Krok w budowie europejskiego cyberbezpieczeństwa
Wzmocnienie roli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) oraz utworzenie ram dla wspólnych europejskich programów certyfikacji cyberbezpieczeństwa oprogramowania, urządzeń i usług – to główne cele nowego unijnego prawa.
27 czerwca 2019 r. weszło bowiem w życie rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 17 kwietnia 2019 r. – znane jako Cybersecurity Act. Na dostosowanie krajowych aktów prawnych do nowych przepisów państwa członkowskie mają czas do 28 czerwca 2021 r.
Razem dla bezpieczeństwa
Celem rozporządzenia jest:
- po pierwsze - wzmocnienie roli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA). Agencja wraz z wejściem nowych przepisów uzyskała stały mandat. Został on dodatkowo rozszerzony o kompetencje koordynacji europejskiej współpracy operacyjnej w zapewnieniu bezpieczeństwa europejskiej cyberprzestrzeni. Przy okazji ENISA zmieniła nazwę. Od teraz jest Agencją Unii Europejskiej ds. Cyberbezpieczeństwa.
- po drugie - utworzenie ram dla wspólnych europejskich programów certyfikacji cyberbezpieczeństwa oprogramowania, urządzeń i usług. Wspomniane programy mają stymulować rozwój rynku w tym zakresie, a także ograniczać koszty związanie z testami i badaniami poprawności funkcjonowania oraz skuteczności mechanizmów bezpieczeństwa.
Oczekiwane zmiany
Rozszerzenie kompetencji agencji ENISA było postulowane przez wiele państw członkowskich – w tym również przez Polskę. Od chwili powstania (w 2004 r.) ENISA realizowała projekty o charakterze naukowo-badawczym i analitycznym. Mandat ENISA był okresowo przedłużany. Wraz ze wzrostem zagrożeń dla europejskiej cyberprzestrzeni i ich negatywnego wpływu na jednolity rynek cyfrowy - powstała pilna potrzeba rozszerzenia uprawnień ENISA. Chodziło o koordynację współpracy operacyjnej zespołów reagowania na incydenty bezpieczeństwa (CSIRT) we wszystkich państwach członkowskich.
Nowy mandat agencji ENISA obejmuje również przygotowanie - we współpracy z ekspertami narodowymi - organizacyjnych i technicznych podstaw dla europejskich programów certyfikacji cyberbezpieczeństwa. Takie programy będą wprowadzane przez Komisję Europejską w dedykowanych rozporządzeniach wykonawczych. Każdy program certyfikacji będzie bazował na - uzgodnionych na poziomie europejskim i niezależnych od producentów - kryteriach oceny oraz metodach badania. Ich wynikiem będzie określenie optymalnych obszarów zastosowania określonego rozwiązania.
Korzyści dla obywateli
Główną zaletą wspólnych europejskich programów certyfikacji będzie uznawanie wyników badań i certyfikatów przez wszystkie państwa członkowskie. Pozytywnie wpłynie to na zwiększenie rynkowej oferty rozwiązań służących cyberbezpieczeństwu. Większa oferta rynkowa przyczyni się do większej dostępności cenowej bezpiecznego oprogramowania, urządzeń i usług dla przedsiębiorców, a także wszystkich obywateli.
W Ministerstwie Cyfryzacji prowadzimy prace nad dostosowaniem polskiego prawa do nowych europejskich przepisów. Nasz cel to pełne wykorzystanie możliwości, które rozporządzenie wprowadza w obszarze uznawania certyfikatów na poziomie europejskim. Nowe możliwości dotyczą nie tylko polskich producentów i instytutów badawczych - zainteresowanych dalszym rozwojem kompetencji w opracowywaniu, produkcji i stosowaniu nowoczesnych metod ochrony informacji - ale i krajowych zdolności w dziedzinie badań i certyfikacji cyberbezpieczeństwa.
Zob. Polskie tłumaczenie Rozporządzenia - strona Dziennika Urzędowego UE
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?