22
Пт, нояб

Немецкие риск-менеджеры должны подготовиться к новому Закону об ИТ-безопасности

agcs cyber risks 7 teaserНемецкие компании должны внимательно следить за предстоящим немецким Законом об ИТ-безопасности 2.0, разработанным для улучшения кибер- и информационной безопасности в целях обеспечения стабильности перед лицом нарастающей цифровизации, поскольку она принесет новые риски и неопределенности, предупреждают эксперты.

Особый интерес в этом контексте представляют изменения в BSIG (закон Германии о Федеральном ведомстве по информационной безопасности), которые значительно расширят компетенцию BSI (Федеральное ведомство Германии по информационной безопасности), сообщила немецкая юридическая фирма Heuking в недавнем заявлении.

Это усиление принимает форму дополнительных сфер ответственности. Например, BSI будет играть более активную роль в защите потребителей, «консультируя и предупреждая потребителей» по вопросам безопасности ИТ. BSI также будет иметь офис для сообщений об инцидентах в области ИТ-безопасности.

Еще одна проактивная роль BSI будет заключаться в обнаружении брешей в безопасности на интерфейсах между системами информационных технологий и общедоступными телекоммуникационными сетями (поиск открытых портов). Это может быть сделано без предварительного уведомления, если есть «разумное предположение», что существуют бреши в безопасности или меры безопасности недостаточны.

Кроме того, новый Закон о безопасности охватывает больше компаний, чем его предшественник, с добавлением категории «особого интереса», в которую в основном входят компании, которые являются экономически значимыми или участвуют в управлении отходами.

Закон также создает две новые категории, которые должны будут соответствовать нормативным требованиям в каждом конкретном случае. Это: инфраструктуры особого общественного интереса (например, оборона и СМИ); и критически важные операторы с точки зрения кибербезопасности, то есть компании, играющие ключевую роль в функционировании критически важной инфраструктуры.

Помимо этого более широкого обязательства по отчетности, у законодательства также есть свои преимущества, так как цена несоблюдения требований возрастет, а штрафы в размере до 20 миллионов евро за нормативные правонарушения.

Хотя логика закона ясна, Heuking указала, что он был принят без оценки мер, применявшихся в соответствии с предыдущим законом. Также критиковалось сравнительно короткое время, отведенное на общественные дебаты по этому вопросу.

Однако наиболее спорным аспектом, вероятно, является тот факт, что BSI не обязан делиться полученной информацией в своем офисе по инцидентам в области ИТ-безопасности. «Похоже, что это не способствует достижению целей защиты потребителей и усиленной ИТ-безопасности», - отметила Heuking.

С другой стороны, как указала Heuking, закон также имеет явные плюсы. Например, это повышает юридическую ясность, поскольку значительно меньше общих ссылок на подзаконные правовые акты, в которых еще предстоит урегулировать важные детали.

Поставщик технического контента TechGenix также сослался на целостную сферу применения нового закона, утверждая, что он признает растущую угрозу, исходящую от киберпреступников, и является признаком намерения Германии занять лидирующую позицию в европейской кибербезопасности.

Однако новый закон приведет к значительным дополнительным расходам для компаний, к которым он применяется, отмечает TechGenix.

Подготовлено порталом Allinurance.kz