En ny studie ledd av akademiker från Cloud Legal Project vid Queen Mary University of London har funnit att nuvarande cybersäkerhetsstandarder som fastställts av Europeiska unionen, kallas NIS -direktivet, gå inte tillräckligt långt och kan eventuellt undergrävas.

2018 års NIS -föreskrifter, som genomför NIS -direktivet i Storbritannien, syfta till att säkerställa att operatörer av viktiga tjänster skyddas från störningar, genom att kräva att de vidtar "lämpliga och proportionella" åtgärder när det gäller cybersäkerhet.

Efterlevnad är subjektiv

Forskningen, som fokuserade på flygplatser som Heathrow och flygbolag som British Airways, fann att för att följa förordningen, tjänsteleverantörer måste identifiera, bedöma, och sedan ta itu med de cyberrisker som de står inför. Dock, sådan riskhantering medför oundvikligen en nivå av subjektivt omdöme och avvägningar.

Enligt forskarna, kraven i direktivet är för vaga och öppna för tolkning, vilket innebär att vissa flygplatser och flygbolag endast kan vidta de säkerhetsåtgärder som de anser vara i sina egna kommersiella intressen. Tjänsteleverantörer kan till och med gå så långt som att missbruka sitt omdöme genom att ägna sig åt "pappersöverensstämmelse" - skapa massor av säkerhetsdokumentation för att visa tillsynsmyndigheter, utan att meningsfullt ändra sitt tillvägagångssätt, effektivt sätta vinster före cybersäkerhet.

Vaga krav är svåra att mäta

Forskningen fann också att NIS -direktivets vaga karaktär kan göra det svårt för tillsynsmyndigheter, som luftfartsmyndigheten, att effektivt polisera om säkerhetskraven är uppfyllda eller inte. Studien kommer efter flera högprofilerade IT -fel i flygbranschen.

Dave Michels, Forskare vid Queen Mary's Center for Commercial Law Studies, och medförfattare till tidningen sa:"Regulatorer kommer att behöva noggrant övervaka flygplatser och flygbolag och utmana deras tillvägagångssätt vid behov. Detta kommer att kräva att de anlitar cybersäkerhetsexperter för att göra detta effektivt."

Ian Walden, Professor i informations- och kommunikationsrätt och medförfattare till studien tillade:"Brexit kan ytterligare komplicera ärenden på grund av Storbritanniens avgång från European Agency for Cybersecurity, som spelar en viktig roll genom att tillhandahålla riktlinjer för efterlevnad och dela bästa praxis. "