Η συζήτηση στις Βρυξέλλες για το Cybersecurity Act και τον πιθανό περιορισμό του ρόλου των κρατών. Η ιδιαίτερη περίπτωση της Ελλάδας
Μια σημαντική συζήτηση βρίσκεται σε εξέλιξη στις Βρυξέλλες, με επίκεντρο τις προωθούμενες αλλαγές σε κάποια ζητήματα κυβερνοασφάλειας. Μόνο που πλέον η υπόθεση αυτή δεν μοιάζει με μια καθαρά τεχνική ρύθμιση. Δεν αφορά μόνο λογισμικό, εξοπλισμό, πιστοποιήσεις, servers, δίκτυα και ευρωπαϊκά δεδομένα. Αφορά κάτι πολύ ουσιαστικότερο: Ποιος τελικά θα αποφασίζει για την ασφάλεια των κρίσιμων ψηφιακών δικτύων, των υποδομών και των προμηθευτών σχετικού εξοπλισμού; Τα κράτη-μέλη της Ε.Ε., όπως συμβαίνει μέχρι σήμερα, ή η Κομισιόν, με τις χώρες της Ευρώπης να χάνουν «τμήμα» της εθνικής κυριαρχίας τους σε ζητήματα ασφάλειας;
Τι ακριβώς συμβαίνει στην «καρδιά» της Ευρώπης; Η Ευρωπαϊκή Επιτροπή, με όχημα την κυβερνοασφάλεια, μοιάζει να επιχειρεί πλέον να αποκτήσει μεγαλύτερο έλεγχο σε πεδία που μέχρι σήμερα τα κράτη-μέλη θεωρούσαν μέρος της αποκλειστικής αρμοδιότητάς τους. Πολύ απλά πίσω από την ανάγκη για πιο ασφαλή ευρωπαϊκά ψηφιακά δίκτυα προάγεται η λογική της μεγαλύτερης κεντρικής επιρροής των Βρυξελλών σε αποφάσεις που άπτονται της εθνικής ασφάλειας.
Το κρίσιμο νομικό σημείο είναι σαφές: Με βάση το άρθρο 4(2) της Συνθήκης για την Ευρωπαϊκή Ενωση, η εθνική ασφάλεια -συμπεριλαμβανομένης της κυβερνοασφάλειας- παραμένει αποκλειστική ευθύνη κάθε κράτους-μέλους. Οταν η Κομισιόν επιχειρεί να αποκτήσει πρωτεύοντα ρόλο στην αξιολόγηση προμηθευτών, χωρών προέλευσης, κρίσιμων τεχνολογικών υποδομών και του σχετικού εξοπλισμού, το θέμα παύει να είναι μόνο τεχνικό, γίνεται θεσμικό και φυσικά αποκτά σημαντικές πολιτικές διαστάσεις.
Το επίμαχο «εργαλείο» ονομάζεται CSA2 και πρόκειται για τη νέα προτεινόμενη μορφή του ευρωπαϊκού Cybersecurity Act, δηλαδή του βασικού κανονισμού της Ε.Ε. για την κυβερνοασφάλεια. Δεν είναι, δηλαδή, ένας δευτερεύων κανονισμός, αλλά το πλαίσιο που καθορίζει με ποιους κανόνες θα κρίνονται η ασφάλεια των ψηφιακών υποδομών, ο έλεγχος των προμηθευτών και η ανθεκτικότητα των κρίσιμων συστημάτων. Μαζί με αυτό ενισχύεται και ο ρόλος του ENISA, δηλαδή του ευρωπαϊκού οργανισμού κυβερνοασφάλειας, ο οποίος λειτουργεί ως θεσμικός και τεχνικός μηχανισμός υποστήριξης της ευρωπαϊκής πολιτικής στο συγκεκριμένο πεδίο.
Μέχρι εδώ το επιχείρημα από την πλευρά της Κομισιόν ακούγεται εύλογο. Ποιος Ευρωπαίος πολίτης θα έλεγε όχι σε πιο ασφαλή δίκτυα και ψηφιακές υποδομές;
Ομως από μια δεύτερη ανάγνωση των προωθούμενων αλλαγών προκύπτουν ζητήματα τα οποία χρήζουν διερεύνησης. Γιατί η Κομισιόν δεν φαίνεται να θέλει να ελέγχει μόνο αν ένα προϊόν, ένα δίκτυο ή ένα σύστημα είναι τεχνικά ασφαλές. Επιδιώκει να ελέγξει και τους λεγόμενους «μη τεχνικούς κινδύνους».
Τι σημαίνει αυτό; Οτι η Κομισιόν δεν θα εξετάζει μόνο το hardware, το λογισμικό ή τον server. Η Ευρωπαϊκή Επιτροπή θα εξετάζει και ποιος το κατασκευάζει, από ποια χώρα προέρχεται, ποιο είναι το πολιτικό και νομικό περιβάλλον πίσω από τον προμηθευτή και αν αυτά μπορούν να θεωρηθούν στρατηγικοί κίνδυνοι.
