Klíčové instituce a firmy v Evropské unii by v příštích letech měly důsledněji dbát o ochranu před kybernetickými útoky. Počítá s tím plán Evropské komise, který mimo jiné zavádí možnost postihů vůči společnostem zanedbávajícím potenciální rizika. Unijní exekutiva navrhla rovněž vytvoření sítě center kybernetické bezpečnosti. Kritickou infrastrukturu chce také lépe chránit před teroristy či přírodními pohromami.
Evropská komise představila plán, který má ochránit kritickou infrastrukturu před hackery
Komise novými návrhy reaguje na množství hackerských útoků z posledních let, které zasáhly instituce či významné podniky v řadě evropských zemí. Jednou z napadených společností byla například Evropská agentura pro léčivé přípravky, která v současnosti rozhoduje o povolení vakcín proti covidu-19 pro evropský trh. Podle Bruselu útoky ukázaly zranitelnost klíčové evropské infrastruktury vůči akcím kybernetických útočníků, jejichž stopy mnohdy vedou do zahraničí, například do Ruska nebo Číny.
Komise ve středu přichystala v rámci strategie nazvané Evropský kybernetický štít návrhy dvou směrnic. Ty by měly přispět k celounijnímu posílení ochrany kritické infrastruktury a odvětví před hackery. Týkat se budou mimo jiné energetiky, dopravy, bank, nemocnic, úřadů či datových a technologických center. Zahrnovat však budou velké a střední podniky i z dalších odvětví, jako je výroba léčiv či pohonných hmot, poštovní služby nebo internetové sítě.
Nové normy mimo jiné zavedou pro klíčové subjekty povinnost pravidelně předkládat úřadům hodnocení rizik a plán, jak jim předcházet. Úřady budou mít možnost postihovat případné neplnění povinností pokutami až do výše deseti milionů eur (260 milionů korun) či dvou procent ročního obratu firmy.
„V případě, že společnost dále nebude plnit své povinnosti v této kategorii, můžeme přistoupit až k dočasnému odnětí licence. To je krajní řešení,“ nastínil eurokomisař pro jednotný unijní trh Thierry Breton.
Strategie počítá rovněž s tím, že členské státy předloží své vlastní národní plány kybernetické ochrany kritické infrastruktury. V unijních zemích by také měla vzniknout střediska kybernetické ochrany propojená do sítě, která by byla schopna včas odhalit hrozící nebezpečí útoku. Komise chce rovněž ustavit novou jednotku specializovaných pracovníků, kteří by zajišťovali efektivnější spolupráci mezi úřady států a unijními orgány.
Návrhy nových pravidel budou od příštího roku projednávat zástupci členských států a Evropský parlament a schválení celého „štítu“ může trvat až několik let.
Brusel už za útoky uvalil několik sankcí
Evropská unie už v červenci uvalila sankce na několik hackerů z Číny a Ruska, na dvě firmy z Číny a KLDR a jedno ruské pracoviště tajných služeb. Důvodem byly mimo jiné útoky prostřednictvím vyděračských programů WannaCry a NotPetya.
V říjnu pak Brusel uvalil na Rusko sankce týkající se například šéfa ruské vojenské rozvědky GRU Igora Kosťukova. Ten je podle úředního věstníku Evropské unie spoluodpovědný za rozsáhlý hackerský útok na německý Spolkový sněm v roce 2015. Rusko v květnu obvinění odmítlo a uvedlo, že EU pro taková tvrzení nemá důkazy.
Při útoku se do rukou hackerů dostala mimo jiné elektronická korespondence německé kancléřky Angely Merkelové. Ta už v květnu Moskvu kritizovala za porušování mezinárodního práva a evropských hodnot a řekla, že Ruskem se bude zabývat nynější německé předsednictví EU.
Dosud největší kybernetický útok proti Spolkovému sněmu se uskutečnil v dubnu a květnu 2015. Špionážním softwarem byly napadeny počítače mnoha poslanců včetně počítače poslanecké kanceláře Merkelové.