Implementační dialog v Bruselu — Cybersecurity Act

Minulý týden jsem se za CyberLadies zúčastnila Implementačního dialogu - nástroje Evropské komise pro sbírání zpětné vazby na různá témata, tentokrát na téma Cybersecurity Act (viz Implementation dialogue on cybersecurity policy with Executive Vice-President Henna Virkkunen).

O co šlo?

Začnu trochu obšírněji: Cybersecurity Act (CSA — jeho znění si můžete přečíst zde) je v podstatě legislativa, která dává trvalý mandát agentuře ENISA (European Union Agency for Cybersecurity) — a ustavuje její dlouhodobé úkoly, organizační strukturu a financování. ENISA vznikla už v roce 2004 regulací 460/2004, ale s dočasným mandátem a menším rozsahem úkolů. Mandát se několikrát prodlužoval, až se nakonec v roce 2019 díky CSA stal trvalým.

Ve zkratce, ENISA má být centrální organizací, která zašťiťuje mnoho aktivit kolem kybernetické bezpečnosti v rámci Evropské unie, například věci jako jsou různé bezpečnostní rámce a certifikace pro služby, procesy a produkty, pravidelné celoevropské kyberbezpečnostní cvičení, spolupráce napříč evopskými CSIRT a CERT týmy, reporting o stavu kyberbezpečnostního prostředí v unii i ve světě a spoustu dalšího, to vše v kontextu další evropské kyberbezpečnostní legislatvy, jako je CRA (Cyber Resilience Act) a další. Těch úkolů pro ENISA je hodně a Implementační dialog, kterého jsem se účastnila, je jedním z prostředků ke sběru zpětné vazby, která by měla přispět k průběžnému zlepšování a mimo jiné i k tvorbě tzv. Digitálního omnibusu, což je publikace, kterou Evropská komise chystá jako dokument přehledně shrnující a zjednodušující legislativní a jiná pravidla pro tvorbu a provoz digitálních služeb, produktů a procesů v Evropské unii.

Za CyberLadies jsme zvolily, že budeme reagovat v rámci tematického slotu "Towards a more actionable EU cybersecurity framework?", velice volně přeloženo jako "Jak se dostat k proveditelnému kyberbezpečnostnímu frameworku Evropské unie?". Vybraly jsme si tři body, které celkově z pozice kyberbezpečnostní komunity považujeme za důležité a ty jsem na místě přednesla.

Jednalo se zhruba o následující (nejde o doslovný překlad, ale vysvětlující přepis):

1. ENISA by si měla vzít příklad z velkých znalostních projektů (jako je Wikimedia) a open source hnutí a stát se po jejich vzoru moderovanou platformou na kolaborativní tvorbu evropské kyberbezpečnostní dokumentace — od legislativy přes návody pro organizace různých velikostí po doporučená konfigurační nastavení technologických prvků. Evropská kyberbezpečnostní komunita je velká a ráda si pomáhá, ale musí k tomu mít prostor a prostředky. Aktuální veřejná prezentace ENISA je nepřehledná a nekonzistentní, těžko se dohledávají specifické informace. Způsoby, jak spolupracovat na konkrétních tématech, jsou velmi těžkopádné. Pár příkladů za vše — ve veřejných git repozitářích ENISA jsou torza, co měla podle všeho obsahovat spoustu zajímavých strukturovaných informací, ale nikdy se pořádně nezačaly tvořit. Webové stránky jsou nepřehledné, RSS feedy zrušené, každá aktivita (například konference pořádané ENISA) je popsaná nekonzistentně a mnohde chybí detaily a jde jen o roztáhnutou PR zprávu.
2. Co se týká různých legislativních potřeb pro podávání reportů, hlášení a jejich sdílení napříč členskými zeměmi a institucemi, byly bychom rády, kdyby se místo centralizovaného systému vytvořilo moderované prostředí, které by členským zemím poskytlo přesný procesní rámec a postupy, včetně softwarové podpory, které by umožnilo decentralizované sdílení informací mezi hlavními garanty kyberbezpečnosti v rámci EU. To by umožnilo členským zemím nabírat informace a rychle na ně reagovat v lokálním jazyce a se znalostí lokálního prostředí a zároveň by zajistilo, že informace budou ve stejné nebo podobné kvalitě dostupné i ostatním zúčastněným. Centralizovaná platforma by se v rámci EU jinak stala kritickým bodem selhání a mohla by prodlužovat reakce, špatně interpretovat informace a další neduhy spojené s podobnými procesy známými například z komerčních nadnárodních organizací.
3. Poslední bod se týká obecně časových rámců, pokut a klasifikací týkající se legislativních požadavků na různé formy reportů a hlášení. Cítíme, možná trochu naivně, že by bylo lepší, kdyby se veřejná diskuse orientovala spíše na pozitivní motivaci pro organizace než na potenciální pokuty a další negativa v případě nedodržování. To znamená vysvětlovat, co se přesně stane s poskytnutými informacemi, rozmělňovat obavy, a že je lepší se nesoustředit na přesné termíny nebo limity, ale raději poskytnout aspoň nějakou, byť předběžnou, informaci. Kyberbezpečnost dávno není záležitostí omezenou na jednotlivé aktéry a organizace, ale o společnou realitu nás všech, kdy se incident jedné organizace může snadno přenést do několika dalších a komplikovat i naše běžné denní životy.

