Parlament Europejski sporo ostatnio robi w kwestiach związanych z bezpiecznym funkcjonowaniem Internetu. Dane osobowe użytkowników są chronione na podstawie RODO. Niektórzy mali i średni przedsiębiorcy muszą przestrzegać obowiązków wynikających z dyrektywy NIS (czyli tego co u nas jest uregulowane w ramach ustawy o krajowym systemie cyberbezpieczeństwa).
Dodatkowo, 27 czerwca 2019 na terenie UE zaczęło obowiązywać tzw. Cybersecurity Act, czyli rozporządzenie dotyczące właśnie cyberbezpieczeństwa. Jego pełna nazwa to „Rozporządzenie Parlamentu Europejskiego i Rady w sprawie Agencji UE ds. Cyberbezpieczeństwa ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych (akt ws. cyberbezpieczeństwa)”. Nazwa szumna, podobnie jak inne nazwy unijnych aktów prawnych. Przekonajmy się, czy to co jest w środku odpowiada tytułowi.
Czego dotyczy to Rozporządzenie?
Rozporządzenie dotyczy dwóch rzeczy. Pierwsza z nich to funkcjonowanie ENISA (Agencji UE do spraw. Cyberbezpieczeństwa), czyli specjalnego unijnego urzędu zajmującego się cyberbezpieczeństwem. Samo istnienie ENISA to żadna nowość, bo istnieje ona już od kilkunastu lat i ma siedzibę w Grecji. Zwiększają się jednak uprawnienia ENISA, otrzyma ona dodatkowe kompetencje i szersze spektrum możliwości. Muszę tutaj podkreślić, że początkowo ENISA była czymś w rodzaju ciała doradczego. Prowadziła jakieś swoje badania, pomagała różnym innym instytucjom UE, ale generalnie nie miała wielkich kompetencji.
Teraz ENISA będzie miała większe znaczenie. Rozporządzenie bowiem wyznacza jej następujące zadania:
Podnoszenie wiedzy na temat cyberbezpieczeństwa i edukacja jako ośrodek wiedzy fachowej.
Wykonywanie analiz technologicznych albo badanie cyberzagrożeń.
Pomoc w opracowaniu i realizacja strategii cyberbezpieczeństwa na poziomie UE – przy czym nie robi tego samodzielnie a we współpracy z innymi organami UE i odpowiednimi organami w państwach członkowskich
Wsparcie państw członkowskich w budowie defensywy przed cyberzagrożeniami.
Wsparcie współpracy między sektorami publicznymi a prywatnym w zakresie cyberbezpieczeństwa.
Koordynowanie współpracy w przypadkach transgranicznych incydentów bezpieczeństwa.
Wydawanie wytycznych i propagowanie dobrych praktyk.
Wsparcie zespołów CSIRT (computer security incident response team - zespół reagowania na incydenty z zakresu cyberbezpieczeństwa) w państwach członkowskich.
Zadań jest sporo, mam więc nadzieje, że ENISA poważnie weźmie się do roboty i będziemy widzieli efekty ich działań. Na razie musimy czekać, zwłaszcza, że dotychczas agencja pozostawała raczej w cieniu.
Czy jakieś uregulowania w Cybersecurity Act dotyczą przedsiębiorców?
Teraz czas na najistotniejszą kwestię, związaną z nowym rozporządzeniem, czyli jego drugą część. Obejmuje ona regulację dotycząca tego w jaki sposób zwiększyć bezpieczeństwo różnych urządzeń elektronicznych, dostępnych na rynku, pod kątem cyberzagrożeń.
Dlatego właśnie szereg nowych przepisów dotyczy producentów urządzeń, które można podłączyć do sieci. Dotyczy to oczywiście nie tylko komputerów i telefonów komórkowych, ale także np. lodówek, telewizorów, drukarek, samochodów i routerów. Rozporządzenie nie odnosi się zresztą tylko do produktów, ale dotyczy również usług albo procesów, a wiec nie tylko fizycznych rzeczy, a także np. usług chmurowych.
