ja "olennaista" yksikötja turvallisuussertifikaatit. Toistaiseksi ei kuitenkaan ole ollut maanosan laajuista strategiaa, joka auttaisi valmistautumaan, havaitsemaan ja reagoimaan suuriin kybertapahtumiin kaikkialla EU:ssa. Syötä EU:n kybersolidaarisuuslaki, jonka odotetaan saavan merkittävää vauhtia vuonna 2025.
Se lupaa paljon, mutta onneksi useimmilta Yhdistyneen kuningaskunnan organisaatioilta se vaatii heiltä vähän.
Miksi tarvitsemme sitä
Vaikka Euroopan komissio ehdotti kybersolidaarisuuslakia huhtikuussa 2023, sen luomisen siemenet kylvettiin vuosi sitten, kun valittiin kolme rajat ylittävien turvatoimien keskusten (SOC) konsortiota. Ei ole sattumaa, että aiemmin samana vuonna Venäjä hyökkäsi Ukrainaan. Valtion tukemien digitaalisten tunkeutumisten ja hyvin rahoitettujen kyberrikollisryhmien, jotka toimivat rankaisematta ulottumattomissa olevilta lainkäyttöalueilta, uhkalla on todellakin vakiintuneet suunnitelmat teolle.
Kuten NIS 2, DORA, Cybersecurity Act, Cyber Resilience Act, AI Act ja muut säädökset tunnustavat, kyberhyökkäykset ovat kasvava yhteiskunnallinen ja taloudellinen uhka EU:lle. Ne voivat uhata rahoitusjärjestelmän vakautta ja henkiä pelastavia terveydenhuoltopalveluita, kuten lunnasohjelmiin liittyvät IT-katkot sairaaloissa eri puolilla aluetta osoittavat. Ne uhkaavat myös levittää väärää tietoa ja heikentää vaaleja, puhumattakaan kansallisesta turvallisuudesta. Ja tietomurrot ruokkivat petosepidemiaa. Maksupetos Yksin arvo oli 2 miljardia euroa vuoden 2023 ensimmäisellä puoliskolla, kun taas EU arvioi tietoverkkorikollisuuden yleensä olevan maksaa 5.5 biljoonaa euroa vuodessa. Jälkimmäinen on yli neljännes EU:n kokonaisbkt:sta.
Microsoftin mukaan nämä trendit ovat lähentymässä. Tuoreessa Digital Defense Report 2024, teknologiajätti varoitti, että rajat kansallisvaltion ja kyberrikollisuuden välillä hämärtyvät. Tämä tarkoittaa enemmän valtion toimijoita, jotka ovat motivoituneita taloudelliseen hyötyyn, kuten Pohjois-Korea ja Iran kertovat. Ja valtion tukemat ryhmät, jotka käyttävät kyberrikollisuuden taktiikoita, tekniikoita ja menettelyjä (TTP). Ehkä huolestuttavinta se tarkoittaa myös sitä, että valtion tukemat hakkerit ulkoistavat toimintansa kyberrikollisryhmille, oletettavasti uskottavan kiistämisen vuoksi. Microsoft on jo havainnut Kremlin hakkereiden pyytävän Storm-0593:n apua ukrainalaisten organisaatioiden kohdistamiseen.
Uhkamaiseman muuttuessa sulavammaksi ja läpinäkymättömämmäksi geopoliittisten jännitteiden kasvaessa, on oikein, että EU pyrkii rakentamaan alueen laajuisen välikohtaus- ja kyberresilience-laitteiston.
Mitä laki velvoittaa?
Teolla on kolme pääelementtiä. Se pyrkii esittelemään:
Euroopan kyberturvallisuuskilpi: Tämä tunnetaan myös nimellä European Cybersecurity Alert System, ja se käsittää joukon kansallisia ja ylikansallisia turvallisuusoperaatiokeskuksia (SOC) eri puolilla blokia, jotka on suunniteltu hyödyntämään tekoälyn ja analytiikan tehoa uhkavaroitusten havaitsemiseen ja jakamiseen.
Kyberhätämekanismi: suunniteltu tehostamaan vaaratilanteisiin varautumista ja reagointia ensisijaisesti EU:n kyberturvallisuusreservin kautta. Se koostuu ennalta valituista "luotetuista palveluntarjoajista" yksityiseltä sektorilta, jotka voidaan ottaa käyttöön EU:n tai jäsenvaltioiden pyynnöstä auttamaan suurissa turvallisuushäiriöissä.
Kyberhätämekanismi lupaa myös tukea ajatusta keskinäisestä avunannosta onnettomuuksista kärsineiden jäsenvaltioiden välillä. Ja kriittisten infrastruktuurialojen, kuten terveydenhuollon ja rahoituksen, valinta ja säännöllinen haavoittuvuustestaus. Testattavat alat valitaan EU-tason yhteisen riskiarvioinnin perusteella.
