Hành lang pháp lý về đảm bảo an ninh mạng ở EU bao gồm Luật An ninh mạng và các chiến lược khác nhau liên quan tới an ninh mạng. Chính những quy định siết chặt quản lý an ninh mạng mà EU áp dụng đã góp phần quan trọng bảo vệ các doanh nghiệp, tổ chức, cá nhân dùng mạng xã hội nói riêng cũng như đảm bảo một không gian mạng an toàn nói chung.
LUẬT AN NINH MẠNG CỦA EU
Ở EU, các mối đe dọa từ việc mất an toàn an ninh mạng được cảnh báo sớm từ đầu những năm 2000 [1]. Những tiêu chuẩn về an ninh mạng cũng đã được chú ý đặc biệt trong kỷ nguyên chuyển đổi số. Để tối đa hóa lợi nhuận của mình, các công ty đã tận dụng công nghệ bằng cách vận hành phần lớn hoạt động của mình thông qua Internet. Vì thế rất cần thiết phải có một chế tài để bảo vệ các hoạt động liên mạng thông qua các luật lệ toàn diện và bao quát.
Trong Luật An ninh mạng của EU, mỗi điều luật chịu trách nhiệm cho mỗi khía cạnh khác nhau của lĩnh vực an ninh mạng rộng lớn, căn cứ vào sự khác biệt về mặt xã hội ở EU nói chung và các quốc gia EU nói riêng, cũng như sự khác biệt về cơ sở hạ tầng, các giá trị và tiêu chuẩn an ninh mạng.
Ba thành tố cấu thành nên Luật An ninh mạng của EU gồm:
Một là: Cơ quan An ninh mạng và An ninh thông tin của EU (European Network and Information Security Agency - ENISA)
Đây là cơ quan quản lý được thành lập bởi Quy định số 460/2004 của Nghị viện châu Âu và Hội đồng EU vào ngày 10/3/2004 và chịu trách nhiệm triển khai bởi Đạo luật An ninh mạng của EU [2]. ENISA đóng góp vào chính sách mạng của EU, nâng cao độ tin cậy của các sản phẩm, dịch vụ và quy trình công nghệ thông tin với các chương trình chứng nhận an ninh mạng, hợp tác với các quốc gia thành viên và các cơ quan của EU, đồng thời giúp EU chuẩn bị cho những thách thức mạng trong tương lai. Thông qua chia sẻ kiến thức, xây dựng năng lực và nâng cao nhận thức, cơ quan này làm việc cùng với các bên liên quan để củng cố lòng tin vào nền kinh tế được kết nối, thúc đẩy khả năng phục hồi của cơ sở hạ tầng của EU và cuối cùng là giữ cho xã hội và công dân của EU được an toàn về mặt kỹ thuật số. Trọng tâm các chương trình của ENISA tập trung vào 3 yếu tố chính sau: Khuyến nghị các nước thành viên về tiến trình xử lý các vi phạm an ninh mạng; Xây dựng chính sách và hỗ trợ việc thực hiện bảo đảm an ninh mạng cho tất cả các nước thành viên EU; Hỗ trợ và làm việc trực tiếp với các đội nhóm hoạt động trong phạm vi EU [2].
Các sáng kiến ENISA đã triển khai bao gồm: Chiến lược đám mây EU, các tiêu chuẩn mở trong Công nghệ truyền thông thông tin, Chiến lược An ninh mạng của EU năm 2013 và một nhóm điều phối an ninh mạng. ENISA cũng hợp tác với các tổ chức quốc tế để cùng giải quyết các thách thức an ninh mạng hiện nay như Liên minh Viễn thông quốc tế (ITU).
