logo-image
Як українському бізнесу орієнтуватися в регуляторному ландшафті ЄС: комплексний огляд захисту даних, кібербезпеки та цифрової безпеки
Автор: Юрій Котляров
Джерело: Ліга Закон, 20 листопада 2023

Останнім часом Європа приділяє значну увагу законодавству, що стосується інформаційно-комунікаційних технологій (ІКТ), зокрема захисту даних, кібер та цифрової безпеки.

Європейське законодавство складається з "горизонтальної структури", тобто законодавства, яке застосовується до всіх суб'єктів економіки (наприклад GDPR, Закон про кібербезпеку (Cybersecurity Act), Директива про безпеку мережевих та інформаційних систем (Директива NIS) та її оновлена версія - Директива NIS2) та "вертикальної структури", тобто галузевого законодавства, що відповідає конкретним потребам певного сектору (наприклад Акт про цифрову операційну стійкість (the Digital Operational Resilience Act або DORA).

Поточне та найближче регулювання

GDPR

Хоча GDPR безпосередньо не стосується кіберзахисту, втім багато його вимог напряму або опосередковано пов'язані з таким захистом.

Контролери зобов'язані вживати як організаційні, так і технічні заходи для забезпечення належного рівня безпеки персональних даних, а отже, захисту основних прав і свобод суб'єкта даних. GDPR наголошує на необхідності враховувати захист даних на етапі проєктування та протягом усього життєвого циклу даних, а також за необхідності впроваджувати відповідні технічні та організаційні заходи безпеки для реалізації принципів конфіденційності та захисту даних.

Такі організаційно-технічні заходи базуються та глибоко пов'язані саме з заходами інформаційної безпеки, зокрема кіберзахистом.

Закон ЄС про кібербезпеку (Cybersecurity Act)

Cybersecurity Act встановлює правовий механізм добровільної сертифікації у сфері кібербезпеки.

Так, Європейські схеми сертифікації містять набір правил, технічних вимог, стандартів і процедур, які можуть бути використані для оцінки властивостей безпеки певного продукту. У цьому сенсі сертифікат подібний до знаку CE, який вказує на відповідність продукції стандартам охорони здоров'я, безпеки та захисту навколишнього середовища.

Наразі, Європейські схеми сертифікації ще розвиваються, але незабаром можна очікувати їх ухвалення.

Директива NIS/ Директива NIS2

Директива NIS була першим актом ЄС у сфері кібербезпеки.

Директива поширюється на операторів основних послуг (OES) у таких секторах, як енергетика, транспорт, банківська справа, охорона здоров'я та цифрова інфраструктура (наприклад, пункти обміну даними в Інтернеті, провайдери послуг DNS та реєстри доменних імен верхнього рівня), а також на постачальників цифрових послуг (DSP), до яких належать онлайн-маркети, пошукові системи та послуги хмарних обчислень.

Директива NIS2 значно розширює сферу дії, охоплюючи ширше коло суб'єктів. Окрім OES та DSP, Директива NIS2 також застосовується до важливих суб'єктів у таких секторах, як поштові та кур'єрські послуги, утилізація відходів, виробництво певних фармацевтичних і хімічних продуктів тощо. Вона також охоплює нові цифрові послуги, зокрема такі як послуги соціальних мереж.

Відповідно до Директиви NIS, OES та DSP повинні були вживати належних заходів безпеки та повідомляти відповідні національні органи про значні інциденти.

Директива NIS2 запроваджує більш суворі вимоги до безпеки та звітності про інциденти. Зокрема, суб'єкти зобов'язані управляти кіберризиками, впроваджувати заходи стійкості та повідомляти національні органи влади про значні кіберінциденти протягом 24 годин.

Оновлена Директива NIS2 також охоплює питання безпеки ланцюгів постачання і додатково запроваджує відповідальність вищого керівництва за недотримання зобов'язань з кібербезпеки.

DORA

Відповідно до DORA, фінансові установи повинні дотримуватися спеціальних правил щодо захисту від можливих інцидентів, пов'язаними з ІКТ, їх виявлення та відновлення від їх наслідків.

