Ủy ban châu Âu đề xuất các quy định mới về an ninh mạng và an ninh thông tin

Ngày 22/3/2022, Ủy ban Châu Âu (EC) đã đề xuất các quy định mới để thiết lập các biện pháp an ninh mạng và an ninh thông tin chung trong các tổ chức, cơ quan, văn phòng và cơ quan của liên minh Châu Âu (EU).

Đề xuất này nhằm tạo ra một bộ tiêu chuẩn tối thiểu để thiết lập các biện pháp an ninh mạng và thông tin chung trong toàn khối hướng đến việc tăng cường khả năng phục hồi và ứng phó trước các mối đe dọa và sự cố mạng, cũng như đảm bảo một nền hành chính công an toàn, linh hoạt trong bối cảnh các hoạt động mạng độc hại đang gia tăng trên phạm vi toàn cầu.

EC cũng cho biết thêm rằng, những thay đổi này là cần thiết trong bối cảnh đại dịch COVID-19 và những thách thức địa chính trị ngày càng gia tăng. Do đó cần phải có một cách tiếp cận chung về an ninh mạng và bảo mật thông tin. Với suy nghĩ này, Ủy ban đã đề xuất Quy định an ninh mạng và Quy định bảo mật thông tin. Bằng cách thiết lập các ưu tiên và khuôn khổ chung, các quy định này sẽ tăng cường hơn nữa hợp tác giữa các thể chế, giảm thiểu rủi ro và củng cố thêm văn hóa an ninh của EU. Tuy nhiên, các đề xuất - hiện phải được Nghị viện và Hội đồng châu Âu thảo luận để phù hợp với Chiến lược Liên minh An ninh của EU, được công bố tháng 12/2020 và nhằm tăng cường khả năng phục hồi tập thể của khối trước các mối đe dọa mạng.

Quy định về an ninh mạng

Nghị quyết của Hội đồng Liên minh châu Âu từ tháng 3/2021 đã nhấn mạnh tầm quan trọng của một khuôn khổ an ninh mạnh mẽ và nhất quán để bảo vệ tất cả nhân viên, dữ liệu, mạng lưới liên lạc, hệ thống thông tin và quy trình ra quyết định của EU. Điều này chỉ có thể đạt được thông qua việc nâng cao khả năng phục hồi và cải thiện văn hóa an ninh của các tổ chức, cơ quan, văn phòng và cơ quan của EU.

Trong một động thái có liên quan thì ngày 9/3/2022, các chính phủ trong liên minh châu Âu đã soạn thảo một tuyên bố nhằm củng cố năng lực an ninh mạng của EU, trong đó bao gồm việc tăng tài trợ của EU để hỗ trợ các nỗ lực quốc gia và phát triển một hệ sinh thái an ninh mạng mạnh mẽ. Tuyên bố cũng thúc giục các nhà chức trách châu Âu đưa ra một loạt khuyến nghị về cách củng cố khả năng phục hồi của cơ sở hạ tầng kỹ thuật số của châu Âu.

Tiếp nối Chiến lược của Liên minh An ninh EU và Chiến lược An ninh mạng của EU, Quy định về An ninh mạng được đề xuất lần này sẽ đảm bảo tính nhất quán với các chính sách an ninh mạng hiện có của EU, phù hợp hoàn toàn với luật hiện hành của Châu Âu như:

• Chỉ thị về bảo mật Hệ thống mạng và Thông tin (Chỉ thị NIS) và Chỉ thị trong tương lai về các biện pháp đảm bảo an ninh mạng ở mức độ chung cao trong Liên minh (‘NIS 2’) mà Ủy ban đã đề xuất vào tháng 12/2020;

• Đạo luật An ninh mạng;

• Khuyến nghị của Ủy ban về việc xây dựng một Đơn vị không gian mạng chung;

• Khuyến nghị của Ủy ban về phản ứng phối hợp đối với các sự cố và khủng hoảng an ninh mạng quy mô lớn.

