Beszállító-semleges IT-biztonsági törvényt alkotott Németország
Több uniós és unión kívüli európai országgal szemben nem születik a kínai IT-piaci szereplőket érintő kormányzati szintű korlátozó intézkedés Németországban, mely jelenleg a legnagyobb európai piaca az Egyesült Államok által szankcionált Huawei Technologiesnek.
Fellélegezhettek a kínai Huawei Technologiesnél a hét közepén, a német jogalkotási folyamatban ugyanis gyakorlatilag elkészült a különböző hálózatbiztonsági metrikákat és a beszállítókra valamint rendszerüzemeltetőkre vonatkozó kötelező intézkedéseket felsoroló IT-biztonsági törvény (IT-Sicherheitsgesetz 2.0) végleges javaslata, mely nem különböztet meg hátrányosan egyetlen piaci szereplőt sem. Az új törvény hatályba lépését követően ettől függetlenül nyitva marad egy politikai vétó lehetősége, amivel a mindenkori német vezetés bármikor kiiktathat a piacról bármilyen szereplőt.
Az új, két vizsgálati, döntéshozatali lépcsőt előíró törvény a korábbinál lényegesen nagyobb hatáskört biztosít a Szövetségi Kiberbiztonsági Ügynökség (Bundesamt für Sicherheit in der Informationstechnik, azaz BSI) számára, mely a kritikus infrastruktúrák üzemeltetői által használt berendezéseket előzetesen jogosult lesz vizsgálni, pusztán technológiai alapokon. Ha a szervezet vizsgálata során felmerül annak a gyanúja, hogy a berendezés használata a Német Szövetségi Köztársaság számára nemzetbiztonsági kockázatot jelenthet, a BSI továbbítja az ügyet egy politikai bizottságnak.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Ebbe a bizottságba a kancellária, a belügyi, a külügyi és a gazdasági tárca delegálhat majd személyeket, a végső szót azonban a Kancellári Hivatal mondja majd ki. Német belpolitikai szakértők szerint az új törvénnyel a német vezetés feloldotta azt a politikai konfliktust, mely az USA nyomásgyakorlása révén a kínai beszállítók megítélése és kezelése kapcsán keletkezett, hiszen a rendszerben ezzel gyakorlatilag nyitva maradt a lehetősége a gyártóspecifikus fellépésnek, noha maga a törvény alapvetően igyekszik semleges megközelítést alkalmazni.
A Huawei számára a jogszabály mégis bőven elfogadható kompromisszumnak tekinthető, a cég ugyanis így nem szorul ki automatikusan a legnagyobb európai piacról, illetve nem sérülnek a német távközlési multikkal, így elsősorban a német állam résztulajdonában lévő Deutsche Telekommal meglévő partneri kapcsolatai.
A törvény emellett azt sem írja elő, hogy mi a teendő akkor, ha kiderül, egy már üzembe állított infrastruktúra bizonyos elemei nem tekinthetők többé biztonságosnak, ugyanakkor arra kötelezi a kritikus hálózatokat üzemeltetőket, hogy a naplóállományokat legalább négy évre visszamenőleg eltárolják, így egy esetleges támadás nyomaira egy kiterjedt vizsgálat során utólag is rá lehet majd bukkanni.
A törvényjavaslatot a német jogalkotási gyakorlat szerint most a Bundestag elé terjesztik, ám vélhetően itt már csak egy formális jóváhagyás várható.