DORA встановлює правила щодо управління ІКТ-ризиками, звітування про інциденти, тестування операційної стійкості та моніторингу ІКТ-ризиків третіх сторін.

Запропоноване регулювання

Акт про кіберстійкість

У вересні 2022 року Європейська Комісія запропонувала проєкт акту про кіберстійкість (Cyber Resilience Act/CRA), який встановлює нові правила для програмних і апаратних продуктів ("продуктів з цифровими елементами") на ринку ЄС.

CRA запроваджує вимоги щодо кібербезпеки продукту та повідомлення про їх вразливості. Такі зобов'язання у різних обсягах застосовуватимуться як для виробників, так і для імпортерів та дистриб'юторів таких продуктів.

Якщо CRA буде прийнято, то цей акт суттєво змінить регуляторні зобов'язання в ЄС для виробників, імпортерів та дистриб'юторів програмного та апаратного забезпечення.

Акт про штучний інтелект

У 2021 році Європейська Комісія запропонувала проєкт регламенту, який встановлює гармонізовані правила щодо продажу та використання штучного інтелекту в ЄС (Акт про ШІ).

Акт про ШІ має встановити єдині стандарти для систем штучного інтелекту в країнах-членах ЄС. На практиці це перший комплексний нормативний акт, який регулює ризики штучного інтелекту через набір зобов'язань і вимог, спрямованих на захист здоров'я, безпеки та основних прав громадян ЄС та інших країн. Очікується, що цей акт матиме суттєвий вплив на розробку та використання штучного інтелекту не тільки у країнах ЄС, але у багатьох інших країнах.

Очікується, що Акт про ШІ буде завершено до кінця цього року. Після завершення остаточних законодавчих процедур в ЄС цей акт, ймовірно, може бути ухвалено на початку 2024 року до виборів до Європейського парламенту, які відбудуться в червні 2024 року. Після прийняття акту буде перехідний період, який триватиме щонайменше 18 місяців, перш ніж він набуде чинності в повному обсязі.

Наслідки для українських компаній

1. Законодавство ЄС та країн ЄС щодо кібербезпеки, захисту даних та цифрової безпеки слід розглядати в сукупності та уникати поширеної помилки згадувати лише про захист персональних даних та GDPR.

Законодавство ЄС та країн ЄС щодо кібербезпеки, захисту даних та цифрової безпеки поширюватиметься на бізнес українських компаній у разі їх безпосередньої присутності в ЄС. Наприклад, у разі створення юридичної особи та здійснення діяльності, що підпадає під дію конкретного регулювання.

Однак українські компанії також можуть підпадати під дію цих норм, коли вони надають свої продукти чи послуги або іншим чином взаємодіють з ринком ЄС.

Наприклад, вже, мабуть, усім відомо про екстра територіальну дію GDPR. Якщо ви обробляєте персональні дані особи, яка перебуває в ЄС, ви повинні дотримуватися вимог GDPR навіть якщо ви іншим чином не присутні в ЄС.

Так само, якщо ви постачаєте на ринок ЄС цифрові продукти або продукти з цифровою складовою, на вас також можуть поширюватися певні вимоги. Зокрема, як було сказано вище у разі прийняття Cyber Resilience Act, виникне необхідність виконання його вимог, зокрема щодо сертифікації ваших продуктів.

2. На шляху до членства в ЄС, Україна активно адаптує своє законодавство до законодавства ЄС. Отже, в найближчому майбутньому в Україні буде діяти національне законодавство, яке буде, якщо неідентичним, але багато у чому схожим з законодавством ЄС.

ому, українським компаніям, особливо тим, які вже зараз розглядають присутність на ринках ЄС, потрібно розглянути необхідність розробки або адаптації планів щодо регуляторного комплаєнсу з вимогами актів ЄС у сфері захисту даних, кібер та цифрової безпеки.

Темна тема
Світла тема
Великі шрифти
Нормальні шрифти