Theo như đó, quy định mới về an ninh mạng này sẽ yêu cầu tất cả các tổ chức, cơ quan, văn phòng và cơ quan của EU phải có khung làm việc để quản trị, quản lý rủi ro và kiểm soát trong lĩnh vực an ninh mạng. Khi có sự cố xảy ra phải thực hiện các biện pháp an ninh mạng để giải quyết các rủi ro đã xác định. Ngoài ra, các tổ chức này cũng sẽ được yêu cầu thực hiện việc đánh giá kỳ hạn thường xuyên, đồng thời thực hiện các kế hoạch cải tiến an ninh mạng của mình và chia sẻ kịp thời mọi thông tin sự cố với Nhóm Ứng cứu Khẩn cấp Máy tính (CERT-EU).

Quy định cũng sẽ thành lập một Ban an ninh mạng liên tổ chức mới để điều hành và giám sát việc thực hiện quy định cũng như chỉ đạo CERT-EU. Qua đó, tổ chức này cũng sẽ được mở rộng nhiệm vụ để thực hiện cùng lúc ba vai trò là trung tâm điều phối ứng phó sự cố, cơ quan cố vấn trung tâm và nhà cung cấp dịch vụ. Ngoài ra, quy định cũng đề xuất đổi tên CERT-EU từ “Nhóm Ứng cứu Khẩn cấp Máy tính” thành “Trung tâm An ninh Mạng” để phù hợp với sự phát triển ở các Quốc gia Thành viên và trên toàn cầu, tuy nhiên vẫn giữ tên viết tắt “CERT-EU” để nhận dạng tên.  

Quy định về bảo mật thông tin

Căn cứ vào số lượng ngày càng tăng của thông tin nhạy cảm được xử lý bởi các tổ chức, cơ quan, văn phòng và cơ quan của EU, Quy định bảo mật thông tin được đề xuất nhằm mục đích tăng cường bảo vệ thông tin, hợp lý hóa các thông tin khác nhau theo khuôn khổ pháp lý của EU trong lĩnh vực này. Đề xuất về bảo mật thông tin lần này được cho là phù hợp với:

• Chiến lược của Liên minh An ninh EU, bao gồm cam kết toàn diện của EU nhằm bổ sung cho các nỗ lực của các Quốc gia Thành viên trong tất cả các lĩnh vực an ninh;

• Đặc điểm chính của Chương trình nghị sự chiến lược giai đoạn 2019-2024, được EC thông qua vào tháng 6/2019, là bảo vệ xã hội của khối EU khỏi các mối đe dọa ngày càng phát triển nhắm vào thông tin do các tổ chức, cơ quan của khối này xử lý;

• Kết luận của Hội đồng các vấn đề chung tháng 12/2019 kêu gọi các tổ chức, cơ quan của EU, và các Quốc gia Thành viên hỗ trợ, phát triển và thực hiện một loạt các biện pháp toàn diện để đảm bảo an ninh thông tin.

Quy định bảo mật thông tin được đề xuất sẽ tạo ra một bộ quy tắc bảo mật tối thiểu để nâng cao và tiêu chuẩn hóa cách bảo mật thông tin cho tất cả các tổ chức, cơ quan, văn phòng và cơ quan của EU nhằm đảm bảo cho sự bảo vệ nâng cao và nhất quán chống lại các mối đe dọa ngày càng tăng đối với thông tin. Các quy tắc mới này sẽ cung cấp nền tảng ổn định cho việc trao đổi thông tin an toàn trong khối EU bằng cách thiết lập các thông lệ và biện pháp chung để bảo vệ các luồng thông tin, bao gồm cả cách tiếp cận chung để phân loại thông tin dựa trên mức độ bảo mật.

Các yếu tố chính của đề xuất Quy chế An toàn Thông tin:

• Thiết lập một cơ chế quản trị hiệu quả để thúc đẩy sự hợp tác giữa tất cả các tổ chức, cơ quan, văn phòng và cơ quan của EU, cụ thể là Nhóm điều phối an toàn thông tin liên thể chế;

• Thiết lập một cách tiếp cận chung để phân loại thông tin dựa trên mức độ bảo mật;

• Hiện đại hóa các chính sách bảo mật thông tin, bao gồm đầy đủ kỹ thuật số, chuyển đổi và làm việc từ xa;

• Hợp lý hóa các biện pháp hiện tại và đạt được khả năng tương thích cao hơn giữa các hệ thống và thiết bị có liên quan.