Kredit:CC0 Public Domain
En ny undersøgelse ledet af akademikere fra Cloud Legal Project ved Queen Mary University of London har fundet ud af, at de nuværende cybersikkerhedsstandarder fastsat af EU, kendt som NIS-direktivet, går ikke langt nok og kan potentielt blive undermineret.
NIS-forordningerne fra 2018, som implementerer NIS-direktivet i Storbritannien, sigte på at sikre, at operatører af væsentlige tjenester er beskyttet mod forstyrrelser, ved at kræve, at de træffer "passende og forholdsmæssige" foranstaltninger, når det kommer til cybersikkerhed.
Overholdelse er subjektiv
Forskningen, som fokuserede på lufthavne som Heathrow og flyselskaber som British Airways, fandt, at for at overholde forordningen, tjenesteoperatører skal identificere, vurdere, og derefter tage fat på de cyberrisici, de står over for. Imidlertid, en sådan risikostyring indebærer uundgåeligt et niveau af subjektiv bedømmelse og afvejninger.
Ifølge forskerne, kravene i direktivet er for vage og åbne for fortolkning hvilket betyder, at nogle lufthavne og luftfartsselskaber kun må indføre de sikkerhedsforanstaltninger, de anser for at være i deres egne kommercielle interesser. Tjenesteudbydere kunne endda gå så langt som at misbruge deres skøn ved at engagere sig i "papiroverholdelse" – skabe masser af sikkerhedsdokumentation for at vise regulatorer, uden at ændre deres tilgang meningsfuldt, effektivt at sætte overskud foran cybersikkerhed.
Vage krav er svære at måle
Undersøgelsen fandt også ud af, at NIS-direktivets vage karakter kan gøre det vanskeligt for regulatorer, såsom Luftfartsstyrelsen, for effektivt at kontrollere, om sikkerhedskravene er opfyldt eller ej. Undersøgelsen kommer efter flere højprofilerede it-fejl i flyindustrien.
Dave Michels, Forsker ved Queen Mary's Center for Commercial Law Studies, og medforfatter af papiret sagde:"Regulatorer bliver nødt til omhyggeligt at overvåge lufthavne og flyselskaber og udfordre deres tilgange efter behov. Dette vil kræve, at de ansætter cybersikkerhedseksperter til at gøre dette effektivt."
Ian Walden, Professor i informations- og kommunikationsret og medforfatter til undersøgelsen tilføjede:"Brexit kan yderligere komplicere sagerne på grund af Storbritanniens afgang fra Det Europæiske Agentur for Cybersikkerhed, som spiller en vigtig rolle ved at levere retningslinjer for overholdelse og deling af bedste praksis."