Τι σημαίνει, λοιπόν, αξιολόγηση «προμηθευτή υψηλού κινδύνου»; Οτι η Κομισιόν θα μπορεί να κρίνει και να αποφασίζει εάν μια εταιρία είναι απλώς ακόμα ένας παίκτης της αγοράς ή αν θα τη θεωρεί σαν έναν κρίκο σε μια αλυσίδα που ενέχει γεωπολιτικό, θεσμικό ή στρατηγικό ρίσκο, ανοίγοντας τον δρόμο για περιορισμούς, αποκλεισμούς προμηθευτών, ακόμα και για απομάκρυνση υφιστάμενου εξοπλισμού από κρίσιμες ψηφιακές υποδομές.
Γιατί είναι τόσο σημαντικό αυτό για τα κράτη-μέλη της Ε.Ε. και φυσικά για την Ελλάδα, η οποία έχει γύρω της άσπονδους γείτονες; Επειδή το ζήτημα δεν αφορά απλώς ακόμα μία κανονιστική παρέμβαση στην ενιαία αγορά. Αφορά τηλεπικοινωνίες, ενέργεια, μεταφορές, χρηματοπιστωτικό σύστημα, Δημόσια Διοίκηση, υγεία, ψηφιακές υπηρεσίες και κρίσιμες υποδομές. Και σε αυτό το σημείο αναρωτιέται κανείς πώς είναι δυνατόν η Ελλάδα να δεχτεί το προτεινόμενο, από την CSA2, καθεστώς όπου δεν θα μπορεί να αποφασίζει η ίδια για θέματα της εθνικής της κυριαρχίας και κατ’ επέκταση των άμεσων συμφερόντων της;
Σύνδεση NIS2 και CSA2
Η σχετική συζήτηση συνδέεται και με τη NIS2, δηλαδή τη νέα ευρωπαϊκή οδηγία που θέτει αυστηρότερους κανόνες κυβερνοασφάλειας σε κρίσιμους τομείς. Τι είναι η NIS2; Είναι η οδηγία που υποχρεώνει κράτη, οργανισμούς και μεγάλες επιχειρήσεις να λαμβάνουν αποτελεσματικότερα μέτρα προστασίας απέναντι σε κυβερνοεπιθέσεις και να δηλώνουν σημαντικά ψηφιακά περιστατικά. Καλύπτει 18 βασικούς τομείς, όπως ενέργεια, μεταφορές, τράπεζες, υγεία, Δημόσια Διοίκηση, ψηφιακές υπηρεσίες και άλλους.
Πολύ απλά η NIS2 καθορίζει ποιοι πρέπει να προστατευτούν και ποιες υποχρεώσεις έχουν σε θέματα κυβερνοασφάλειας. Η CSA2 πηγαίνει βαθύτερα και ανοίγει το θέμα ποιος εξοπλισμός, ποιος προμηθευτής και ποια χώρα μπορεί να θεωρηθούν κίνδυνος.
Εκεί ανοίγει το ζήτημα της κυριαρχίας. Η ασφάλεια αυτών των υποδομών δεν είναι ουδέτερο εμπορικό πεδίο, αυτονόητα είναι μέρος της εθνικής ασφάλειας, για την οποία τα κράτη-μέλη επιμένουν ότι ο τελευταίος λόγος είναι και πρέπει να παραμείνει στα ίδια. Οταν, λοιπόν, η Κομισιόν διεκδικεί ουσιαστικότερο ρόλο στον ορισμό του κινδύνου, στην κατηγοριοποίηση των προμηθευτών και στις αποφάσεις για το ποιος εξοπλισμός θεωρείται κατάλληλος, τότε εμμέσως πλην σαφώς τίθεται -και- θέμα περιορισμού της εθνικής αρμοδιότητας.
Ειδικά για την Ελλάδα, το ζήτημα είναι ακόμα σοβαρότερο, δεδομένης της γεωγραφικής θέσης της, άρα το θέμα της εξέτασης των προωθούμενων αλλαγών έχει ακόμα πιο βαρύνουσα σημασία. Η χώρα δεν μπορεί να αντιμετωπίζει την ασφάλεια των κρίσιμων ψηφιακών δικτύων ως μια αφηρημένη έννοια, δεδομένου ότι έχει ειδικό γεωπολιτικό βάρος, ανοιχτά μέτωπα στην ανατολική Μεσόγειο, απρόβλεπτους γείτονες, ενεργειακές, θαλάσσιες και τηλεπικοινωνιακές ιδιαιτερότητες. Αυτό σημαίνει ότι η ασφάλεια των δικτύων, των προμηθευτών και των ψηφιακών υποδομών αποτελούν κρίσιμους παράγοντες της στρατηγικής θωράκισής της.
Ο λογαριασμός
Υπάρχει και δεύτερη διάσταση. Οταν μεταφέρονται εξουσίες από τα κράτη-μέλη προς την Κομισιόν, στη συνέχεια ακολουθεί και ο… λογαριασμός. Είναι δεδομένο ότι κάθε περιορισμός των προμηθευτών σημαίνει αυτόματα και λιγότερες επιλογές και πιθανώς πολύ ακριβότερες. Μια δε ενδεχόμενη αντικατάσταση του υφιστάμενου θα σημαίνει για κάθε κράτος-μέλος της Ε.Ε. νέες επενδύσεις, καθυστερήσεις και εν γένει πίεση σε δίκτυα και υποδομές. Το υψηλό κόστος προφανώς θα μεταφερθεί στις επιχειρήσεις που λειτουργούν τις κρίσιμες υποδομές και εν τέλει θα καταλήξει στον πολίτη – καταναλωτή κάθε χώρας.
