W dniu 7 czerwca 2019 r. Komisja Europejska opublikowała akt o cyberbezpieczeństwie (ang. Cybersecurity Act), czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013. Rozporządzenie jest częścią zaproponowanego przez Komisję Europejską pakietu reformatorskiego, który ma służyć zwiększaniu bezpieczeństwa komputerowego, umożliwiającego przeciwdziałanie i reagowanie na cyberataki.

Nowy mandat dla ENISA

Akt o cyberbezpieczeństwie składa się z dwóch kluczowych części. Pierwsza z nich dotyczy Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) i jej mandatu, kompetencji oraz organizacji.

ENISA powstała w roku 2004, a jej celem miało być przyczynianie się do realizacji zadań w zakresie zapewnienia wysokiego i efektywnego poziomu bezpieczeństwa sieci i informacji w UE oraz rozwijania kultury bezpieczeństwa sieci i informacji. Mandat ENISA był czasowy i kilkukrotnie już był przedłużany – ostatnio do 19 czerwca 2020 r.

W rozporządzeniu wyraźnie podkreślono, że w obecnym kontekście politycznym i niepewnym otoczeniu globalnym ograniczone możliwości działania i czasowy mandat Agencji nie są już wystarczające. Z tego właśnie powodu akt o cyberbezpieczeństwie wzmacnia kompetencje ENISA, czyniąc ją agencją stałą (czyli przedłużając jej mandat na czas nieokreślony). W świetle rozporządzenia Agencja ma stanowić trwały punkt odniesienia w obszarze doradztwa i wiedzy fachowej z zakresu cyberbezpieczeństwa dla instytucji, organów i jednostek organizacyjnych Unii, jak również dla innych odpowiednich unijnych interesariuszy.

Jednocześnie w rozporządzeniu wskazano nadrzędny cel działań Agencji – wysoki wspólny poziom cyberbezpieczeństwa w całej Unii. Do jego osiągnięcia prowadzić ma realizowanie zadań powierzonych Agencji, w tym:

i) przyczynianie się do opracowania i wdrażania polityki i prawa UE, zwłaszcza poprzez fachową pomoc i doradztwo w obszarze cyberbezpieczeństwa;

ii) budowanie zdolności i kompetencji w zakresie cyberbezpieczeństwa poprzez udzielanie wsparcia i pomocy państwom członkowskim, instytucjom, organom i jednostkom organizacyjnym UE w zapobieganiu incydentom, jak również w ich wykrywaniu i analizowaniu;

iii) wspieranie współpracy operacyjnej między państwami członkowskimi, instytucjami, organami i jednostkami organizacyjnymi UE w zakresie cyberbezpieczeństwa poprzez wymianę know-how i najlepszych praktyk oraz wydawanie wytycznych.

Ramy certyfikacji cyberbezpieczeństwa

ENISA powierzono także nowe, istotne zadanie – wspieranie opracowywania i realizacji polityki UE w zakresie certyfikacji cyberbezpieczeństwa produktów, usług i procesów dotyczących sieci i systemów informatycznych.

Jest to drugi kluczowy obszar regulowany nowym rozporządzeniem. Ustanawia ono bowiem europejskie ramy certyfikacji cyberbezpieczeństwa, na podstawie których ENISA ma opracować programy certyfikacji dla konkretnych produktów czy usług. Celem tych programów jest potwierdzenie, że poddane certyfikacji produkty, procesy i usługi spełniają określone wymogi bezpieczeństwa i, tym samym, że zapewniono właściwy w świetle oszacowanego ryzyka (risk-based approach) poziom dostępności, autentyczności, integralności i poufności danych, funkcji lub usług dostępnych za ich pośrednictwem.

Co istotne, opracowanie europejskich programów certyfikacji ma z założenia zapewnić wdrożenie unijnych standardów certyfikacji i stworzenie jednolitych zasad uznawania, że dane produkty czy usługi spełniają ustalone wymogi. Cel ten nie mógłby zostać osiągnięty, gdyby jednocześnie umożliwiono państwom członkowskim ustanawianie własnych programów i zasad certyfikacji. Z tego powodu krajowe programy certyfikacji cyberbezpieczeństwa przestaną być skuteczne z chwilą ustanowienia europejskiego programu dla danego produktu czy usługi.

W rozporządzeniu przesądzono przy tym, że certyfikacja będzie dobrowolna, choć zastrzeżono też możliwość obligatoryjnej certyfikacji określonych produktów czy usług w prawie unijnym i prawie państw członkowskich. Nie jest więc wykluczone, że w przypadku wybranych produktów czy usług uzyskanie certyfikatu okaże się konieczne, by móc je oferować.

Znaczenie aktu o cyberbezpieczeństwie

Konsekwentne działania organów UE mające na celu ujednolicanie podejścia państw członkowskich do cyberbezpieczeństwa może cieszyć, zwłaszcza że zagadnienie to jest w świecie cyfrowym szczególnie istotne. Tym ważniejszym jawi się wskazanie unijnej agencji, która w sposób stały będzie sprawować ekspercką pieczę nad procesem wzmacniania ochrony cyberprzestrzeni.

Na szczególne podkreślenie zasługuje to, że w rozwiązywanie kwestii związanych z cyberbezpieczeństwem, w tym także z certyfikacją, mają zostać zaangażowani uznani specjaliści reprezentujący odpowiednich interesariuszy z takich środowisk jak sektor ICT, dostawcy publicznie dostępnych sieci lub usług łączności elektronicznej, MŚP, operatorzy usług kluczowych, grupy konsumenckie, eksperci akademiccy w dziedzinie cyberbezpieczeństwa i innych. Działać oni będą w ramach Grupy Doradczej ENISA oraz Grupy Interesariuszy ds. Certyfikacji Bezpieczeństwa. Pozostaje liczyć, że skutkiem ich prac będą rozwiązania, które nie będą oderwane od kontekstu biznesowego i najnowszych osiągnięć techniki.

Można się spodziewać, że podejmowane w najbliższych miesiącach czynności będą miały w przeważającej mierze charakter wewnętrzny i projektowy – ENISA musi przystosować się organizacyjnie do pełnienia nowej roli, muszą powstać unijne programy kroczące dotyczące programów certyfikacji, a także projekty samych programów. Niemniej jednak w dalszej perspektywie należy mieć na uwadze, że certyfikaty cyberbezpieczeństwa mają szansę stać się powszechnym rozwiązaniem. Byłoby to zresztą wyrazem pewnej tendencji w zakresie dążenia do certyfikacji poszczególnych produktów i usług, widocznej już w innych dziedzinach – jak choćby w obszarze danych osobowych (RODO również przewiduje dobrowolną certyfikację). Nie ma więc wątpliwości, że przyszłość przedsiębiorstw działających w sektorach bezpieczeństwa komputerowego ściśle łączy się z rozwiązaniami dotyczącymi certyfikacji, gdyż rozwiązania te z pewnością wpłyną na konkurencyjność producentów i usługodawców – zarówno w relacjach B2B, jak i B2C, a także w sferze zamówień publicznych.