Hai là: Chỉ thị về An ninh mạng và An ninh thông tin (NIS)
Chỉ thị NIS lần đầu tiên được đề xuất vào tháng 02/2013 bởi Ủy ban châu Âu như một phần quan trọng của Chiến lược An ninh mạng của EU [2]. Dự thảo Chỉ thị đã được Nghị viện châu Âu thông qua theo đa số vào ngày 13/3/2014 [3]. Tuy nhiên, các hành lang pháp lý của EU chỉ thực sự hình thành và chặt chẽ vào ngày 06/7/2016, Nghị viện châu Âu đưa Chỉ thị NIS lên thành chính sách. Chỉ thị này chính thức có hiệu lực vào tháng 8/2016 và tất cả các quốc gia thành viên của EU có 21 tháng để tích hợp các điều luật của Chỉ thị này với luật quốc gia riêng của họ. Chỉ thị có 3 mục tiêu chính: Nâng cao năng lực an ninh mạng quốc gia; Xây dựng hợp tác ở cấp độ EU; Thúc đẩy văn hoá quản lý rủi ro và báo cáo sự cố giữa các thành phần kinh tế quan trọng. NIS ảnh hưởng đáng kể đến các nhà cung cấp dịch vụ kỹ thuật số, các công nghệ xử lý tín hiệu số (Digital Signal Processing - DSP) và các nhà khai thác dịch vụ thiết yếu (Operators of Essential Services - OES). Cả DSP và OES hiện đang chịu trách nhiệm trong việc báo cáo cho các đội phản ứng nhanh sự cố an ninh máy tính. Chỉ thị NIS được coi là nền tảng phản ứng của EU đối với các thách thức đe doạ không gian mạng ngày càng tăng [2].
Sau đó, để tăng mức độ phục hồi không gian mạng của các khu vực công và tư nhân quan trọng, Ủy ban châu Âu đã đề xuất cải cách các quy tắc về bảo mật hệ thống mạng và thông tin nhằm thiết lập một tiêu chuẩn chung về an ninh mạng trên toàn EU. Chỉ thị NIS 2 đã khắc phục một số thiếu sót của Chỉ thị NIS 1, phân loại các công ty thành “thiết yếu” và “quan trọng” dựa trên mức độ cần thiết của các dịch vụ và đưa chúng vào các chế độ giám sát khác nhau.
Ba là: Quy định bảo vệ dữ liệu chung của EU (General Data Protection Regulation - GDPR)
Song song với NIS, EU còn đưa ra quy định về bảo vệ dữ liệu chung GDPR, ra đời vào ngày 14/4/2016, chính thức thực thi vào ngày 25/5/2018. Các quy định chung này nhằm mang lại tiêu chuẩn duy nhất để bảo vệ dữ liệu của tất cả các nước thành viên trong EU. Sự thay đổi của quy định này bao gồm cả việc xác định lại biên giới địa lý, không chỉ áp dụng cho các tổ chức hoạt động trong EU mà còn áp dụng cho các tổ chức xử lý dữ liệu của bất kỳ công dân nào của EU. Tất cả các hành vi vi phạm dữ liệu ảnh hưởng tới các quyền và sự tự do của công dân EU phải được công bố trong vòng 72 tiếng. Ban Bảo vệ dữ liệu của EU phải chịu trách nhiệm về tất cả các giám sát theo quy định của GDPR.
Thông qua Luật An ninh mạng, EU đã đưa ra một khung pháp lý với mục tiêu đạt được trên phạm vi toàn cầu. Điều đó cho thấy mức độ ưu tiên của EU dành cho việc đảm bảo an toàn an ninh mạng của khu vực cũng như các quốc gia thành viên.
CHIẾN LƯỢC AN NINH MẠNG CỦA EU
EU là khu vực đầu tiên trên thế giới có Chiến lược An ninh mạng. Chiến lược An ninh mạng của châu Âu được thông qua vào tháng 02/2013 đã xác định các nguyên tắc cho không gian mạng, bao gồm: đảm bảo các quyền cơ bản của công dân, quyền tự do biểu đạt, quyền đảm bảo dữ liệu và đời tư cá nhân; bảo đảm khả năng tiếp cận Internet; đảm bảo quản lý đa chủ thể dân chủ và có hiệu quả; trách nhiệm chung trong tăng cường an ninh mạng. Chiến lược đặt ra 5 ưu tiên cơ bản sau: Tăng khả năng phục hồi không gian mạng; Giảm mạnh tội phạm mạng; Phát triển chính sách và khả năng phòng thủ không gian mạng của EU liên quan đến Chính sách Quốc phòng và An ninh chung; Phát triển nguồn lực công nghiệp và công nghệ cho an ninh mạng; Thiết lập một chính sách không gian mạng quốc tế nhất quán cho EU và thúc đẩy các giá trị cốt lõi của EU.
