欧洲联盟网络安全新规则周四发布,经过数周的猜测和泄露的草案。
欧盟委员会网络安全战略的主要部分是拟议的网络安全指令,信息安全。如果得到欧洲议会和成员国的批准,这将成为E.U.法律
根据委员会文件,以前的自愿努力已经落空,“在整体网络安全方面留下了很多空白”。目前只有电信公司需要报告重大的安全事件。新的指令将扩展到主要互联网公司,如大型云提供商,社交网络,电子商务平台和搜索引擎,银行业以及包括能源,交通和健康以及公共管理在内的关键基础设施服务。这些所谓的“信息社会服务的推动者”将被要求向国家当局报告任何“严重影响关键服务和商品供应的连续性”的安全漏洞。这个机构“可能需要公众通知”,但公告不是强制性的。
[更多阅读:如何从Windows PC中删除恶意软件]欧洲目前正在审查的数据保护条例议会只涵盖个人资料受到损害的安全事件。因此,不需要报告不针对数据的网络攻击。新指令将改变这种情况。
PayPal,谷歌,亚马逊,eBay和Skype等公司将不得不通知主管部门任何重大的网络攻击以及其他对服务产生重大影响的事件,例如自然灾害,极端天气和人为错误案例。
数字议程专员Neelie Kroes批评业务经理否认网络攻击正在发生,因为他们担心自己公司的声誉。网络攻击是一种常见现象,据统计,去年有93%的大公司经历了网络攻击,她指出。“在一天结束时,您的体验的开放性和透明度将会带来更好的环境所有“,她说,”
成员国将决定他们如何将指令写入国家法律,因此对未报告事件的制裁因国家而异。“作为拟议指令的一部分,成员国将被要求指定一个联络机构,负责与其他国家以及欧洲网络和信息安全机构共享有关网络威胁的信息。
惠普安全战略主管Richard Archdeacon表示,拟议的指令有助于构建信任消费者。他表示:“单靠云计算预计到2020年将欧洲经济推动1万亿欧元,但由于数量惊人的昂贵攻击导致对互联网安全缺乏信心,阻止了广泛采用。”他在一份声明中表示, 2012年的欧洲统计数据显示,互联网用户购买网络银行的可能性降低了18%,而使用网上银行的可能性降低了15%。
此外,在网上委员会咨询的160名受访者中,近四分之三表示,要求报告网络意外事件不会产生任何额外费用,超过三分之二表示实施最先进的风险管理系统不会导致成本增加。
欧洲电信网络运营商协会毫无保留地批准了该计划,中国电信公司华为强调全球工作应对网络攻击的重要性。
然而,“目前形式的提案无法实现其既定目标,”IBM欧洲区政府项目副总裁Liam Benham警告说,“企业面临的挑战将是找到适合所提风险的适当安全级别。在这方面,这个提案在这个阶段有些模糊,“Hunton&Williams的副律师JörgHladjk表示同意。”欧洲议会现在不得不批准该指令,因此可能会进一步修改案文。一旦法律,E.U.成员国有18个月的时间将其写入国家立法。