Po co to wszystko?
Unia Europejska chce doprowadzić do wzrostu znaczenia ponadnarodowych rozwiązań w zakresie certyfikacji na terenie całej Unii Europejskiej i ujednolicenia praktyk w zakresie bezpieczeństwa urządzeń IT. Dlatego zasady certyfikacji powinny być takie same na terenie całej UE. Stąd też w UE tworzy się „europejskie ramy certyfikacji cyberbezpieczeństwa” tak aby tworzyć jednolity rynek cyfrowy dotyczący cyberbezpieczeństwa. Uszczegółowieniem tego, zawierającym konkretne informacje jakie działania należy podejmować aby produkty lub usługi były bezpieczne będą „Europejskie programy certyfikacji cyberbezpieczeństwa”, które mają być przygotowany przez ENISA.
Dzięki temu przedsiębiorcy nie będą kuszeni możliwością wyszukiwania krajów, gdzie jest po prostu łatwiej otrzymać certyfikat. Oczywiście, w praktyce i tak pewne różnice będą występowały i gdzieś będzie trochę łatwiej a gdzieś trochę trudniej – kluczem jest to aby takie różnice nie były zbyt duże.
Czemu służył będzie Europejski program certyfikacji cyberbezpieczeństwa?
Europejski program certyfikacji cyberbezpieczeństwa ma służyć ocenie tego czy dany produkt lub usługa jest zgodna z określonymi wymogami bezpieczeństwa. Jakie są cele? Zapewnienie poufności, integralności, dostępności i autentyczności danych, przetwarzanych w ramach tych urządzeń – a więc to, co znamy z RODO.
Produkty, które łączą się z Internetem, lub usługi oparte o przesył danych przez Internet będą więc podlegały ocenie zgodności – a więc sprawdzeniu czy konkretne wymogi w zakresie bezpieczeństwa zostały spełnione podczas tworzenia produktu (innymi słowy: czy produkt ma wymagane zabezpieczenia).
Kto będzie przyznawał certyfikaty w zakresie cyberbezpieczeństwa?
Ocenę przeprowadza niezależny podmiot od producenta (niezależna strona trzecia).
Każde państwo będzie musiało wyznaczyć co najmniej jeden organ ogólnokrajowy, który będzie zajmował się certyfikacją cyberbezpieczeństwa. Rozporządzenie przewiduje również istnienie akredytowanych jednostek oceniających zgodność – czyli np. prywatnych podmiotów zajmujących się certyfikatami. Te drugie co do zasady będą mogły dokonywać ocen w stosunku do podstawowego lub istotnego poziomu bezpieczeństwa.
Niekiedy wspomniane europejskie programy certyfikacji cyberbezpieczenstwa mogą przewidywać również, ze certyfikacja będzie dokonywana samodzielnie przez producenta. To tak zwana „unijna deklaracja zgodności”, zgodnie z którą producent deklaruje, że jego urządzenie jest bezpieczne. I przyjmuje za to odpowiedzialność.
Dotyczyło to będzie jednak tylko tych urządzeń, które są mniej newralgiczne, a więc takich, z którymi łączy się mniejsze ryzyko ewentualnego naruszenia cyberbezpieczeństwa. Rozporządzenie nazywa tego typu poziom bezpieczeństwa „podstawowym”, wskazując, że istnieje też „istotny” lub „wysoki”. W przypadku poziomu istotnego lub wysokiego samocertyfikacja nie będzie możliwa i konieczne będzie skorzystanie z usług podmiotu trzeciego, który się tym zajmuje.
Jak będzie przebiegał proces certyfikacji?
