Все, что вам нужно знать о законопроекте Германии об информационной безопасности
Немецкий проект закона о безопасности находится в разработке уже около двух лет. Задержки из-за споров внутри правящей коалиции страны, одним из основных яблок раздора было то, как политически определить, что поставщик заслуживает доверия. Хотя законопроект не нацелен на какую-либо одну компанию, трудно не увидеть связи с Huawei, гигантом глобальных телекоммуникационных сетей. США, Великобритания, Франция и ряд других стран уже прямо или косвенно запретили Huawei. Таким образом, проект закона об ИТ-безопасности, безусловно, определит, сможет ли Huawei продолжать работать в Германии и каким образом. Для Германии это дилемма между укреплением отношений с быстро растущей мировой сверхдержавой Китаем или принятием более ястребиного подхода к Пекину. Но вопрос Китая/Huawei — это еще не все, что есть в немецком проекте закона об ИТ-безопасности.
Фон
В марте 2019 года министерство внутренних дел Германии предложило новый законопроект о кибербезопасности, получивший название Закон об ИТ-безопасности 2.0. Германия стремилась занять ведущую роль в кибербезопасности в Европе. Законопроект стал продолжением комплексного закона страны об информационной безопасности, принятого в 2015 году. В 2017 году в него были внесены поправки, чтобы привести его в соответствие с директивой ЕС о защите информационных и сетевых систем.
В проекте Закона об ИТ-безопасности 2.0 признается, что атаки становятся все более качественными, изощренными и разрушительными. Кибератаки, киберпреступления и кибершпионаж продолжают представлять угрозу для отдельных лиц, общества, бизнеса и государства.
Общая цель
Закон об ИТ-безопасности 2.0 преследует несколько целей. Он направлен на защиту позиции Германии как лидера в области ИТ-безопасности. Законопроект направлен на закрытие лазеек в существующих законах об ИТ-безопасности, а также на расширение сферы действия действующей нормативно-правовой базы. Он вносит поправки в ряд существующих законов, включая основные законы, регулирующие кибербезопасность, поставщиков телекоммуникационных услуг, поставщиков веб-хостинга, электронную коммерцию, онлайн-СМИ и Уголовный кодекс страны.
Ключевые аспекты законопроекта
Законопроект об ИТ-безопасности состоит из пяти основных элементов.
1. Защита прав потребителей
Законопроект ориентирован на более целостный подход к кибербезопасности. В связи с этим он добавляет защиту цифровых потребителей в качестве дополнительной ответственности Федерального управления информационной безопасности (BSI). Он также вводит метку ИТ-безопасности, которая предназначена для того, чтобы предоставить потребителям цифровых технологий большую прозрачность в отношении характеристик ИТ-продуктов, связанных с безопасностью.
2. Расширение полномочий BSI
Законопроект наделяет BSI дополнительными полномочиями в качестве органа по оценке соответствия по всем вопросам ИТ-безопасности. Он также расширяет полномочия BSI по расследованию и предупреждению. Эти расширенные полномочия включают следующее:
- Скрининг, техническое исследование и оценка безопасности ИТ-продуктов на рынке, таких как смарт-телевизоры и маршрутизаторы.
- Полномочия запрашивать данные инвентаризации у поставщиков телекоммуникационных услуг. Это должно помочь идентифицировать цели или жертвы кибератак, предлагая эффективную защитную поддержку против атак.
- Выявление и оценка рисков безопасности ИТ-инфраструктуры, а также попыток киберзаражения. Это может быть достигнуто, например, путем создания активных приманок или сканирования портов.
- Полномочия по разработке соответствующих планов реагирования на кризис с привлечением соответствующих заинтересованных сторон.
- Анализ и сбор данных о вредоносных программах, уязвимостях и других рисках кибербезопасности.
- Расширенная оценка данных и обработка псевдонимизированных данных из телекоммуникационной инфраструктуры федеральных органов власти Германии. Такая информация журнала может храниться не более 18 месяцев. Тем не менее, доступ к любым данным старше трех месяцев должен быть разрешен и возможен только при наличии признаков атаки.
