W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Akt o cyberbezpieczeństwie

02.01.2019

Akt o cyberbezpieczeństwie - znany jak jako Cybersecurity Act, to druga po dyrektywnie NIS ogólnoeuropejska regulacja w zakresie cyberbezpieczeństwa. Dokument wszedł w życie 27 czerwca 2019 roku i reguluje m.in. obszar certyfikacji cyberbezpieczeństwa. Akt o cyberbezpieczeństwie tworzy europejskie ramy certyfikacji cyberbezpieczeństwa dla produktów i usług ICT oraz nadaje nowe, stałe kompetencje Agencji UE ds. Cyberbezpieczeństwa (ENISA).

Utworzenie europejskich ram certyfikacji cyberbezpieczeństwa dla produktów i usług ICT

Akt o cyberbezpieczeństwie to pierwsze prawo dotyczące rynku wewnętrznego, które odpowiada na potrzebę podniesienia poziomu bezpieczeństwa produktów, usług oraz procesów ICT.  Wprowadza on jednolite procedury w zakresie certyfikacji w obszarze cyberbezpieczeństwa na całym terenie Unii Europejskiej. Wprowadza również zasadę, że certyfikaty wydane w ramach europejskich programów będą automatycznie uznawane w każdym państwie członkowskim UE.

Uchwalone prawo umożliwia zniesienie barier na rynku cyfrowym i ma zagwarantować, że usługi i urządzenia podłączone do sieci spełniają określone, jednolite kryteria cyberbezpieczeństwa obowiązujące na terenie całej UE. Certyfikaty wydawane na podstawie europejskich programów certyfikacyjnych będą uznawane w każdym państwie członkowskim UE.

Akt o cyberbezpieczeństwie przewiduje trzy poziomy certyfikatów. W kolejności od najwyższego są to poziomy wysoki, istotny i podstawowy.

Dzięki temu podziałowi przedsiębiorcy będą mogli łatwiej dobrać certyfikat do swoich indywidualnych potrzeb. Jeśli więc chcą by ich produkt gwarantował jedynie zabezpieczenie przez podstawowymi zagrożeniami, mogą wybrać certyfikat poziomu „podstawowego”.  Poziom “istotny” wskazuje z kolei, że oprócz ochrony przez podstawowymi zagrożeniami, dany produkt skutecznie chroni przed atakami wykonywanymi przez sprawcę o ograniczonych możliwościach. Produkt, który posiada taki certyfikat jest odporny na ataki większości cyberprzestępców. Ostatni poziom wskazuje, że produkt jest w stanie się opierać atakom sprawców o bardzo dużych możliwościach i środkach np. zorganizowanym grupom dysponującym państwowymi funduszami. Jest to najwyższy możliwy poziom ochrony.

Możliwość szybkiego wyboru właściwego poziomu zapewni  przedsiębiorcom oszczędność czasu i środków przeznaczonych na certyfikację.

To z jednej strony zwiększy zaufanie konsumentów, którzy będą mogli wybierać rozwiązania i urządzenia spełniające odpowiednie normy bezpieczeństwa, a z drugiej pomoże przedsiębiorcom między innymi ograniczając koszty i czas związany z uzyskaniem certyfikatu w każdym kraju osobno.  Z kolei przedsiębiorcy zyskają pewność, że uzyskane przez nich certyfikaty będą uznawane w każdym państwie należącym do Unii Europejskiej. Z kolei przedsiębiorcy, którzy będą chcieli oferować usługi certyfikacyjne, będą mogli swobodnie kierować swoją ofertę do klientów z innych państw z gwarancją uznania wystawionych przez nich dokumentów.

Europejskie ramy certyfikacji cyberbezpieczeństwa pozwolą stymulować rozwój jednolitego rynku. Utworzenie ram pozwoli także ograniczyć koszty związane z testami i badaniami poprawiając tym samym funkcjonowanie mechanizmów bezpieczeństwa. Poszerzona oferta rynkowa pozytywnie przyczyni się do większej dostępności cenowej bezpiecznego oprogramowania, urządzeń i usług dla przedsiębiorców, a także dla obywateli.

