Od przyjęcia przez Radę Europejską Decyzji Ramowej w sprawie ataków na systemy informatyczne (2005/222/JHA) minęło ponad 8 lat. Jest to okres, w którym w bardzo istotny sposób zmieniło się zarówno otoczenie technologiczne jak i biznesowe, przy jednoczesnej znacznej ewolucji samych zagrożeń. Dlatego, według ekspertów firmy doradczej Deloitte, przyjęta 4 lipca br. przez Parlament Europejski propozycja nowej dyrektywy, zastępującej decyzję ramową z 2005 r., jest właściwym krokiem na drodze do budowania odporności przed zagrożeniami w cyberprzestrzeni. Jednak z uwagi na złożony i ulotny charakter regulowanych zagadnień, propozycja dyrektywy nie jest wolna od niedoskonałości.
Wśród zalet projektowanej dyrektywy eksperci Deloitte wymieniają przede wszystkim:
duży nacisk na poszerzenie oraz zintensyfikowanie międzynarodowej współpracy oraz wymiany informacji pomiędzy organami ścigania w sprawach związanych ze ściganiem sprawców ataków na systemy informatyczne,
odniesienie się do kwestii ochrony infrastruktury krytycznej, czyli tych systemów, których niedostępność w istotny sposób wpływa na bezpieczeństwo publiczne oraz życie obywateli w kluczowych dla funkcjonowania państwa sektorach, takich jak: transport, energetyka, telekomunikacja, finanse czy ochrona zdrowia,
próbę nakłonienia państw członkowskich do nałożenia większej odpowiedzialności na dostawców usług i innych przedsiębiorców za bezpieczeństwo ich systemów i przetwarzanych w nich danych a także do szerszej współpracy z sektorem publicznym,
zwrócenie uwagi na potrzebę stałego doskonalenia umiejętności i poszerzania wiedzy organów ścigania i wymiaru sprawiedliwości w zakresie zagrożeń i bezpieczeństwa systemów teleinformatycznych.
Niektóre z proponowanych przepisów nowej dyrektywy budzą wątpliwości, a przede wszystkim:
brak propozycji konkretnych rozwiązań zwłaszcza w obszarze zapobiegania zagrożeniom i wykrywania ich, przeniesienie odpowiedzialności za opracowanie tych regulacji na kraje członkowskie, co może skutkować brakiem kompatybilnych i skutecznych rozwiązań,
zbytnie skupienie uwagi na kwestii penalizacji określonych w propozycji dyrektywy przestępstw, co miałoby stanowić czynnik odstraszający potencjalnych ich sprawców.
Nie jest także jasne, czy urzędnicy europejscy proponując, aby kraje członkowskie zachęcały do zgłaszania podatności systemów informatycznych na cyberzagrożenia, chcą aby tzw. niezależni eksperci wykonywali niezamówione testy penetracyjne czy też urzędnikom chodzi o rozpowszechnienie inicjatyw typu „bug bounty” *, które promują informowanie w odpowiedzialny sposób o błędach bezpieczeństwa systemów i usług – mówi Piotr Szeptyński, Menedżer w Deloitte.
Jedynym krajem UE, którego nie obejmie obowiązek wdrożenia przepisów jest Dania. Z uwagi na transgraniczny charakter sieci i wielu usług w efekcie może to oznaczać skupienie się na jej terytorium działalności, która w pozostałych krajach – w myśl nowych przepisów – jest z nimi niezgodna.
Kolejną niejasną propozycją jest ta, która mówi aby nie karać osób nieświadomych popełnianych czynów „na przykład w sytuacji, gdy osoba [popełniająca czyn] nie wiedziała, że dostęp jest nieautoryzowany”. Może to doprowadzić do wykorzystania furtki w prawie a w efekcie do uniknięcia odpowiedzialności przez cyberprzestępców powołujących się na niewiedzę.
W uzasadnieniu do jednej z postulowanych zmian, członkowie Komisji ds. Przemysłu, Badań Naukowych i Energii napisali, że „wprowadzenie sankcji jest krokiem w dobrym kierunku, jednak kompleksowe podejście Unii do walki z cyberprzestępczością nie powinno skupiać się jedynie na wzmocnieniu efektywności w egzekwowania prawa, lecz powinno stworzyć strategię i instrumenty pozwalające zapobiegać aktom przestępstw”.
Komentarz ten bardzo dobrze podsumowuje cały projekt wyrażając jednocześnie obawy, co do skuteczności podejmowanych działań w dłuższej perspektywie. Trzeba jeszcze dużo pracy by mieć pewność, że przepisy krajowe uwzględnią specyfikę Internetu i cyberzagrożeń, dając organom ścigania i przedsiębiorcom realne narzędzie do walki z nadużyciami – podkreśla Piotr Szeptyński.
Kraje członkowskie będą miały 2 lata na dostosowanie wewnętrznych przepisów do nowej dyrektywy.