Chiến lược An ninh mạng của EU năm 2013 đã được phát triển lên thành Chiến lược An ninh mạng mới do Ủy ban châu Âu và Đại diện cấp cao của Liên minh Chính sách An ninh và Đối ngoại châu Âu thông qua vào tháng 12/2020 [4]. Chiến lược có mục tiêu tổng quát là tăng cường năng lực bảo mật an ninh mạng ở châu Âu, giúp châu Âu an toàn hơn trước các mối đe dọa trên không gian mạng và giúp bảo đảm mọi công dân, doanhnghiệp đều có thể hưởng lợi đầy đủ từ các dịch vụ và công cụ kỹ thuật số đáng tin cậy. Chiến lược còn hướng tới mục tiêu tăng cường phối hợp giữa các quốc gia EU trong việc ứng phó với các cuộc tấn công mạng lớn, vạch ra kế hoạch trao đổi với các đối tác trên toàn thế giới để đảm bảo an ninh quốc tế và ổn định trong không gian mạng. Đồng thời chỉ ra cách một mạng lưới chung có thể đảm bảo phản ứng hiệu quả nhất đối với các mối đe dọa mạng bằng cách sử dụng các nguồn lực có sẵn ở các quốc gia thành viên. Việc đảm bảo an ninh mạng trong bối cảnh mới là cơ sở để EU đưa ra chiến lược này [4].
Tầm quan trọng của Chiến lược An ninh mạng mới nằm ở việc phối hợp chính sách trên ba lĩnh vực: thực thi pháp luật; chương trình nghị sự kỹ thuật số; quốc phòng, an ninh và chính sách đối ngoại. Chiến lược An ninh mạng có ba mục tiêu: Tăng cường an ninh và khả năng phục hồi của các mạng và hệ thống an ninh thông tin; Phòng, chống tội phạm mạng; Thiết lập một chính sách an ninh mạng chặt chẽ hơn trên toàn châu Âu.
Chiến lược An ninh mạng mới cho phép EU nâng cao năng lực ứng phó trên không gian mạng theo các tiêu chuẩn quốc tế, đồng thời tăng cường hợp tác với các đối tác trên toàn thế giới để thúc đẩy một không gian mạng toàn cầu cởi mở, an toàn, hiệu quả dựa trên cơ sở pháp quyền, nhân quyền và các giá trị dân chủ. Không chỉ bảo vệ hệ thống Internet toàn cầu mà còn đưa ra các biện pháp bảo vệ, vừa để đảm bảo an ninh cũng như gìn giữ các giá trị cùng các quyền cơ bản của con người.
CHƯƠNG TRÌNH NGHỊ SỰ CHÂU ÂU VỀ AN NINH
Chống tội phạm mạng hiệu quả hơn là một trong ba ưu tiên trong Chương trình nghị sự mới của châu Âu về An ninh 2015-2020 được Uỷ ban châu Âu thông qua vào tháng 4/2015. Vấn đề tội phạm mạng đặt ra yêu cầu cần có phản ứng phối hợp các cấp ở EU. Do đó, Chương trình nghị sự về An ninh của châu Âu đưa ra các kế hoạch hành động sau:
- Nhấn mạnh vào việc thực hiện các chính sách hiện có về an ninh mạng, các cuộc tấn công chống lại thông tin hệ thống;
- Mở rộng luật chống gian lận và làm giả các phương tiện thanh toán không dùng tiền mặt để ứng phó với hình thức tội phạm mới hơn trong lĩnh vực tài chính;
- Xem xét các trở ngại đối với việc điều tra tội phạm mạng, đặc biệt là các vấn đề thuộc thẩm quyền và quy tắc có thẩm quyền về tiếp cận bằng chứng và thông tin;
- Tăng cường hành động xây dựng năng lực không gian mạng thông qua các công cụ hỗ trợ bên ngoài.
