Ủy ban châu Âu (EC) lần đầu công bố Đạo luật CRA vào tháng 9.2022, trong bối cảnh lo ngại về các mối đe dọa an ninh mạng, thách thức về quyền riêng tư dữ liệu và sự không nhất quán các biện pháp quản lý trong EU. Đạo luật khi có hiệu lực sẽ được áp dụng với tất cả các sản phẩm kết nối trực tiếp hoặc gián tiếp với thiết bị khác hoặc một mạng chung.

An ninh mạng ở EU sẽ được cải thiện như thế nào?

Thế giới đang ngày càng số hóa, công nghệ kỹ thuật số đã thâm nhập vào hầu hết mọi khía cạnh của cuộc sống hàng ngày. Từ việc hỗ trợ các hoạt động kinh doanh và tạo điều kiện thuận lợi cho các dịch vụ của Chính phủ, đến việc định hình các tương tác xã hội, công nghệ kỹ thuật số có mặt khắp nơi. Sự phụ thuộc phổ biến vào công nghệ kỹ thuật số này đã nêu bật sự cần thiết của các biện pháp an ninh mạng mạnh mẽ, để bảo vệ con người khỏi những rủi ro và mối đe dọa tiềm ẩn.

Đạo luật được soạn thảo với mục đích thống nhất các chiến lược an ninh mạng quốc gia đa dạng và các quy định pháp lý hiện có ở các quốc gia thành viên khác nhau của EU, hiện còn rời rạc. Sự thiếu gắn kết này thường dẫn đến những khoảng trống về quy định, lỗ hổng bảo mật và sự kém hiệu quả trong việc xử lý các mối đe dọa an ninh mạng.

Các mục tiêu chính của đạo luật nói trên bao gồm củng cố niềm tin kỹ thuật số của người dùng, thúc đẩy quản lý chủ động các rủi ro an ninh mạng, bảo đảm quyền riêng tư dữ liệu nghiêm ngặt và thiết lập cơ chế phản ứng phối hợp trên toàn châu Âu. Đặc biệt thúc đẩy kết cấu hạ tầng an ninh mạng một cách thống nhất, có khả năng chống chịu và chống lại các thách thức nhiều mặt một cách hiệu quả, do các mối đe dọa an ninh mạng ngày càng leo thang.

Đáng chú ý, đạo luật này cũng sẽ buộc các tổ chức phải tuân thủ các tiêu chuẩn và quy chuẩn cốt lõi về an ninh mạng, yêu cầu các tổ chức phải chứng minh khả năng phục hồi không gian mạng của mình, từ đó thúc giục họ ưu tiên an ninh mạng trong kế hoạch chiến lược của mình. Điều này sẽ bảo đảm rằng các doanh nghiệp ở bất kể quy mô nào sẽ đều được trang bị như nhau, nhằm đối đầu với các mối đe dọa trên mạng.

Ngoài ra, đạo luật sẽ tăng cường hợp tác giữa các quốc gia trong EU bằng cách thiết lập một tiêu chuẩn chung về an ninh mạng, khuyến khích những nỗ lực chung giữa các quốc gia thành viên trong việc đối phó với các mối đe dọa mạng xuyên biên giới.

Xây dựng “lá chắn mạng" toàn diện

Các quy định dự kiến sẽ có hiệu lực vào đầu năm 2024. Và khi quy định có hiệu lực, các phần mềm và sản phẩm kết nối Internet sẽ mang dấu CE, nhằm nhận biết những sản phẩm đó đã đạt các tiêu chuẩn mới. Yêu cầu các nhà sản xuất và nhà bán lẻ phải ưu tiên bảo đảm về vấn đề an ninh mạng; từ đó, khách hàng và doanh nghiệp có thể đưa ra những lựa chọn sáng suốt hơn về thông tin xác thực an ninh mạng của các sản phẩm được gắn nhãn CE.

Ngoài ra, các công ty phải bảo đảm minh bạch hơn trong vấn đề an toàn của các sản phẩm phần cứng và mềm đối với khách hàng. Đạo luật đưa ra quy định cụ thể về an ninh mạng đối với thiết kế, phát triển, sản xuất, kinh doanh phần cứng và phần mềm các sản phẩm. Các nhà sản xuất sẽ phải đánh giá rủi ro an ninh mạng đối với sản phẩm của họ, đưa ra thông báo và thực hiện hành động thích hợp để khắc phục sự cố trong suốt vòng đời của sản phẩm hoặc trong thời hạn sử dụng ít nhất 5 năm.

