Nemačka: zakon o digitalnoj bezbednost u privredi
27. jul 2024.Vlada Nemačke je usvojila nacrt zakona o digitalnoj bezbednosti, o kojem će raspravljati Bundestag. Predviđeno je da firme bolje školuju svoje radnike u toj oblasti i da osiguraju veću zaštitu pristupa digitalnim sistemima putem multifaktorske bezbednosne opcije koja predviđa najmanje dva koraka provere pre pristupa računarima.
Nova pravila će se odnositi na najmanje 30 000 nemačkih firmi.
Ekonomska šteta zbog sajber napada
Nemačka je dužna da donese ovaj zakon jer to svojom direktivom NIS2 zahteva Evropska unija. Socijaldemokratska ministarka unutrašnjih poslova Nensi Fezer u saopštenju za medije Ministarstva kaže da se zakon donosi kako bi se osnažila otpornost nemačke privrede na sajber napade.
Važan sastavni deo budućeg zakona je odredba da rukovodstvo firme mora da preuzme jemstvo u slučaju da nisu preduzete adekvatne mere digitalne zaštite. Menadžment mora da omogući razvijanje koncepta odbrane protiv sajber napada i da zaštiti podatke. To se u struci zove "backup-management".
Denis-Kenji Kipker sa Univerziteta Bremen o tome kaže da rukovodstvo firme mora da raspolaže sa znanjem, a da onima koji ne steknu to znanje preti opasnost da izgube pravo da budu na čelu firme. Kipker dodaje: „Digitalna bezbednost je u velikom broju oblasti nemačke industrije potpuno nepoznat teren“.
Savezni zavod za bezbednost u informacionoj tehnologiji (BSI) dobiće proširene nadležnosti. Kod te institucije preduzeća moraju da se registruju i da pošalju opsežne izveštaje u slučaju sajber incidenta. Ukoliko neko prekrši bezbednosna pravila ova državna institucija dobija pravo da brže interveniše i sankcioniše.
Vlada je nacrtom zakona predvidela velike novčane kazne. U slučaju velikih i važnih firmi kazna može iznositi i do dva odsto godišnjeg obrta. Radilo bi se o sumama koje bi mogle da budu i po nekoliko miliona evra.
Kritika nacrta zakona
Profesor prava Denis-Kenji Kipker kritikuje netransparentnost procesa izrade nacrta zakona. On kaže da je sadašnji nacrt najbolji mogući kompromis. Savezni zavod za bezbednost u informacionoj tehnologiji je doduše dobio više zadataka i nadležnosti, ali nije postao politički nezavisan. Kipker kaže da je umesto toga ova institucija ostala uklopljena u strukturu Ministarstva unutrašnjih poslova.
Osim toga, čuje se i opaska da je nacrt zakona u odlučujućim segmentima nekonkretan, što firmama nepotrebno otežava posao primene zakona. Karsten Bartel, pravnik iz Saveza IT bezbednosti kaže da na primer nije jasno koje dodatne mere moraju da uvedu preduzeća kritične infrastrukture u oblastima vodosnabdevanja ili snabdevanja energijom.
Nacrt predviđa da takva preduzeća preuzmu obavezu uvođenja strožih mera bezbednosti u odnosu na preduzeća koja su manje ugrožena. Ali nije jasno šta to konkretno zanči. „Preduzećima je potrebna konkretna regulativa. Ako nacrt ovakav kakav jeste postane zakon, on će odmah izazvati potrebu dorade“, kaže Bartel.
Izazov za male firme
I udruženja preduzetnika su suzdržana. Oni pozdravljaju poboljšanje digitalne bezbednosti u širokom spektru industrije i zakonsku obavezu da se bezbednost popravi. Paul Ruland ispred Saveznog udruženja srednjih preduzeća (BVMW) kaže da to u ekonomski izazovnim vremenima neće uvek biti lako da se ostvari. Nemački savez srednjih preduzetnika (DMB) smatra da nemačka manja i srednja preduzeća moraju u ovoj oblasti da nadoknade mnogo propuuštenog . Savez ipak kritikuje „ politički preterano ambiciozno terminiran plan koji realno jedva može da se sprovede“.
Savezni zavod za bezbednost u informacionoj tehnologiji je u prvom koraku na svom sajtu objavio katalog pitanja. Preduzeća bi na osnovu njih mogla da provere da li se nova pravila odnose i na njih. Međutim, nema detaljnih uputstava o tome što moraju da urade za digitalnu bezbednost i kako da primene nova pravila.