Sam proces oceny zgodności opiera się na procedurach i technicznych metodykach, które mają potwierdzić, że produkt/usługa spełnia określone wymogi cyberbezpieczeństwa. Metodyki te zostaną opublikowane przez ENISA. Po tym następuje przyznanie produktowi Europejskiego certyfikatu cyberbezpieczeństwa.
Co oznacza podział na różne poziomy bezpieczeństwa?
Podział na poziomy bezpieczeństwa niesie za sobą pewne konsekwencje w ramach samego procesu certyfikacji. W rozporządzeniu napisano bowiem, że:
1. Urządzenia posiadające poziom podstawowy posiadają zabezpieczenia, które mają na celu zminimalizowanie znanych podstawowych ryzyk w zakresie incydentów i cyberataków. Proces ich oceny obejmuje przynajmniej przegląd dokumentacji technicznej.
2. W przypadku poziomu istotnego, urządzenia posiadają zabezpieczenia, mające na celu zminimalizowanie znanych ryzyk w cyberprzestrzeni oraz ryzyka wystąpienia incydentów i cyberataków przeprowadzanych przez osoby o ograniczonych umiejętnościach i dysponujących niewielkimi zasobami. Działania w zakresie oceny, jakie mają zostać podjęte, obejmują m.in. sprawdzenie urządzenia w celu wykazania, że nie występują w nim powszechnie znane podatności oraz testowanie w celu wykazania, że w produkcie prawidłowo zaimplementowane zostały niezbędne funkcjonalności bezpieczeństwa.
3. Jeśli chodzi o urządzenia na poziomie wysokim, to muszą one posiadać zabezpieczenia, które mają na celu zminimalizowanie ryzyka wystąpienia zaawansowanych cyberataków przeprowadzanych przez osoby o znacznych umiejętnościach i dysponujących znaczącymi zasobami. Działania w zakresie oceny, jakie mają zostać podjęte, obejmują co najmniej sprawdzenie urządzenia w celu wykazania, że nie występują w nim powszechnie znane podatności , przeprowadzenie testu w celu sprawdzenia, cz w urządzeniu prawidłowo zaimplementowane zostały niezbędne, nowoczesne funkcjonalności bezpieczeństwa oraz dokonanie oceny sprawdzającej za pomocą testów penetracyjnych ich odporność na zaawansowane ataki.
Co ważne, podmiot, który uzyskał certyfikat dla swojego produktu musi poza tym udostępnić użytkownikowi:
porady i zalecenia mające pomóc użytkownikom końcowym w bezpiecznych: konfiguracji, instalacji, uruchomieniu, obsłudze i utrzymaniu produktów lub usług;
informacje o okresie, w którym użytkownikom końcowym oferowane jest wsparcie w zakresie bezpieczeństwa, w szczególności pod względem dostępności aktualizacji związanych z cyberbezpieczeństwem;
informacje kontaktowe wytwórcy lub dostawcy (…)
odesłanie do repozytoriów internetowych zawierających wykaz podanych do wiadomości publicznej podatności związanych z produktami, usługami lub procesami oraz poradników dotyczących cyberbezpieczeństwa.
Jakie dokładnie produkty i usługi będą podlegały poszczególnym certyfikatom? Tego jeszcze nie wiadomo - to ustali Komisja Europejska i ENISA.
Certyfikacja cyberbezpieczeństwa będzie dobrowolna. Niekiedy jednak przepisy UE lub przepisy jakiegoś państwa członkowskiego mogą wskazywać na to, że jest ona obowiązkiem. Tak może być np. w przypadku nabywania produktów w przetargach publicznych. Jeżeli taki obowiązek zostałby wprowadzony, będzie to duża motywacja dla przedsiębiorców, aby starać się o uzyskanie certyfikatów.
Jeżeli chcesz dowiedzieć się więcej na temat tego w jaki sposób prawo mówi o cyberbezpieczeństwie, zapraszam Cię do przeczytania mojej publikacji na ten temat. Jeśli masz jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.