Theo Giám đốc phụ trách các vấn đề toàn cầu của Google, ông Kent Walker, số vụ tấn công mạng đã tăng 38% trong năm 2022 và ngày càng trở nên nghiêm trọng hơn. Do đó hợp tác ở quy mô quốc tế là cần thiết để chống lại mối đe dọa này. Đối với châu Âu, an ninh mạng là vấn đề cấp bách phải tìm cách giải quyết, khi ước tính có khoảng 230.000 phần mềm độc hại được tải xuống mỗi ngày. Phó Chủ tịch Nghị viện châu Âu Dita Charanzova cho biết, các cuộc bầu cử ở châu Âu có thể trở thành mục tiêu của những đối tượng phát tán thông tin sai lệch và tấn công mạng.

Trước nguy cơ các cuộc tấn công mạng đang ngày càng phổ biến và ảnh hưởng đến các hệ thống chính trị, Google đã khai trương trung tâm an ninh mạng lớn nhất tại châu Âu. Các công ty công nghệ lớn đang tìm cách đẩy mạnh cung cấp dịch vụ điện toán đám mây, bao gồm những dữ liệu nhạy cảm, trong khi đó, EU cân nhắc áp dụng các quy định nghiêm ngặt hơn nhằm bảo đảm an ninh mạng.

Theo dự thảo của Cơ quan An ninh mạng và An ninh thông tin của EU (ENISA), Amazon, Google, Microsoft và các nhà cung cấp dịch vụ điện toán đám mây không thuộc EU muốn có được chứng nhận an ninh mạng của EU để xử lý dữ liệu nhạy cảm sẽ phải liên doanh với một công ty có trụ sở tại EU. Dự thảo nêu rõ, những “gã khổng lồ” công nghệ tham gia một liên doanh như vậy sẽ chỉ được phép nắm giữ cổ phần thiểu số, và những nhân viên có quyền truy cập dữ liệu của EU sẽ trải qua quá trình kiểm tra. Ngoài ra, dịch vụ điện toán đám mây phải được vận hành từ EU, tất cả dữ liệu khách hàng sử dụng dịch vụ này phải được lưu trữ và xử lý tại EU.

Để tạo ra một “lá chắn mạng châu Âu" có khả năng phát hiện cũng như chống lại các mối đe dọa an ninh mạng, EC cũng đã thông qua đề xuất về quy định đoàn kết mạng nhằm bảo đảm tất cả công dân và doanh nghiệp châu Âu được bảo vệ tốt, cả trực tuyến và ngoại tuyến, đồng thời thúc đẩy một không gian mạng mở, an toàn và ổn định. Mục đích chính của đề xuất này là thiết lập một hạ tầng kỹ thuật toàn châu Âu được tạo thành từ các trung tâm điều hành an ninh quốc gia và xuyên biên giới trên toàn EU. Các trung tâm này sẽ trải rộng khắp châu Âu và hoạt động cộng sinh để ngăn chặn các cuộc tấn công mạng trong tương lai, được trang bị siêu máy tính và hệ thống AI, và dự kiến sẽ được triển khai từ đầu năm 2024 với ngân sách 1,1 tỷ euro.

Vẫn còn nhiều thách thức

Mặc dù Đạo luật CRA nhằm mục đích cung cấp sự bảo vệ toàn diện trước các mối đe dọa trên mạng nhưng vẫn còn một số thách thức phải đối mặt. Với những thay đổi nhanh chóng về công nghệ, cũng như mức độ phức tạp ngày càng gia tăng của tội phạm mạng, điều này đồng nghĩa với việc đạo luật phải liên tục phát triển, đổi mới.

Bên cạnh đó, những lo ngại về quyền riêng tư vẫn là một điểm gây tranh cãi. Việc cân bằng nhu cầu về an ninh mạng với việc tôn trọng quyền riêng tư về dữ liệu cá nhân là một vấn đề phức tạp, đặc biệt khi người sử dụng ngày càng nhận thức rõ hơn về quyền kỹ thuật số. Đạo luật phải duy trì sự cân bằng tinh tế giữa việc thực hiện các biện pháp bảo mật mạnh mẽ và tôn trọng quyền riêng tư của dữ liệu.

Trước những thách thức này, đạo luật trên phải chứng minh khả năng thích ứng, không chỉ bằng cách liên tục cập nhật để ứng phó với các mối đe dọa mạng và công nghệ mới, mà còn phải bảo đảm rằng các doanh nghiệp có thể thực hiện các thay đổi một cách hợp lý mà không phải chịu gánh nặng không cần thiết. Điều này đòi hỏi sự phản hồi và hợp tác liên tục giữa EU, doanh nghiệp, người sử dụng và chuyên gia an ninh mạng.

Ngoài ra, việc đào tạo và giáo dục cũng sẽ rất quan trọng. Các doanh nghiệp cần hiểu các yêu cầu, cũng như tầm quan trọng của việc tuân thủ của đạo luật. Tương tự, người tiêu dùng cũng cần được tuyên truyền về quyền và cách bảo vệ dữ liệu của họ. Điều này sẽ thúc đẩy một văn hóa nhận thức về mạng và bảo đảm tính hiệu quả lâu dài của đạo luật.