Od przyjęcia przez Radę Europejską Decyzji Ramowej w sprawie ataków na systemy informatyczne minęło ponad 8 lat. Jest to okres, w którym w bardzo istotny sposób zmieniło się zarówno otoczenie technologiczne, jak i biznesowe, przy jednoczesnej znacznej ewolucji samych zagrożeń. Dlatego, według ekspertów firmy doradczej Deloitte, przyjęta 4 lipca br. przez Parlament Europejski propozycja nowej dyrektywy, zastępującej decyzję ramową z 2005 r., jest właściwym krokiem na drodze do budowania odporności przed zagrożeniami w cyberprzestrzeni. Jednak z uwagi na złożony i ulotny charakter regulowanych zagadnień, propozycja dyrektywy nie jest wolna od niedoskonałości.
Wśród zalet projektowanej dyrektywy eksperci Deloitte wymieniają przede wszystkim:
- duży nacisk na poszerzenie oraz zintensyfikowanie międzynarodowej współpracy oraz wymiany informacji pomiędzy organami ścigania w sprawach związanych ze ściganiem sprawców ataków na systemy informatyczne,
- odniesienie się do kwestii ochrony infrastruktury krytycznej, czyli tych systemów, których niedostępność w istotny sposób wpływa na bezpieczeństwo publiczne oraz życie obywateli w kluczowych dla funkcjonowania państwa sektorach, takich jak: transport, energetyka, telekomunikacja, finanse czy ochrona zdrowia,
- próbę nakłonienia państw członkowskich do nałożenia większej odpowiedzialności na dostawców usług i innych przedsiębiorców za bezpieczeństwo ich systemów i przetwarzanych w nich danych
a także do szerszej współpracy z sektorem publicznym, - zwrócenie uwagi na potrzebę stałego doskonalenia umiejętności i poszerzania wiedzy organów ścigania i wymiaru sprawiedliwości w zakresie zagrożeń i bezpieczeństwa systemów teleinformatycznych.
Niektóre z proponowanych przepisów nowej dyrektywy budzą wątpliwości, a przede wszystkim:
- brak propozycji konkretnych rozwiązań zwłaszcza w obszarze zapobiegania zagrożeniom
i wykrywania ich, przeniesienie odpowiedzialności za opracowanie tych regulacji na kraje członkowskie, co może skutkować brakiem kompatybilnych i skutecznych rozwiązań, - zbytnie skupienie uwagi na kwestii penalizacji określonych w propozycji dyrektywy przestępstw, co miałoby stanowić czynnik odstraszający potencjalnych ich sprawców.
Jedynym krajem Unii, którego nie obejmie obowiązek wdrożenia przepisów jest Dania. Z uwagi na transgraniczny charakter sieci i wielu usług może to w efekcie oznaczać skupienie się na jej terytorium działalności, która w pozostałych krajach – w myśl nowych przepisów – jest z nimi niezgodna.
Kolejną niejasną propozycją jest ta, by nie karać osób nieświadomych charakteru popełnianych czynów “na przykład w sytuacji, gdy osoba [popełniająca czyn] nie wiedziała, że dostęp jest nieautoryzowany”. Może to doprowadzić do stworzenia furtki do uniknięcia przez cyberprzestępców odpowiedzialności w wyniku zasłonięcia się niewiedzą.
W uzasadnieniu do jednej z postulowanych zmian, członkowie Komisji ds. Przemysłu, Badań Naukowych i Energii napisali, że “wprowadzenie sankcji jest krokiem w dobrym kierunku, jednak kompleksowe podejście Unii do walki z cyberprzestępczością nie powinno skupiać się jedynie na wzmocnieniu efektywności w egzekwowania prawa, lecz powinno stworzyć strategię i instrumenty pozwalające zapobiegać aktom przestępstw”.
Komentarz ten bardzo dobrze podsumowuje cały projekt wyrażając jednocześnie obawy, co do skuteczności podejmowanych działań w dłuższej perspektywie. Trzeba jeszcze dużo pracy by mieć pewność, że przepisy krajowe uwzględnią specyfikę Internetu i cyberzagrożeń, dając organom ścigania i przedsiębiorcom realne narzędzie do walki z nadużyciami — podkreśla
Piotr
Szeptyński
.
Kraje członkowie będą miały 2 lata na dostosowanie wewnętrznych przepisów do nowej dyrektywy.