Kyberturvallisuusonnettomuuden tarkistusmekanismi: suunniteltu arvioimaan ja tarkastelemaan vakavia vaaratilanteita Euroopan komission tai kansallisten viranomaisten pyynnöstä. Turvallisuusvirasto ENISA suorittaa tarkastelun ja toimittaa opittua asiakirjaa, joka sisältää suosituksia blokin turvallisuusasennon parantamiseksi.
Jeff Le, kolmannen osapuolen riskialustan SecurityScorecardin globaaleista hallinnollisista asioista ja yleisestä politiikasta vastaava johtaja, kertoo ISMS.online-sivustolle, että aloite saattaa tarvita enemmän kuin sille tällä hetkellä osoitettu 1.1 miljardia euroa (920 miljoonaa puntaa).
"Yhdysvalloissa keskinäisen avun järjestelmä on kypsempi ja ansaitsee merkittävän huomion EU:ssa jäsenvaltioita lamauttavan katastrofin sattuessa", hän lisää.
”ENISAn tulisi ottaa rooli, jota vahvistetaan ohjelmien ulkopuolella, ja pyrittävä kasvattamaan osuuttaan ajattelun johtajuudesta. Erityisesti tarvitaan syvempiä kumppanuuksia NIST:n ja muiden maailmanlaajuisten standardiorganisaatioiden kanssa, jotta voidaan keskittyä toimitusketjun kestävyysmittareihin, standardeihin ja tietoturvakehyksiin, kun harmonisointi on painopiste.
Le lisää, että EU:n vaaratilanteiden raportointi voisi myös hyötyä läheisemmästä yhdenmukaistamisesta maailmanlaajuisten kriittisten infrastruktuurien vaaratilanteiden raportointijärjestelmien, kuten Yhdysvaltain CIRCIA-prosessin, kanssa.
"Raportoinnin tulisi olla johdonmukaisempaa, ja poliittisille päättäjille ja CISO:ille tulisi selkeästi keskittyä olennaiseen tietoon", hän väittää. ”Kun otetaan huomioon viimeaikaiset Voltin ja Salt Typhoonin ongelmat kriittisessä infrastruktuurissa, myös televiestinnän arviointiin tulisi kiinnittää enemmän huomiota. Vaikka muut alat mainitaan, tämä haavoittuva tila ei ole."
Kuinka valmistautua siihen
Laki vaatii vähän useimmilta brittiläisiltä yrityksiltä.
”Brexitin jälkeen Iso-Britannia ei ole osa Cyber Solidarity Actin käyttöön ottamista yhteistyömekanismeista”, Hunton Andrews Kurthin yhteistyökumppanit Sarah Pearce ja David Dumont kertovat ISMS.onlinelle.
”Laki ei koske kaikkia organisaatioita, vain erittäin kriittisillä aloilla toimivia. Organisaatioiden tulisi ainakin pysyä ajan tasalla kehityksestä ja arvioida, kuuluvatko ne lainsäädännön soveltamisalaan. Niille, jotka kuuluvat soveltamisalaan, voidaan tehdä "koordinoitu valmiustestaus", joten CISO:n ja muiden asiaankuuluvien sisäisten tiimien on sisällytettävä tällainen testaus hallinto-ohjelmiinsa."
ISMS.online ymmärtää kuitenkin, että vain EU:ssa toimivat kriittisen infrastruktuurin organisaatiot voivat olla näiden vaatimusten alaisia.
Ropes & Grayn lakimies Edward Machin varoittaa myös, että jos nämä testit paljastavat kyberuhkien kriittisiä haavoittuvuuksia, tällaiset organisaatiot voivat altistua "laajemmille täytäntöönpano- ja maineriskeille", jotka liittyvät muiden EU:n kyberlakien noudattamatta jättämiseen.
"EU:n muihin kyberlakeihin valmistautuneiden kriittisten teollisuudenalojen CISO:n tulisi huomata, että nämä valmistelut pitävät ne hyvässä asemassa vastaamaan mahdollisiin kybersolidaarisuuslain nojalla tehtyihin testauspyyntöihin", hän kertoo ISMS.online-sivustolle.
"Koska muilla EU:n kyberlailla on ja tulee olemaan suurempi vaikutus CISO:ihin päivittäin, ehdotan, että keskitytään toistaiseksi näihin lakeihin samalla, kun pidän säädöstä tarkkaavaisena."
Euroopan parlamentti ja neuvosto pääsivät alustavaan sopimukseen lainsäädännöstä maaliskuussa 2024, ja alustava teksti julkaistiin samassa kuussa. On kuitenkin epäselvää, milloin lainsäätäjät voivat virallisesti hyväksyä sen. Odotettavissa on paljon lisää vuonna 2025.
