Europa stoi w obliczu codziennych cyberataków i ataków hybrydowych na podstawowe usługi i instytucje demokratyczne, przeprowadzanych przez wyrafinowane grupy państwowe i przestępcze. Komisja Europejska zaproponowała dziś nowy pakiet dotyczący cyberbezpieczeństwa, aby jeszcze bardziej wzmocnić odporność i zdolności UE w zakresie cyberbezpieczeństwa w obliczu tych rosnących zagrożeń.
Pakiet zawiera wniosek dotyczący zmienionego aktu o cyberbezpieczeństwie, który zwiększa bezpieczeństwo unijnych łańcuchów dostaw technologii informacyjno-komunikacyjnych (ICT). Dzięki prostszemu procesowi certyfikacji produkty docierające do obywateli UE są już na etapie projektowania bezpieczne w cyberprzestrzeni. Ułatwia również przestrzeganie obowiązujących unijnych przepisów dotyczących cyberbezpieczeństwa i wzmacnia Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) we wspieraniu państw członkowskich i UE w zarządzaniu zagrożeniami dla cyberbezpieczeństwa.
Zwiększenie bezpieczeństwa łańcuchów dostaw ICT w UE
Nowy akt o cyberbezpieczeństwie ma na celu ograniczenie ryzyka w unijnym łańcuchu dostaw ICT ze strony dostawców z państw trzecich, którzy mają obawy związane z cyberbezpieczeństwem. Określono w nim zaufane ramy bezpieczeństwa łańcucha dostaw ICT oparte na zharmonizowanym, proporcjonalnym i opartym na analizie ryzyka podejściu. Umożliwi to UE i państwom członkowskim wspólne identyfikowanie i ograniczanie ryzyka w 18 sektorach krytycznych UE, z uwzględnieniem również skutków gospodarczych i podaży na rynku.
Niedawne incydenty w cyberbezpieczeństwie uwypukliły główne zagrożenia związane z podatnościami w łańcuchach dostaw ICT, które mają zasadnicze znaczenie dla funkcjonowania krytycznych usług i infrastruktury. W dzisiejszym krajobrazie geopolitycznym bezpieczeństwo łańcucha dostaw to już nie tylko bezpieczeństwo produktów lub usług technicznych, ale także ryzyko związane z dostawcą, w szczególności zależności i obce ingerencje.
Akt o cyberbezpieczeństwie umożliwi obowiązkowe ograniczanie ryzyka europejskich sieci telefonii ruchomej przez dostawców z państw trzecich wysokiego ryzyka, w oparciu o prace już przeprowadzone w ramach zestawu narzędzi na potrzeby bezpieczeństwa sieci 5G.
Uproszczenie i wzmocnienie europejskich ram certyfikacji cyberbezpieczeństwa
Zmieniony akt o cyberbezpieczeństwie zagwarantuje, że produkty i usługi docierające do konsumentów w UE będą testowane pod kątem bezpieczeństwa w bardziej efektywny sposób. Będzie to możliwe dzięki odnowionym europejskim ramom certyfikacji cyberbezpieczeństwa (ECCF). ECCF zapewni większą jasność i uproszczenie procedur, umożliwiając domyślne opracowanie systemów certyfikacji w ciągu 12 miesięcy. Wprowadzi również sprawniejsze i bardziej przejrzyste zarządzanie w celu większego zaangażowania zainteresowanych stron poprzez informowanie społeczeństwa i konsultacje społeczne.
Systemy certyfikacji, którymi zarządza ENISA, staną się praktycznym, dobrowolnym narzędziem dla przedsiębiorstw. Umożliwią one przedsiębiorstwom wykazanie zgodności z prawodawstwem UE, zmniejszając obciążenie i koszty. Oprócz produktów, usług, procesów i usług zarządzanych w zakresie bezpieczeństwa ICT, firmy i organizacje będą mogły certyfikować swoją postawę w cyberprzestrzeni, aby zaspokoić potrzeby rynku. W ostatecznym rozrachunku odnowiony ECCF będzie konkurencyjnym atutem dla przedsiębiorstw z UE. Obywatelom, przedsiębiorstwom i organom publicznym UE zapewni to wysoki poziom bezpieczeństwa i zaufania do złożonych łańcuchów dostaw ICT.
