Cybersecurity Act już obowiązuje

W dniu 27.6.2019 r. zaczął obowiązywać tzw. akt o cyberbezpieczeństwie, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 2019/881 z 17.4.2019 r. Fakt, że systemy informatyczne stały się podstawą funkcjonowania społeczeństwa, powoduje wzrost zapotrzebowania na technologie informacyjno-komunikacyjne. Wraz z rozwojem internetowych usług i programów, maleje jakość zabezpieczeń, zwiększając zagrożenie cyberbezpieczeństwa.

Tematyka: akt o cyberbezpieczeństwie, ENISA, cyberbezpieczeństwo, certyfikacja, technologie informacyjno-komunikacyjne, cyberataki, bezpieczeństwo sieci, oprogramowanie bezpieczne, rozporządzenie UE

W dniu 27.6.2019 r. zaczął obowiązywać tzw. akt o cyberbezpieczeństwie, czyli rozporządzenie Parlamentu
Europejskiego i Rady (UE) Nr 2019/881 z 17.4.2019 r. w sprawie „Agencji UE ds. Cyberbezpieczeństwa”
ENISA, uchylenia rozporządzenia (UE) Nr 526/2013 oraz certyfikacji cyberbezpieczeństwa w zakresie
technologii informacyjno-komunikacyjnych (dalej jako: akt ws. cyberbezpieczeństwa”).
Fakt, że systemy informatyczne i powszechność usług telekomunikacyjnych stały się podstawą funkcjonowania
społeczeństwa jest najważniejszym uzasadnieniem uchwalenia nowego aktu. W konsekwencji tego zjawiska rośnie
zapotrzebowanie na technologie informacyjno-komunikacyjne, na których oparta jest gospodarka w zakresie
usług bankowych, opieki zdrowotnej, mass media. Ich rozwój i powszechność – mimo wielu zalet – zaczynają
stwarzać realne zagrożenie dla osób z nich korzystających. Wzrasta liczba usług oferowanych przez Internet,
funkcjonalność programów, a wraz z tym maleje jakość zabezpieczeń, przez co cyberbezpieczeństwo jest
zagrożone, klienci usług nie są wystarczająco i należycie informowani o oferowanych im usługach i produktach.
Wskazuje się, że cyberataki i cyberzagrożenia nie są już jednostkowe, a społeczeństwo potrzebuje silniejszej
ochrony przed tego typu zdarzeniami.
Zmiany
Rozporządzenie Nr 2019/881 określa zasady organizacji ENISA – agencji, która wraz z wejściem w życie
rozporządzenia zyskała stały mandat i stała się odpowiedzialna za koordynowanie działań związanych
z cyberbezpieczeństwem w Europie, a także ramy ustanawiania europejskich systemów certyfikacji
cyberbezpieczeństwa w celu zapewnienia odpowiedniego poziomu cyberbezpieczeństwa produktów i usług
z zakresu technologii informacyjno-komunikacyjnych w UE. Agencja uzyskała szerokie uprawnienia do
koordynacji współpracy operacyjnej zespołów reagowania na incydenty bezpieczeństwa (CSIRT)
w państwach członkowskich. Programy certyfikacji, jak wskazuje Ministerstwo Cyfryzacji, mają na celu
stymulowanie rozwoju rynku we wspomnianym wyżej zakresie, a także ograniczenie kosztów związanych
z testami oraz badaniami poprawności funkcjonowania i skuteczności systemu bezpieczeństwa. Każdy
program certyfikacji będzie oparty na uzgodnionych przez UE i niezależnych od producentów kryteriach oceny
i metodach badania. Ministerstwo twierdzi, że ma to na celu „określenie optymalnych obszarów zastosowania
określonego rozwiązania”.
Podstawa prawna
Akt o cyberbezpieczeństwie stanowi jedno z narzędzi prawnych, które mają służyć poprawie cyberbezpieczeństwa
w UE. Będzie on funkcjonował równolegle z rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr 2016/679
z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy Nr 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1 ze
zm.) i dyrektywą Parlamentu Europejskiego i Rady (UE) Nr 2016/1148 z 6.7.2016 r. w sprawie środków na rzecz
wysokiego wspólnego poziomy bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.Urz. UE L
z 2016 r. Nr 194, s. 1).
Znaczenie aktu
W wyniku opracowania i stworzenia wspólnych, europejskich programów certyfikacji wyniki badań i certyfikaty mają
być uznawane przez wszystkie państwa członkowskie, co ma przyczynić się do wzrostu oferty rozwiązań
działających na rzecz cyberbezpieczeństwa. Ma to mieć z kolei przełożenie na wzrost dostępności ofert
rynkowych z zakresu bezpiecznego oprogramowania, usług i urządzeń zarówno dla obywateli, jak
i przedsiębiorców czy instytucji.
Na dostosowanie krajowych aktów prawnych do nowych przepisów państwa członkowskie mają czas do 28.6.2021 r.

Akt o cyberbezpieczeństwie wprowadza zasady organizacji ENISA, która teraz jest odpowiedzialna za koordynację działań związanych z cyberbezpieczeństwem w Europie. Programy certyfikacji mają na celu stymulowanie rozwoju rynku technologii informacyjno-komunikacyjnych. Akt stanowi narzędzie prawne poprawy cyberbezpieczeństwa w UE.