تصوری بلند پروازانه از یک چارچوب؟

انیسا باید نقش قابل‌توجهی در چارچوب صدور گواهینامه امنیت شبکه وجود داشته باشد. این چارچوب دارای هدف گسترده‌ای از محصولات فناوری اطلاعات با دسترسی به بازار اتحادیه اروپا درزمینه امنیت سایبری را در برمی‌گیرد. انتظار می‌رود که چارچوب مذکور، امنیت برنامه‌های حیاتی، گسترش تولیدات دیجیتال و وسیله‌های اینترنت اشیا را تضمین کند. کمیسیون اروپا در تلاش است تا پیامدهای مسئولیت مطرح‌شده توسط فناوری‌های جدید دیجیتال را تحلیل کند. همچنین، اثر جذب خارجی در فن‌آوری‌های حیاتی، در حال تبدیل به یک جنبه شاخص در بستر غربالگری سرمایه‌گذاری‌های خارجی است. از دیدگاه جهانی، مورد مذکور برنامه‌ای رو به رشد به نظر می‌رسد. به گفته  توماس میناریک (Tomas Minarik) عضو مرکز تعالی همکاری دفاع سایبری ناتو: «مانع نهانی این است که مطالب گفته شده به‌طور کامل با محتوای پیشنهادات مطابقت ندارند؛ خصوصاً که طرح‌های صدور گواهینامه ملی امنیت سایبری پس از اتخاذ چارچوب در یک‌زمان مشخص متوقف خواهد شد و هیچ طرح جدید ملی دیگری برای به‌کارگیری وجود ندارد.» طرح پیشنهادی، چگونگی هماهنگی مورد مذکور با طبیعت اختیاری این چارچوب را شرح می‌دهد.

میناریک خاطرنشان کرد:

«مقررات بیشتر می تواند مشکلاتی برای شرکت‌های کوچک و متوسط به وجود آورد. همچنین بعضی از کشورهای عضو اتحادیه اروپا ممکن است از اختیار خود در مذاکره بر مقررات مطلوب برای شرکت‌هایشان استفاده کنند و موقعیت خود را در بازار اتحادیه اروپا با هزینه‌های استارت‌آپ از کشورهای ضعیف‌تر، حفظ کند.»

به‌عنوان نگاهی مثبت، ازآنجایی‌که اتحادیه اروپا در اقتصاد دیجیتال خود از ایالات‌متحده عقب‌مانده است (زیرا بزرگ‌ترین شرکت‌های ICT، آسیایی یا آمریکایی هستند)، چارچوب صدور گواهینامه می‌تواند به توسعه صنعت امنیتی جدید خود درزمینه امنیت سایبری کمک کند و موقعیتی بهتر برای مذاکره جهانی با احترام به مسائل حفاظت از اطلاعات شخصی، حق حفظ حریم خصوصی و دسترسی محدود به داده‌ها فراهم کند.

همچنین، طرح گسترده صدور گواهینامه در اتحادیه اروپا به تجارت‌ کمک می‌کند تا هزینه‌های اداری خود را برای معرفی محصولات خود به کشورهای مختلف این اتحادیه کاهش دهد. تاکنون، ضوابط چندانی برای امنیت سایبری محصولات وجود نداشته است که البته با ایجاد تغییراتی درمعرفی دستورالعمل امنیت شبکه و سامانه‌های اطلاعاتی¹، مقررات حفاظت از اطلاعات عمومی (²GDPR) و پیش‌نویس قانون حفظ حریم خصوصی الکترونیکی³  برخی اقدامات در راستای استانداردسازی، انتظار می‌رود که صورت گیرد. بر اساس این سند «چشم‌انداز صدور گواهینامه امنیت سایبری محصولات و خدمات فناوری اطلاعات و ارتباطات در اتحادیه اروپا بسیار محدود است.» چندین استاندارد صدور گواهینامه ملی و بین‌المللی مانند (ISO 15408) که در کشورهای مختلف به تصویب رسیده وجود دارد و منجر به پراکندگی در بازار در صورت عدم کنترل شود.

بااین‌حال، این طرح هنوز در مورد هر جدول زمانی با پیشنهادهای خاص امنیت سایبری بسیار مبهم است، اگرچه سطح مشخصی از ابهام لازم است، چارچوب صدور گواهینامه باید در مورد محصولات واقعی مطلوب باشد. سه دسته از محصولات (اپلیکیشن های بحرانی و خطرناک، محصولات دیجیتالی که به‌طور گسترده‌ای مستقرشده و دستگاه‌های اینترنت اشیا) شناسایی می‌شوند؛ بنابراین، این رویکرد ممکن است تدریجی باشد و احتمالاً دامنه دستورالعمل امنیت شبکه و سامانه‌های اطلاعاتی را برای شروع نسخه‌برداری کند. بدین منوال، اکثر دستگاه‌های اینترنت اشیا در حال حاضر صرفه‌جویی خواهند شد، مگر اینکه آن‌ها بخشی از زیرساخت‌های حیاتی باشند.

نقش گروه صدور گواهینامه اروپایی امنیت اطلاعات که شامل نظارت ملی مقامات صدور گواهینامه تمام کشورهای عضو اتحادیه اروپا می‌شود، همچنان نامشخص است. انتظار می‌رود که این چارچوب حافظ منافع کشورها در فرایند ایجاد چارچوب توسط کمیسیون اروپا و انیسا باشد. طبق این طرح، مقامات نظارت ملی صدور گواهینامه حق تقدم محصولات یا خدمات را برای کل اتحادیه اروپا - اصل یکپارچه- خواهند داشت که رویکرد مشابهی برای حفاظت از اطلاعات شخصی انتخاب‌شده است. بااین‌حال، این رویکرد عاری از مشکلی نیست؛ مقامات ملی ممکن است همان‌طور که در مورد پرونده شرمز (Schrems) نشان داده شد، کار خود را به‌درستی انجام ندهند. به‌علاوه، شرکت‌ها نیز مانند پرونده ولتیمو (Weltimmo) ممکن است سعی کنند از مقامات لیبرال بیشتری در کشورهای مختلف استفاده کنند.

  1- (The Directive on security of network and information systems (NIS Directive
  2- General Data Protection Regulation
  3- ePrivacy Regulation