Ułatwianie przestrzegania przepisów dotyczących cyberbezpieczeństwa
Pakiet wprowadza środki mające na celu uproszczenie przestrzegania unijnych przepisów dotyczących cyberbezpieczeństwa i wymogów w zakresie zarządzania ryzykiem dla przedsiębiorstw prowadzących działalność w UE, uzupełniając pojedynczy punkt kontaktowy do zgłaszania incydentów zaproponowany w cyfrowym zbiorczym akcie prawnym. Ukierunkowane zmiany w dyrektywie NIS 2 mają na celu zwiększenie jasności prawa. Ułatwią one przestrzeganie przepisów 28 700 przedsiębiorstwom, w tym 6 200 mikroprzedsiębiorstwom i małym przedsiębiorstwom. Wprowadzą również nową kategorię małych przedsiębiorstw o średniej kapitalizacji, aby obniżyć koszty przestrzegania przepisów dla 22 500 przedsiębiorstw. Zmiany uproszczą przepisy jurysdykcyjne, usprawnią gromadzenie danych na temat ataków z użyciem oprogramowania szantażującego i ułatwią nadzór nad podmiotami transgranicznymi pełniącymi wzmocnioną rolę koordynacyjną ENISA.
Wzmocnienie pozycji ENISA w celu zwiększenia odporności Europy w zakresie cyberbezpieczeństwa
Od czasu przyjęcia pierwszego aktu o cyberbezpieczeństwie w 2019 r. ENISA stała się kamieniem węgielnym unijnego ekosystemu cyberbezpieczeństwa. Przedstawiony dziś zmieniony akt o cyberbezpieczeństwie umożliwia ENISA pomoc UE i jej państwom członkowskim w zrozumieniu wspólnych zagrożeń. Umożliwia również przygotowanie się i reagowanie na cyberincydenty.
Agencja będzie nadal wspierać przedsiębiorstwa i zainteresowane strony działające w UE poprzez wczesne ostrzeganie o cyberzagrożeniach i incydentach. We współpracy z Europolem i zespołami reagowania na incydenty bezpieczeństwa komputerowego będzie wspierać przedsiębiorstwa w reagowaniu na ataki ransomware i odzyskiwaniu danych po nich. ENISA opracuje również unijne podejście w celu zapewnienia zainteresowanym stronom lepszych usług zarządzania podatnościami. Będzie ona obsługiwać pojedynczy punkt zgłaszania incydentów zaproponowany w cyfrowym zbiorczym akcie prawnym.
ENISA będzie nadal odgrywać kluczową rolę w dalszym budowaniu wykwalifikowanej siły roboczej w dziedzinie cyberbezpieczeństwa w Europie. Będzie to możliwe dzięki pilotażowi Akademii Umiejętności w dziedzinie Cyberbezpieczeństwa i ustanowieniu ogólnounijnych systemów poświadczania umiejętności w dziedzinie cyberbezpieczeństwa.
Kolejne kroki
Akt o cyberbezpieczeństwie będzie miał zastosowanie natychmiast po zatwierdzeniu przez Parlament Europejski i Radę UE. Do zatwierdzenia zostaną również przedstawione towarzyszące zmiany dyrektywy NIS 2. Po przyjęciu dyrektywy państwa członkowskie będą miały rok na jej wdrożenie do prawa krajowego i przekazanie odpowiednich tekstów Komisji.
Więcej informacji
Zmieniony akt o cyberbezpieczeństwie
źródło: Przedstawicielstwo Komisji Europejskiej w Polsce.