e-prawnik.pl Porady prawne

Pozostałe

Krok w budowie europejskiego cyberbezpieczeństwa

27.6.2019

Wzmocnienie roli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) oraz utworzenie ram dla wspólnych europejskich programów certyfikacji cyberbezpieczeństwa oprogramowania, urządzeń i usług – to główne cele nowego unijnego prawa.

27 czerwca 2019 r. weszło bowiem w życie rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 17 kwietnia 2019 r. – znane jako Cybersecurity Act. Na dostosowanie krajowych aktów prawnych do nowych przepisów państwa członkowskie mają czas do 28 czerwca 2021 r.


Razem dla bezpieczeństwa

Celem rozporządzenia jest:

  • po pierwsze - wzmocnienie roli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA). Agencja wraz z wejściem nowych przepisów uzyskała stały mandat. Został on dodatkowo rozszerzony o kompetencje koordynacji europejskiej współpracy operacyjnej w zapewnieniu bezpieczeństwa europejskiej cyberprzestrzeni. Przy okazji ENISA zmieniła nazwę. Od teraz jest Agencją Unii Europejskiej ds. Cyberbezpieczeństwa.
  • po drugie - utworzenie ram dla wspólnych europejskich programów certyfikacji cyberbezpieczeństwa oprogramowania, urządzeń i usług. Wspomniane programy mają stymulować rozwój rynku w tym zakresie, a także ograniczać koszty związanie z testami i badaniami poprawności funkcjonowania oraz skuteczności mechanizmów bezpieczeństwa.

Oczekiwane zmiany

Rozszerzenie kompetencji agencji ENISA było postulowane przez wiele państw członkowskich – w tym również przez Polskę. Od chwili powstania (w 2004 r.) ENISA realizowała projekty o charakterze naukowo-badawczym i analitycznym. Mandat ENISA był okresowo przedłużany. Wraz ze wzrostem zagrożeń dla europejskiej cyberprzestrzeni i ich negatywnego wpływu na jednolity rynek cyfrowy - powstała pilna potrzeba rozszerzenia uprawnień ENISA. Chodziło o koordynację współpracy operacyjnej zespołów reagowania na incydenty bezpieczeństwa (CSIRT) we wszystkich państwach członkowskich.

Nowy mandat agencji ENISA obejmuje również przygotowanie - we współpracy z ekspertami narodowymi - organizacyjnych i technicznych podstaw dla europejskich programów certyfikacji cyberbezpieczeństwa. Takie programy będą wprowadzane przez Komisję Europejską w dedykowanych rozporządzeniach wykonawczych. Każdy program certyfikacji będzie bazował na - uzgodnionych na poziomie europejskim i niezależnych od producentów - kryteriach oceny oraz metodach badania. Ich wynikiem będzie określenie optymalnych obszarów zastosowania określonego rozwiązania.

Korzyści dla obywateli

Główną zaletą wspólnych europejskich programów certyfikacji będzie uznawanie wyników badań i certyfikatów przez wszystkie państwa członkowskie. Pozytywnie wpłynie to na zwiększenie rynkowej oferty rozwiązań służących cyberbezpieczeństwu. Większa oferta rynkowa przyczyni się do większej dostępności cenowej bezpiecznego oprogramowania, urządzeń i usług dla przedsiębiorców, a także wszystkich obywateli.  

W Ministerstwie Cyfryzacji prowadzimy prace nad dostosowaniem polskiego prawa do nowych europejskich przepisów. Nasz cel to pełne wykorzystanie możliwości, które rozporządzenie wprowadza w obszarze uznawania certyfikatów na poziomie europejskim. Nowe możliwości dotyczą nie tylko polskich producentów i instytutów badawczych - zainteresowanych dalszym rozwojem kompetencji w opracowywaniu, produkcji i stosowaniu nowoczesnych metod ochrony informacji - ale i krajowych zdolności w dziedzinie badań i certyfikacji cyberbezpieczeństwa.

Zob. Polskie tłumaczenie Rozporządzenia - strona Dziennika Urzędowego UE

Potrzebujesz porady prawnej?