Hành lang pháp lý về đảm bảo an ninh mạng ở Liên minh châu Âu

0
0

Nhận thức rõ về mối đe doạ đối với an ninh mạng, Liên minh châu Âu (EU) đã và đang chú trọng xây dựng hành lang pháp lý để đối phó với những rủi ro xuất phát từ sự phát triển của Internet và mạng xã hội, đặc biệt là những thông tin xấu, độc hại có nguy cơ gây rối an ninh, trật tự xã hội, đe dọa an ninh mạng của các quốc gia châu Âu.

Hành lang pháp lý về đảm bảo an ninh mạng ở EU bao gồm Luật An ninh mạng và các chiến lược khác nhau liên quan tới an ninh mạng. Chính những quy định siết chặt quản lý an ninh mạng mà EU áp dụng đã góp phần quan trọng bảo vệ các doanh nghiệp, tổ chức, cá nhân dùng mạng xã hội nói riêng cũng như đảm bảo một không gian mạng an toàn nói chung.

 

Luật an ninh mạng của EU

Ở EU, các mối đe dọa từ việc mất an toàn an ninh mạng được cảnh báo sớm từ đầu những năm 2000 [1]. Những tiêu chuẩn về an ninh mạng cũng đã được chú ý đặc biệt trong kỷ nguyên chuyển đổi số. Để tối đa hóa lợi nhuận của mình, các công ty đã tận dụng công nghệ bằng cách vận hành phần lớn hoạt động của mình thông qua Internet. Vì thế rất cần thiết phải có một chế tài để bảo vệ các hoạt động liên mạng thông qua các luật lệ toàn diện và bao quát.

Trong Luật An ninh mạng của EU, mỗi điều luật chịu trách nhiệm cho mỗi khía cạnh khác nhau của lĩnh vực an ninh mạng rộng lớn, căn cứ vào sự khác biệt về mặt xã hội ở EU nói chung và các quốc gia EU nói riêng, cũng như sự khác biệt về cơ sở hạ tầng, các giá trị và tiêu chuẩn an ninh mạng.

Ba thành tố cấu thành nên Luật An ninh mạng của EU gồm:

Một là: Cơ quan An ninh mạng và An ninh thông tin của EU (European Network and Information Security Agency - ENISA)

Đây là cơ quan quản lý được thành lập bởi Quy định số 460/2004 của Nghị viện châu Âu và Hội đồng EU vào ngày 10/3/2004 và chịu trách nhiệm triển khai bởi Đạo luật An ninh mạng của EU. ENISA đóng góp vào chính sách mạng của EU, nâng cao độ tin cậy của các sản phẩm, dịch vụ và quy trình công nghệ thông tin với các chương trình chứng nhận an ninh mạng, hợp tác với các quốc gia thành viên và các cơ quan của EU, đồng thời giúp EU chuẩn bị cho những thách thức mạng trong tương lai. Thông qua chia sẻ kiến thức, xây dựng năng lực và nâng cao nhận thức, cơ quan này làm việc cùng với các bên liên quan để củng cố lòng tin vào nền kinh tế được kết nối, thúc đẩy khả năng phục hồi của cơ sở hạ tầng của EU và cuối cùng là giữ cho xã hội và công dân của EU được an toàn về mặt kỹ thuật số. Trọng tâm các chương trình của ENISA tập trung vào 3 yếu tố chính sau: Khuyến nghị các nước thành viên về tiến trình xử lý các vi phạm an ninh mạng; Xây dựng chính sách và hỗ trợ việc thực hiện bảo đảm an ninh mạng cho tất cả các nước thành viên EU; Hỗ trợ và làm việc trực tiếp với các đội nhóm hoạt động trong phạm vi EU.

