Nu har EU-kommissionen fremlagt sin nye plan for cybersikkerhed, der både omfatter et strategipapir og et konkret direktiv med nye regler for sikkerhed. En af de mest opsigtsvækkende ændringer er, at virksomheder i en række sektorer nu skal forpligtes til at indberette det, der kaldes "større sikkerhedshændelser". Fremover kan virksomhederne altså ikke længere skjule, hvis de har været udsat for et hacker-angreb.
Det er ikke kun selskaber, som driver kritisk infrastruktur, såsom energiforsyning, transport, sundhed og finansielle ydelser, der skal forpligtes til at melde hackerangreb. Det gælder også for offentlige forvaltninger og internet-firmaer, der står for såkaldte centrale tjenester i it-samfundet.
Det er blandt andet applikations-butikker, e-handelsplatforme, internet-betalingsportaler, cloud computing, søgemaskiner og sociale netværk.
Hverken hardware- eller software-leverandører er omfattet af de nye regler. Internet-udbydere er allerede forpligtet til at melde om sikkerheds-hændelser til myndighederne.
I dette dokument nævnes en række selskaber, der er omfattet af meldepligten. På listen er blandt andet internet-giganter som Google, Yahoo, MSN og Amazon, e-handelsplatforme som eBay, Expedia og Booking.com, betalingstjenester som Paypal, cloud-tjenester som Dropbox og Flickr samt video- og musiktjenester som Youtube og Spotify.
De største onlinespil som World of Warcraft skal også forpligtes til at melde angreb.
Det anslås, at meldepligten rammer omkring 1.400 selskaber på it-området.
Frygter kundernes reaktion
I EU-papiret er der også en række konkrete eksempler på de hændelser, der fremover skal rapporteres. Det kan f.eks. være et angreb på en hotel-tjeneste, som forhindrer brugerne i at foretage bookinger, eller en hændelse hos en cloud-leverandør, der betyder at brugerne ikke har adgang til deres indhold.
Disse hændelser skal rapporteres til en national myndighed, som så har mulighed for at kræve, at offentligheden skal informeres.
Men det er ikke alle virksomheder, der har lyst til at fortælle om hacker-angreb. Mange børsnoterede virksomheder frygter, at den negative omtale vil skade deres aktiekurs. Desuden frygter man, at det kan afskrække kunderne og dermed hjælpe konkurrenterne.
I USA har man allerede en lov, som forpligter nogle selskaber til at fortælle om it-angreb. Forsynings-selskaber kan allerede få dagbøder for at fortie angreb, og den amerikanske handelsmyndighed har påbudt landets selskaber at oplyse om elektroniske indbrud.
Den amerikanske regering har også planer om at indføre en mere omfattende meldepligt, men den nye lovgivning er indtil videre strandet i Kongressen.
I Tyskland arbejder regeringen på et forslag, som omfatter endnu flere brancher end EU's planer. Den tyske regering vil også forpligte medierne til at stramme op på sikkerheden og indføre beredskabsplaner, der skal godkendes af en central myndighed.
Skal dele tidligere varslinger
Der er mange andre elementer i den nye strategi for cyber-sikkerhed fra EU-kommissionen. Der skal oprettes nationale enheder til bekæmpelse af cyberkriminalitet i alle medlemslandene, og de skal koordinere med det europæiske center EC3.
De enkelte lande skal vedtage en strategi for it-sikkerhed og udpege en national myndighed, der skal forebygge og reagere på angreb.
Desuden skal der etableres en varslingsmekanisme mellem landene for at dele tidligere varslinger om risici og hændelser i et lukket system.
EU-kommissionen henviser til, at 148.000 computere bliver inficeret med virus hver eneste dag, men kun en fjerdedel af de europæiske virksomheder havde en formelt defineret it-sikkerhedspolitik i januar 2012.
Det Verdensøkonomiske Forum har forudsagt, at der er ca. 10 pct. sandsynlighed for et større sammenbrud i den kritiske informations-infrastruktur i det kommende årti, og det kan medføre store økonomiske skader.