Samotná akce v Bruselu v centrále Evropské komise probíhala velmi kultivovaně — byly pozvané malé i velké organizace napříč evropským prostorem, byl čas na osobní diskuse před i po skončení setkání. V rámci zpětné vazby od ostatních organizací rezonovala podobná témata, především prosby o konkrétní manuály a větší celkovou transparentnost a praktickou použitelnost poskytovaných informací nebo apel na větší technologickou suverenitu EU a zbavování se největších závislostí na třetích stranách mimo EU v klíčových sektorech.

Uvidíme tedy, co nás v rámci kybernetické bezpečnosti Evropské unie dále čeká, a kolik ze zpětné vazby se promítne do fungování ENISA a dalších kyberbezpečnostních organizací v rámci EU a jejích členských zemí.

Příloha - Originální body v angličtině:

1. ENISA got a strong mandate within Cybersecurity Act to be a central point and/or strong participant within EU cybersecurity environment in many aspects - knowledge base, various frameworks, larger collaboration between EU cybersecurity entities or awareness efforts through trainings, campaigns and bi-annual cybersecurity exercise. What we see is that although there are a lot of high quality outputs, the overall efforts are not transparent, often fragmented and it's actually pretty hard for cybersecurity practitioners to get the information they need in a form which they need it and even the ways how to participate are not easily accessible. That's why our feedback for ENISA on how to get better in it states that ENISA should take inspiration from large public knowledge management projects like Wikimedia and large open source software projects to become a moderated knowledge platform which is easily readable, well organized and constantly updated. Like a library with good librarians who help even a stray kid to come in and get what they need - and let them contribute back, because european cybersecurity community is vast and many people are glad to help if they are presented with a dead simple and visible way to contribute - like proposing an edit on a specific wiki page or pushing a request to software repository, which are both well known and easily used techniques for cybersecurity professionals. It would also allow for much larger collaborative efforts across the whole EU in multiple languages.
2. Second point touches the topic of various reporting and sharing needs and requirements - either mandated by legislation or simply the ones stemming from best practices. We feel the right approach would not be a strict centralisation, but leveraging the member states experience and institutions to create a decentralized environment harmonized in processes and used software, but not patched directly through a centralised environment. Member states can better explain their constituents what will happen with their data, can communicate quickly and directly in the language of their constituents and can facilitate the information sharing and centralised reporting needs if a harmonized network will be created for that. This all would provide speed, resilience and strengthen collaboration between members states, and again, like in previous point - ENISA can act as an overall moderator.
3. Last point is about general perception of timelines and thresholds surrounding cybersecurity incidents and other types of mandated reporting. We see that it's more important to get at least some information than nothing and because of that we propose to ease up on negative motivation (financial fines, complicated thresholds and timelines for different purposes) and focus on positive motivation - why it's good to report, minimal reporting needs, what will happen with the information and much more. This will prevent the type of behaviour when something is not reported at all because of reasons like fear (illusionary reputation damage worse than potential fines in eyes of some), uncertainty ("does this threshold apply or not?") or even unintentional forgetting because of too many overlapping requirements.