Parlemen Eropa mengumumkan “perjanjian sementara” yang bertujuan untuk meningkatkan keamanan siber dan ketahanan entitas sektor publik dan swasta di Uni Eropa.
Arahan yang direvisi, yang disebut “NIS2“(kependekan dari jaringan dan sistem informasi), diharapkan dapat menggantikan undang-undang keamanan siber yang telah ada sejak Juli 2016.
Perubahan tersebut menetapkan aturan dasar, yang mewajibkan perusahaan di sektor energi, transportasi, pasar keuangan, kesehatan, dan infrastruktur digital untuk mematuhi langkah-langkah manajemen risiko dan kewajiban pelaporan.
Di antara ketentuan dalam undang-undang baru tersebut adalah melaporkan insiden keamanan siber kepada pihak berwenang dalam waktu 24 jam, menambal kerentanan perangkat lunak, dan menyiapkan langkah-langkah manajemen risiko untuk mengamankan jaringan, jika gagal dapat dikenakan sanksi moneter.
“Arahan tersebut secara resmi akan membentuk Jaringan Organisasi Penghubung Krisis Dunia Maya Eropa, EU-CyCLONe, yang akan mendukung manajemen terkoordinasi dari insiden keamanan siber skala besar,” kata Dewan Uni Eropa dalam sebuah pernyataan pekan lalu.
Perkembangan ini mengikuti rencana Komisi Eropa untuk “mendeteksi, melaporkan, memblokir, dan menghapus” gambar dan video pelecehan seksual anak dari penyedia layanan online, termasuk aplikasi perpesanan, yang memicu kekhawatiran bahwa hal itu dapat merusak perlindungan enkripsi ujung ke ujung (E2EE). .
Versi rancangan NIS2 secara eksplisit menjelaskan bahwa penggunaan E2EE “harus didamaikan dengan kekuatan Negara Anggota untuk memastikan perlindungan kepentingan keamanan esensial dan keamanan publik mereka, dan untuk memungkinkan penyelidikan, deteksi, dan penuntutan pelanggaran pidana sesuai dengan dengan hukum Persatuan.”
Ia juga menekankan bahwa “Solusi untuk akses yang sah ke informasi dalam komunikasi terenkripsi ujung-ke-ujung harus menjaga efektivitas enkripsi dalam melindungi privasi dan keamanan komunikasi, sambil memberikan tanggapan yang efektif terhadap kejahatan.”
Dikatakan, arahan tersebut tidak akan berlaku untuk organisasi vertikal seperti pertahanan, keamanan nasional, keamanan publik, penegakan hukum, peradilan, parlemen, dan bank sentral.
Sebagai bagian dari kesepakatan yang diusulkan, negara-negara anggota Uni Eropa diberi mandat untuk memasukkan ketentuan-ketentuan tersebut ke dalam hukum nasional mereka dalam jangka waktu 21 bulan sejak arahan tersebut mulai berlaku.
“Jumlah, besarnya, kecanggihan, frekuensi dan dampak insiden keamanan siber meningkat, dan menghadirkan ancaman besar bagi fungsi jaringan dan sistem informasi,” Dewan mencatat dalam rancangan tersebut.
“Kesiapan dan efektivitas keamanan siber sekarang lebih penting daripada sebelumnya untuk berfungsinya pasar internal dengan baik.”