Οι Βρυξέλλες φαίνεται πως αφήνουν οριστικά πίσω τους την εποχή των «ευγενικών συστάσεων» και περνούν στη φάση της σκληρής νομοθετικής επιβολής. Σύμφωνα με την πρόσφατη πρόταση της Ευρωπαϊκής Επιτροπής για την αναθεώρηση της Πράξης για την Κυβερνοασφάλεια (Cybersecurity Act), η Ευρώπη ετοιμάζεται να κλείσει την πόρτα σε τεχνολογικούς προμηθευτές που κρίνονται ως «υψηλού ρίσκου», αλλάζοντας ριζικά τον χάρτη των ψηφιακών υποδομών της ηπείρου.
Η κίνηση αυτή δεν αποτελεί απλώς μια τεχνική αναβάθμιση των πρωτοκόλλων ασφαλείας, αλλά μια ξεκάθαρη γεωπολιτική δήλωση. Στόχος είναι η θωράκιση των κρίσιμων υποδομών —από τα τηλεπικοινωνιακά δίκτυα και την ενέργεια μέχρι τις μεταφορές— απέναντι σε οντότητες που ενδέχεται να λειτουργούν ως «Δούρειοι Ίπποι» για ξένα συμφέροντα.
Από την εθελοντική συμμόρφωση στην υποχρεωτική αποπομπή
Μέχρι πρότινος, η ΕΕ βασιζόταν σε εργαλειοθήκες (όπως το περίφημο 5G Toolbox), ενθαρρύνοντας τα κράτη-μέλη να περιορίσουν την εξάρτησή τους από προμηθευτές εκτός ΕΕ, όπως η κινεζική Huawei ή η ZTE, χωρίς όμως δεσμευτικό χαρακτήρα. Η νέα πρόταση έρχεται να ανατρέψει αυτό το σκηνικό.
Το σχέδιο νόμου δίνει πλέον στην Κομισιόν την εξουσία να παρεμβαίνει άμεσα. Εάν ένας προμηθευτής αξιολογηθεί ότι αποτελεί απειλή για την εθνική ασφάλεια ή τη δημόσια τάξη, δεν θα αποκλείεται απλώς από μελλοντικά συμβόλαια, αλλά θα μπορεί να απαιτηθεί η πλήρης αντικατάσταση του εξοπλισμού του από τα ευρωπαϊκά δίκτυα. Πρόκειται για μια διαδικασία «απο-ρίσκου» (de-risking) που μετατρέπεται από προαιρετική πολιτική σε νομική υποχρέωση.
Τι ορίζει το «Υψηλό Ρίσκο»;
Το ενδιαφέρον στοιχείο της νέας προσέγγισης είναι ο επαναπροσδιορισμός του κινδύνου. Η ΕΕ δεν εστιάζει πλέον μόνο σε τεχνικές ευπάθειες —όπως κενά στον κώδικα ή bugs στο λογισμικό— αλλά εισάγει την έννοια των «μη τεχνικών κινδύνων».
Στην πράξη, αυτό σημαίνει πως οι ρυθμιστικές αρχές θα εξετάζουν το νομικό πλαίσιο της χώρας προέλευσης του προμηθευτή. Εάν μια εταιρεία εδρεύει σε κράτος όπου η νομοθεσία υποχρεώνει τις επιχειρήσεις να συνεργάζονται με τις μυστικές υπηρεσίες ή να παραδίδουν δεδομένα χωρίς δικαστική εντολή, τότε αυτομάτως θα επισημαίνεται ως «υψηλού ρίσκου». Αν και το κείμενο αποφεύγει να κατονομάσει συγκεκριμένες χώρες, η «φωτογραφική» διάταξη δείχνει ξεκάθαρα προς την κατεύθυνση της Κίνας και του Νόμου περί Πληροφοριών του 2017.
Ο ρόλος του ENISA και η «Ευρωπαϊκή Σφραγίδα»
Κεντρικό ρόλο στο νέο οικοσύστημα αναλαμβάνει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA). Η πρόταση προβλέπει την απλούστευση και την επιτάχυνση των διαδικασιών πιστοποίησης, δημιουργώντας ένα ενιαίο ευρωπαϊκό πλαίσιο.
Στόχος είναι να αποφευχθεί ο κατακερματισμός της αγοράς, όπου κάθε κράτος-μέλος εφαρμόζει διαφορετικά στάνταρ, και να δημιουργηθεί μια ενιαία ψηφιακή αγορά με κοινούς κανόνες εμπιστοσύνης. Οι πιστοποιήσεις αυτές δεν θα αφορούν μόνο το hardware, αλλά θα επεκτείνονται σε υπηρεσίες cloud και διαχειριζόμενες υπηρεσίες ασφαλείας (MSSPs), δημιουργώντας μια «ασπίδα» γύρω από τα ευαίσθητα δεδομένα των Ευρωπαίων πολιτών και επιχειρήσεων.
Αντιδράσεις και προκλήσεις για την αγορά
Η μετάβαση σε αυτό το αυστηρότερο καθεστώς δεν θα είναι αναίμακτη. Οι τηλεπικοινωνιακοί πάροχοι και οι βιομηχανίες που βασίζονται σε φθηνό και αποδοτικό εξοπλισμό από τρίτες χώρες εκφράζουν ήδη προβληματισμό για το κόστος αντικατάστασης. Η αφαίρεση υφιστάμενου εξοπλισμού απαιτεί χρόνο και τεράστια κεφάλαια, τα οποία ενδέχεται να μετακυλιστούν στους καταναλωτές.
Παράλληλα, υπάρχει ο φόβος αντιποίνων. Ο αποκλεισμός ξένων κολοσσών από την ευρωπαϊκή αγορά θα μπορούσε να πυροδοτήσει εμπορικό πόλεμο, με αντίστοιχους περιορισμούς για τις ευρωπαϊκές εταιρείες (π.χ. Ericsson, Nokia) σε αγορές της Ασίας.
Ωστόσο, η Κομισιόν φαίνεται αμετακίνητη, προτάσσοντας το επιχείρημα της στρατηγικής αυτονομίας. Σε ένα περιβάλλον όπου οι κυβερνοεπιθέσεις σε υποδομές ύδρευσης, ενέργειας και νοσοκομεία αυξάνονται γεωμετρικά, η εξάρτηση από τεχνολογία που ελέγχεται από δυνητικά εχθρικά καθεστώτα θεωρείται πλέον πολυτέλεια που η Ευρώπη δεν μπορεί να αντέξει.
Η επόμενη μέρα
Το νομοσχέδιο θα πρέπει τώρα να περάσει από τις «συμπληγάδες» του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όπου αναμένονται έντονες διαβουλεύσεις. Χώρες με στενότερους εμπορικούς δεσμούς με την Κίνα ενδέχεται να προβάλλουν αντιστάσεις, ενώ οι «σκληροπυρηνικοί» της ασφάλειας θα πιέσουν για ακόμη αυστηρότερα μέτρα.
Το βέβαιο είναι πως η Ευρώπη χαράσσει μια κόκκινη γραμμή. Η κυβερνοασφάλεια παύει να είναι ζήτημα IT και μετατρέπεται σε ζήτημα εθνικής και κοινοτικής επιβίωσης. Οι ξένοι «παίκτες» που θέλουν μερίδιο στην ευρωπαϊκή πίτα θα πρέπει πλέον να παίξουν με τους κανόνες των Βρυξελλών ή να αποχωρήσουν από το τραπέζι.
