Od przyjęcia przez Radę Europejską Decyzji Ramowej w sprawie ataków na systemy informatyczne (2005/222/JHA) minęło ponad 8 lat. Jest to okres, w którym w bardzo istotny sposób zmieniło się zarówno otoczenie technologiczne jak i biznesowe, przy jednoczesnej znacznej ewolucji samych zagrożeń. Dlatego, według ekspertów firmy doradczej Deloitte, przyjęta 4 lipca br. przez Parlament Europejski propozycja nowej dyrektywy, zastępującej decyzję ramową z 2005 r., jest właściwym krokiem na drodze do budowania odporności przed zagrożeniami w cyberprzestrzeni. Jednak z uwagi na złożony i ulotny charakter regulowanych zagadnień, propozycja dyrektywy nie jest wolna od niedoskonałości.
Wśród zalet projektowanej dyrektywy eksperci Deloitte wymieniają przede wszystkim:
Niektóre z proponowanych przepisów nowej dyrektywy budzą wątpliwości, a przede wszystkim:
- Nie jest także jasne, czy urzędnicy europejscy proponując, aby kraje członkowskie zachęcały do zgłaszania podatności systemów informatycznych na cyberzagrożenia, chcą aby tzw. niezależni eksperci wykonywali niezamówione testy penetracyjne czy też urzędnikom chodzi o rozpowszechnienie inicjatyw typu „bug bounty", które promują informowanie w odpowiedzialny sposób o błędach bezpieczeństwa systemów i usług – mówi Piotr Szeptyński, Menedżer w Deloitte.
Jedynym krajem UE, którego nie obejmie obowiązek wdrożenia przepisów jest Dania. Z uwagi na transgraniczny charakter sieci i wielu usług w efekcie może to oznaczać skupienie się na jej terytorium działalności, która w pozostałych krajach - w myśl nowych przepisów - jest z nimi niezgodna.