- Расширенный контроль и мониторинг коммуникационных технологий и компонентов федеральных властей Германии для раннего выявления любых рисков. BSI также имеет право оценивать интерфейсы любых третьих сторон, которые взаимодействуют с коммуникационными технологиями федеральных властей.
3. Новые категории, дополнительные секторы и пересмотренные основные компоненты.
Законопроект расширяет список секторов рынка критической инфраструктуры (КРИТИС), включая управление отходами в существующие сектора энергетики, транспорта, финансовых услуг, здравоохранения, продуктов питания и ИТ/телекоммуникаций. Теперь он также явно охватывает ИТ-продукты, используемые как для работы критической инфраструктуры, так и для обработки и хранения данных инфраструктуры.
Законопроект расширяет Закон о Федеральном управлении по информационной безопасности (BSIG) двумя новыми субъектами — инфраструктурами, представляющими особый общественный интерес, и операторами, ответственными за кибербезопасность.
Инфраструктуры особых общественных интересов
Инфраструктура особого общественного интереса охватывает компании оборонного, медийного и культурного секторов, а также компании, имеющие большое экономическое значение.
Киберкритические операторы
Киберкритические операторы — это те предприятия, которые сами по себе не имеют существенного значения и, следовательно, не могут быть отнесены к категории инфраструктуры, представляющей особый общественный интерес. Однако они считаются киберкритическими, поскольку сбой в их системах и процессах может привести к повреждению или сбою критически важной инфраструктуры. Это благодаря их взаимосвязи с критической инфраструктурой.
4. Дополнительные обязанности поставщиков, производителей и операторов KRITIS
Субъекты, классифицируемые как объекты инфраструктуры, представляющие особый общественный интерес, должны будут выполнять те же технические, организационные и отчетные обязанности, что и операторы KRITIS. BSI также будет иметь право налагать эти требования на критически важные для кибербезопасности компании в каждом конкретном случае.
Например, операторы KRITIS обязаны установить технические средства контроля, которые могут обнаруживать атаки на их ИТ-системы. Они также должны зарегистрироваться в BSI и назначить контактное лицо для простоты связи. Производители ИТ-продуктов и основных компонентов KRITIS должны как можно скорее сообщать о любых известных неисправностях в BSI.
Декларация о благонадежности
Производители основных компонентов KRITIS также должны сделать «декларацию надежности», которая распространяется на всю их цепочку поставок. Операторы KRITIS будут ограничены в покупке только у таких производителей. Эта декларация является попыткой федерального правительства Германии сместить оценку безопасности с технической точки зрения на геостратегический уровень. Минимальные требования для этого будут установлены МВД.
Реагирование на инциденты кибербезопасности
Что касается существующего закона о телекоммуникациях, поправки налагают на поставщиков телекоммуникационных услуг комплексные обязательства, касающиеся удаления, отчетности и предоставления данных инвентаризации после инцидента кибербезопасности.
Они должны информировать Федеральное управление уголовной полиции (BKA), если информация была раскрыта или передана третьим лицам незаконным образом, или если их служба используется для незаконной публикации или передачи данных, полученных без необходимого разрешения. Поставщики услуг также обязаны блокировать незаконное раскрытие или сбор персональных данных или промышленных секретов.
5. Новые уголовные преступления в области защиты данных, а также более строгие наказания
Законопроект вводит новые правонарушения в области защиты данных в сочетании с более строгими наказаниями. Он устраняет пробелы в действующем законодательстве в отношении уголовной ответственности за преступления, связанные с информационными технологиями. Он вводит новые квалификации для преступлений, связанных с ИТ, и инструментов расследования киберпреступлений.
Заимствуя из Общего регламента ЕС по защите данных (GDPR), он значительно увеличивает потенциальные штрафы и применимые штрафы. Штрафы могут составить до 20 миллионов евро или четыре процента от мирового оборота организации.
Закон Германии об ИТ-безопасности: работа еще не завершена
Немецкий проект закона об ИТ-безопасности все еще находится в стадии разработки, поэтому его окончательную форму придется подождать, пока не будет достигнут необходимый консенсус. Возможны новые положения и удаление существующих разделов. Одно можно сказать наверняка — закон приведет к значительным дополнительным расходам для пострадавших компаний.