CHIẾN LƯỢC THỊ TRƯỜNG KỸ THUẬT SỐ
Sự tin cậy và bảo mật là những yếu tố cần thiết để đạt được lợi ích trong nền kinh tế kỹ thuật số. Đây là lý do tại sao Chiến lược thị trường kỹ thuật số được đưa ra vào tháng 5/2015 trong đó có hợp tác công tư về an ninh mạng (được ký kết vào ngày 05/7/2016 bởi Uỷ ban châu Âu và Tổ chức An ninh mạng châu Âu), cụ thể gồm nhiều bên liên quan như các công ty lớn, doanh nghiệp vừa và nhỏ và các công ty mới thành lập, các trung tâm nghiên cứu, trường đại học, người dùng, nhà điều hành, các hiệp hội cũng như các cơ quan công quyền [5].
Mục tiêu của mối quan hệ đối tác này là để kích thích khả năng cạnh tranh của thị trường EU, giúp khắc phục phân mảnh thị trường an ninh mạng thông qua đổi mới, xây dựng lòng tin giữa các quốc gia thành viên và các tổ chức công nghiệp cũng như giúp điều chỉnh nhu cầu và các lĩnh vực cung cấp các sản phẩm và giải pháp an ninh mạng.
Chiến lược thị trường kỹ thuật số là cơ sở đưa EU trở thành thị trường dẫn đầu thế giới trong lĩnh vực kinh tế kỹ thuật số. Nhiều sáng kiến được phê duyệt hoặc trình bày vào năm 2021 như Đạo luật dịch vụ kỹ thuật số, Đạo luật thị trường kỹ thuật số, khuôn khổ pháp lý cho Trí tuệ nhân tạo... EU hiện tại được coi là tổ chức đi đầu trong việc thực hiện các chiến lược bảo vệ dữ liệu cá nhân theo GDPR - luật bảo mật quyền riêng tư nghiêm ngặt nhất trên thế giới. Ngoài ra, EU cũng đã đạt được tiến bộ đáng kể trong việc thúc đẩy hơn nữa sự phát triển của Hợp tác Phòng thủ Không gian mạng của Liên minh bằng cách sử dụng Khung Chính sách Phòng thủ Không gian mạng làm cơ sở pháp lý.
An ninh mạng là một trong những mối quan tâm lớn nhất của nhân loại nói chung và của EU nói riêng khi Internet trở thành phương tiện làm việc, giao tiếp phổ biến, khiến chính phủ các quốc gia trên thế giới phải dành nhiều thời gian tìm ra giải pháp cho vấn đề này. Trong bối cảnh quá trình chuyển đổi số đang diễn ra mạnh mẽ ở khắp các quốc gia, khu vực, vấn đề an ninh mạng được đặt ra cấp thiết hơn bao giờ hết. Hành lang pháp lý EU xây dựng là cơ sở để đảm bảo an toàn an ninh mạng nội khối, giúp phản ứng hiệu quả nhất đối với các mối đe doạ an ninh mạng xảy ra đối với các quốc gia thành viên.
TÀI LIỆU THAM KHẢO 1. Tùng Lâm (2017), Luật An ninh mạng ở các nước châu Âu và Mỹ, https://viettimes.vn/luat-an-ninh-mang-o-cac-nuoc-chau-au-va-my-post65603.html 2. European Commission (2014), “Great news for cyber security in the EU: The EP successfully votes through the Network & Information Security (NIS) directive”, thông cáo báo chí, ngày 13/3/2014, https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_14_68 3. Orgalim (2021), Fragmentation: Europe’s cybersecurity challenge, https://orgalim.eu/events/fragmentation-europes-cybersecurity-challenge, truy cập 10/8/2021. 4. European Commission (2017), EU cybersecurity initiatives working towards a more secure online environment, https://ec.europa.eu/information_society/newsroom/image/document/2017-3/factsheet_cybersecurity_update_january_2017_41543.pdf 5. Omelianenko, V.(2021), Digital transformation and cybersecurity: what is on the 2021 agenda in the EU and EaP, https://euneighbourseast.eu/young-european-ambassadors/blog/digital-transformation-and-cybersecurity-what-is-on-the-2021-agenda-in-the-eu-and-eap/ |