Các sáng kiến ENISA đã triển khai bao gồm: Chiến lược đám mây EU, các tiêu chuẩn mở trong Công nghệ truyền thông thông tin, Chiến lược An ninh mạng của EU năm 2013 và một nhóm điều phối an ninh mạng. ENISA cũng hợp tác với các tổ chức quốc tế để cùng giải quyết các thách thức an ninh mạng hiện nay như Liên minh Viễn thông quốc tế (ITU).

Hai là: Chỉ thị về An ninh mạng và An ninh thông tin (NIS)

Chỉ thị NIS lần đầu tiên được đề xuất vào tháng 02/2013 bởi Ủy ban châu Âu như một phần quan trọng của Chiến lược An ninh mạng của EU [2]. Dự thảo Chỉ thị đã được Nghị viện châu Âu thông qua theo đa số vào ngày 13/3/2014 [3]. Tuy nhiên, các hành lang pháp lý của EU chỉ thực sự hình thành và chặt chẽ vào ngày 06/7/2016, Nghị viện châu Âu đưa Chỉ thị NIS lên thành chính sách. Chỉ thị này chính thức có hiệu lực vào tháng 8/2016 và tất cả các quốc gia thành viên của EU có 21 tháng để tích hợp các điều luật của Chỉ thị này với luật quốc gia riêng của họ. Chỉ thị có 3 mục tiêu chính: Nâng cao năng lực an ninh mạng quốc gia; Xây dựng hợp tác ở cấp độ EU; Thúc đẩy văn hoá quản lý rủi ro và báo cáo sự cố giữa các thành phần kinh tế quan trọng. NIS ảnh hưởng đáng kể đến các nhà cung cấp dịch vụ kỹ thuật số, các công nghệ xử lý tín hiệu số (Digital Signal Processing - DSP) và các nhà khai thác dịch vụ thiết yếu (Operators of Essential Services - OES). Cả DSP và OES hiện đang chịu trách nhiệm trong việc báo cáo cho các đội phản ứng nhanh sự cố an ninh máy tính. Chỉ thị NIS được coi là nền tảng phản ứng của EU đối với các thách thức đe doạ không gian mạng ngày càng tăng.

Sau đó, để tăng mức độ phục hồi không gian mạng của các khu vực công và tư nhân quan trọng, Ủy ban châu Âu đã đề xuất cải cách các quy tắc về bảo mật hệ thống mạng và thông tin nhằm thiết lập một tiêu chuẩn chung về an ninh mạng trên toàn EU. Chỉ thị NIS 2 đã khắc phục một số thiếu sót của Chỉ thị NIS 1, phân loại các công ty thành “thiết yếu” và “quan trọng” dựa trên mức độ cần thiết của các dịch vụ và đưa chúng vào các chế độ giám sát khác nhau.

Ba là: Quy định bảo vệ dữ liệu chung của EU (General Data Protection Regulation - GDPR)

Song song với NIS, EU còn đưa ra quy định về bảo vệ dữ liệu chung GDPR, ra đời vào ngày 14/4/2016, chính thức thực thi vào ngày 25/5/2018. Các quy định chung này nhằm mang lại tiêu chuẩn duy nhất để bảo vệ dữ liệu của tất cả các nước thành viên trong EU.

Sự thay đổi của quy định này bao gồm cả việc xác định lại biên giới địa lý, không chỉ áp dụng cho các tổ chức hoạt động trong EU mà còn áp dụng cho các tổ chức xử lý dữ liệu của bất kỳ công dân nào của EU.

Tất cả các hành vi vi phạm dữ liệu ảnh hưởng tới các quyền và sự tự do của công dân EU phải được công bố trong vòng 72 tiếng. Ban Bảo vệ dữ liệu của EU phải chịu trách nhiệm về tất cả các giám sát theo quy định của GDPR.

Thông qua Luật An ninh mạng, EU đã đưa ra một khung pháp lý với mục tiêu đạt được trên phạm vi toàn cầu. Điều đó cho thấy mức độ ưu tiên của EU dành cho việc đảm bảo an toàn an ninh mạng của khu vực cũng như các quốc gia thành viên.