Lepszy dostęp do certyfikowanych produktów przyczyni się również do ogólnego wzrostu cyberbezpieczeństwa i pozwoli zmniejszyć straty jakie ponoszą przedsiębiorcy w związku z cyberprzestępczością.

Za przygotowywanie poszczególnych programów certyfikacji odpowiada ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji), która we współpracy z nowym organem, Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa (ECCG), przygotowuje kompleksowy zbiór wymogów technicznych, norm i procedur w celu oceny produktów i usług pod kątem odpowiednich zabezpieczeń. ECCG to jeden z najważniejszych organów, który powołuje do życia Akt o Cyberbezpieczeństwie. Grupie przewodniczy Komisja Europejska i składa się z przedstawicieli krajowych organów ds. certyfikacji cyberbezpieczeństwa lub innych właściwych organów krajowych. 

Ponadto na mocy rozporządzenia powołano także Grupę Interesariuszy do spraw Certyfikacji Cyberbezpieczeństwa. Głównymi zadaniami tej grupy jest doradzanie Komisji w sprawach strategicznych związanych z europejskimi ramami certyfikacji cyberbezpieczeństwa.

W ostatnich miesiącach działania w zakresie certyfikacji zostały zintensyfikowane – ENISA poinformowała o postępach w pracach nad programem certyfikacji cyberbezpieczeństwa produktów ICT opartym na Common Criteria oraz nad programem certyfikacji usług chmurowych.
 

Nowe kompetencje Agencji UE ds. Cyberbezpieczeństwa (ENISA)

Akt o cyberbezpieczeństwie przekształcił Europejską Agencje Bezpieczeństwa Sieci i Informacji w Agencję UE ds. Cyberbezpieczeństwa (ENISA).  Pierwsza część dokumentu określa charakter nowego mandatu Agencji, który został przekształcony z mandatu czasowego na mandat stały. Rola ENISA została znacznie wzmocniona nie tylko poprzez nadanie stałych uprawnień, ale także poprzez szereg nowych obowiązków związanych z wejściem w życie dyrektywy NIS oraz europejskich ram certyfikacji. Obecnie ENISA ma większy wpływ na ekosystem cyberbezpieczeństwa UE.

Nowym zadaniem jest m.in. udzielanie pomocy państwom członkowskim i instytucjom unijnym. Na wyraźną prośbę państwa członkowskiego, ENISA oferuje wsparcie przy organizacji zespołów CSIRT. Udziela również niezbędnej i fachowej wiedzy będącej istotnym elementem w budowie kompetencji CSIRT, jak również pozwalającym analizować i przeciwdziałać cyberzagrożeniom i incydentom. W tej dziedzinie ważną rolę odgrywa współpraca pomiędzy ENISA, a z CERT-EU, obsługującym incydenty bezpieczeństwa w instytucjach unijnych. 

Dostosowanie przepisów krajowych

Państwa członkowskie mają czas do czerwca 2021 r. na przyjęcie europejskich przepisów rozporządzenia w kwestiach dotyczących certyfikacji do krajowego porządku prawnego.

Obecnie w Ministerstwie Cyfryzacji trwają pracę nad  implementacją tych przepisów. Opracowane zostały założenia do ustawy, która wprowadzi te przepisy. Zgodnie z nimi system certyfikacji w Polsce będzie opierał się na działalności prywatnych jednostek certyfikujących i laboratoriów. Nadzór nad ich działalnością mają sprawować minister właściwy do spraw informatyzacji oraz Polskie Centrum Akredytacji . Certyfikacja w tym zakresie pozostanie całkowicie dobrowolna.

Trwają prace nad ustawą opartą na wskazanych założeniach.

Pełna wersja aktu o cyberbezpieczeństwie

 
{"register":{"columns":[]}}