ENISA identifica lacunas na implementação de leis de cibersegurança

Um relatório da agência europeia de cibersegurança analisa os diferentes padrões de segurança existentes, mostrando diversas lacunas na implementação e na notificação de incidentes.

O estudo “Cyber Incident Reporting in the EU”, da European Network and Information Security Agency (ENISA),  analisa as legislações de cibersegurança existentes e planeadas, como as cláusulas de comunicação obrigatória de incidentes previstas no artigo 13º, do pacote referente às telecomunicações, artigo 4º sobre privacidade digital, o artigo 15º da proposta de regulamento da identificação electrónica, e os artigos 30º, 31ºe 32º da reforma de protecção de dados. O objectivo era identificar os factores comuns e as diferenças entre os artigos capazes de muitas vezes resultarem em lacunas na implementação das leis existentes.
A agência refere vários incidentes de cibersegurança graves, e menciona que apenas um deles estava dentro do âmbito do mandato dos reguladores nacionais. Estes reguladores enviaram recentemente à ENISA relatórios sobre 51 grandes incidentes: identificam  os seus impactos, as causas, as medidas tomadas e lições aprendidas, material aproveitado como recurso para a Estratégia Europeia de CiberSegurança.
Nem sempre os incidentes são revelados de acordo com as leis existentes, segundo Marnix Dekker e Karsberg Chris, co-autores do estudo. “Os incidentes de cibersegurança são mais vulgarmente mantidos em segredo depois de detectados, deixando os clientes e os responsáveis políticos na obscuridade sobre a frequência, o impacto e as causas do problema”, afirmam.
E, no entanto, o estudo de incidentes é essencial para obter uma imagem verdadeira sobre a cibersegurança. “A estratégia de cibersegurança da UE é um passo importante e um dos seus objectivos é expandir o alcance das disposições dos relatórios, como o artigo 13º, além do sector das telecomunicações”, acrescenta Udo Helmbrecht, director executivo da ENISA .
O trabalho da ENISA para melhorar a comunicação de incidentes envolve a criação de um grupo de trabalho com os reguladores nacionais e desenvolve um conjunto comum de medidas de segurança e um formulário de relatório de incidentes. Isso permitirá uma aplicação mais uniforme do artigo 13º, espera a agência.


Tags


Deixe um comentário

O seu email não será publicado