Chiến lược an ninh mạng của EU

EU là khu vực đầu tiên trên thế giới có Chiến lược An ninh mạng. Chiến lược An ninh mạng của châu Âu được thông qua vào tháng 02/2013 đã xác định các nguyên tắc cho không gian mạng, bao gồm: đảm bảo các quyền cơ bản của công dân, quyền tự do biểu đạt, quyền đảm bảo dữ liệu và đời tư cá nhân; bảo đảm khả năng tiếp cận Internet; đảm bảo quản lý đa chủ thể dân chủ và có hiệu quả; trách nhiệm chung trong tăng cường an ninh mạng.

Chiến lược đặt ra 5 ưu tiên cơ bản sau: Tăng khả năng phục hồi không gian mạng; Giảm mạnh tội phạm mạng; Phát triển chính sách và khả năng phòng thủ không gian mạng của EU liên quan đến Chính sách Quốc phòng và An ninh chung; Phát triển nguồn lực công nghiệp và công nghệ cho an ninh mạng; Thiết lập một chính sách không gian mạng quốc tế nhất quán cho EU và thúc đẩy các giá trị cốt lõi của EU.

Chiến lược An ninh mạng của EU năm 2013 đã được phát triển lên thành Chiến lược An ninh mạng mới do Ủy ban châu Âu và Đại diện cấp cao của Liên minh Chính sách An ninh và Đối ngoại châu Âu thông qua vào tháng 12/2020.

Chiến lược có mục tiêu tổng quát là tăng cường năng lực bảo mật an ninh mạng ở châu Âu, giúp châu Âu an toàn hơn trước các mối đe dọa trên không gian mạng và giúp bảo đảm mọi công dân, doanhnghiệp đều có thể hưởng lợi đầy đủ từ các dịch vụ và công cụ kỹ thuật số đáng tin cậy.

Chiến lược còn hướng tới mục tiêu tăng cường phối hợp giữa các quốc gia EU trong việc ứng phó với các cuộc tấn công mạng lớn, vạch ra kế hoạch trao đổi với các đối tác trên toàn thế giới để đảm bảo an ninh quốc tế và ổn định trong không gian mạng.

Đồng thời chỉ ra cách một mạng lưới chung có thể đảm bảo phản ứng hiệu quả nhất đối với các mối đe dọa mạng bằng cách sử dụng các nguồn lực có sẵn ở các quốc gia thành viên. Việc đảm bảo an ninh mạng trong bối cảnh mới là cơ sở để EU đưa ra chiến lược này .

Tầm quan trọng của Chiến lược An ninh mạng mới nằm ở việc phối hợp chính sách trên ba lĩnh vực: thực thi pháp luật; chương trình nghị sự kỹ thuật số; quốc phòng, an ninh và chính sách đối ngoại.

Chiến lược An ninh mạng có ba mục tiêu: Tăng cường an ninh và khả năng phục hồi của các mạng và hệ thống an ninh thông tin; Phòng, chống tội phạm mạng; Thiết lập một chính sách an ninh mạng chặt chẽ hơn trên toàn châu Âu.

Chiến lược An ninh mạng mới cho phép EU nâng cao năng lực ứng phó trên không gian mạng theo các tiêu chuẩn quốc tế, đồng thời tăng cường hợp tác với các đối tác trên toàn thế giới để thúc đẩy một không gian mạng toàn cầu cởi mở, an toàn, hiệu quả dựa trên cơ sở pháp quyền, nhân quyền và các giá trị dân chủ.

Không chỉ bảo vệ hệ thống Internet toàn cầu mà còn đưa ra các biện pháp bảo vệ, vừa để đảm bảo an ninh cũng như gìn giữ các giá trị cùng các quyền cơ bản của con người.

Chương trình nghị sự châu Âu