Od dziś w państwach Unii Europejskiej obowiązują nowe zasady cyberbezpieczeństwa

Jednolitą certyfikację produktów, procesów i usług pod kątem bezpieczeństwa cybernetycznego wprowadza unijna ustawa o cyberbezpieczeństwie, „Cybersecurity Act”, która dziś wchodzi w życie.

Ustawa o cyberbezpieczeństwie to kolejne narzędzie prawne Unii, mające służyć poprawie bezpieczeństwa cybernetycznego (obok m.in. unijnego ogólnego rozporządzenia o ochronie danych osobowych (RODO) oraz unijnej dyrektywy o bezpieczeństwie sieci i informacji (dyrektywa NIS chroni krytyczną infrastrukturę krajową).

Nowe europejskie zasady oraz certyfikacja mogą pomóc konsumentom w wybieraniu sprzętu, z którego korzystają na co dzień, a przedsiębiorcom w oszczędzaniu. Bez nich w każdym z krajów, w którym chciałyby sprzedawać produkty lub usługi, firmy musiałyby starać się o certyfikaty. Mają też pomóc w zwalczaniu zjawiska cyberprzestępczości. To zagrożenie na światową skalę.

Powstaną różne systemy dla różnych kategorii produktów, procesów i usług. Każdy program będzie określał ich rodzaj lub kategorię, cel, standardy bezpieczeństwa i metody oceny.

Kluczowa w realizacji założeń nowej ustawy będzie Agencja ds. Cyberbezpieczeństwa (ENISA).Działająca od 2004 z siedzibą w Atenach, wspiera państwa członkowskie i zainteresowane strony z Unii Europejskiej w reakcjach na zakrojone na szeroką skalę incydenty cybernetyczne.

Zgodnie z nową ustawą, będzie posiadać silniejszy mandat oraz więcej pieniędzy, aby zapewnić możliwie najlepsze wsparcie, na przykład poprzez przygotowanie zaplecza technicznego dla konkretnych systemów certyfikacji i informowanie opinii publicznej o systemach certyfikacji i wydanych certyfikatach za pośrednictwem specjalnej strony internetowej.

ENISA jest również upoważniona do zwiększenia współpracy operacyjnej na szczeblu UE, pomagając państwom członkowskim, które zażądałyby tego, do radzenia sobie z incydentami cybernetycznymi oraz wspierając koordynację UE w przypadku ataków i kryzysów na dużą skalę. Zadanie to opiera się na roli ENISA jako sekretariatu krajowej sieci zespołów reagowania na incydenty komputerowe (tzw. CSIRT, Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, polski CSRIT).

Aby zrealizować swój nowy mandat, zasoby agencji zostały podwojone, zwiększając z 11 do 23 milionów euro w okresie pięciu lat. Będzie też pomagać państwom członkowskim i instytucjom, organom, urzędom i agencjom Unii w dobrowolnym ustanawianiu i wdrażaniu polityki cyberbezpieczeństwa.

Oprócz certyfikacji przez osoby trzecie dopuszczalna będzie certyfikacja zgodności dla produktów o niskim poziomie ryzyka przez ich producenta. Chociaż certyfikacja pozostanie dobrowolna, Komisja Europejska oceni, czy wymagana jest certyfikacja w przypadku niektórych kategorii produktów i usług.

ENISA przygotuje systemy certyfikacji, które zostaną przyjęte przez Komisję Europejską w drodze aktów wykonawczych. 26 września 2019 r. ENISA we współpracy z Polską Narodową Instytucją Badawczą NASK zorganizuje w Warszawie specjalne warsztaty, na których nowe przepisy zostaną omówione w kontekście krajowych strategii bezpieczeństwa cybernetycznego (NCSS).