Njemačka vlada je usvojila nacrt Zakona o digitalnoj sigurnosti, o kojem će raspravljati Bundestag. Predviđeno je da dodatno školovanje radnika i veća zaštita pristupa digitalnim sistemima putem multifaktorske sigurnosne opcije koja predviđa najmanje dva koraka provjere prije pristupa računarima.

Velika ekonomska šteta zbog cyber napada

Donošenje zakon direktivom NIS2 zahtijeva Europska unija. Važan dio budućeg zakona je odredba da rukovodstvo firme mora preuzeti jamstvo u slučaju da nisu poduzete adekvatne mjere digitalne zaštite. Mora se omogući razvijanje koncepta obrane protiv cyber napada i zaštita podatake. To se u struci naziva "backup-management".

Dennis-Kenji Kipker sa Sveučilišta u Bremenu o tome kaže da rukovodstvo firme mora raspolagati s potrebnim znanjem, a da onima koji ne steknu to znanje prijeti opasnost da izgube pravo voditi firmu. Kipker dodaje: „Digitalna sigurnost je u velikom broju njemačkih firmi potpuno nepoznat teren“.

Savezni zavod zasigurnost u informaciskoj tehnologiji (BSI) dobit će proširene nadležnosti. Kod te se institucije firme moraju registrirati i da slati joj opsežne izveštaje u slučaju cyber incidenta. Ukoliko netko prekrši sigurnosna pravila ova državna institucija dobija pravo brže intervencije i sankcioniranja.

Nacrtom zakona se predviđaju velike novčane kazne. U slučaju velikih i važnih firmi kazna može iznositi i do dva posto godišnjeg prometa. Radilo bi se o iznosima i po nekoliko milijuna evra.

Bremenski profesor prava Dennis-Kenji Kipker smatra da se sadašnjim nacrtom zakona nije dovoljno daleko išlo, ali da se očito radi o najboljem mogućem kompromisu. Tako bi primjerice Savezni zavod za sigurnost u informacijskoj  tehnologiji trebao dobiti više zadataka i ovlasti, ali se ne predviđa njegova neovisnost o politici. Ujesto toga ova institucija ostaje uklopljena u strukturu Ministarstva unutrašnjih poslova.

Osim toga, čuje se i opaska da je nacrt zakona u odlučujućim segmentima nekonkretan, što firmama nepotrebno otežava posao primene. Karsten Bartel, pravnik iz Saveza IT sigurnosti (TeleTrustT) kaže da na primjer nije jasno koje dodatne mjere moraju uvesti poduzeća kritične infrastrukture u sferama vodoopskrbe ili opskrbe električnom energijom odnosno plinom..

Nacrt predviđa da takva poduzeća preuzmu obvezu uvođenja strožih mjera sigurnosti u odnosu na produzeća koja su manje ugrožena. Ali nije jasno što to konkretno zanči. „Firme trebaju konkretnu regulativu. Ako nacrt ovakav kakav jeste postane zakon, on će odmah izazvati potrebu dorade“, smatra Bartel.

Izazov za male firme

I udruženja poduzetnika su suzdržana. Oni pozdravljaju poboljšanje digitalne sigurnosti u širokom spektru industrije i zakonsku obavezu da se sigurnost poboljša. Ali Paul Ruland, predstavnik Saveznog udruženja srednjih poduzeća (BVMW) kaže da to u ekonomski izazovnim vremenima neće uvijek biti lako ostvariti. Njemačke manje i srednje firme moraju u tu nadoknaditi mnogo propuuštenog. No privrednici smatraju da je „plan iz političkih razloga preambiciozno terminiran, pa ga je realno gledano vrlo teško realizirati“.

Savezni zavod za sigurnost u informacjskoj tehnologiji je u prvom koraku na svojoj online stranici objavio katalog pitanja. Preduzeća na osnovu njih mogu provjeriti odnose li se nova pravila i na njih.