5 min. czytania 2 lut 2024

Rozporządzenie o Cyberbezpieczeństwie (Cybersecurity Act), uchwalone przez Parlament Europejski w 2019 roku, jest drugą, po dyrektywie NIS, ogólnoeuropejską regulacją w zakresie cyberbezpieczeństwa. Poza nadaniem nowych, stałych kompetencji Agencji UE ds. Cyberbezpieczeństwa (ENISA), koncentruje się na tworzeniu europejskich ram certyfikacji dla produktów oraz usług ICT. Wraz z jego uchwaleniem pojawiło się wiele pytań dotyczących samego mechanizmu certyfikacji. Jak ma działać ten system i kto będzie odgrywał w nim główną rolę? Jakie obowiązki obejmują przedsiębiorców oraz konsumentów? 

certyfikacja cyberbezpieczeństwo

Certyfikacja w zakresie cyberbezpieczeństwa produktów, usług i procesów. Czym jest oraz co oznacza dla firm i konsumentów?

Autor Patryk Gęborys

EY Polska, Zespół Bezpieczeństwa Informacji i Technologii, Partner

Praktyk w zakresie bezpieczeństwa systemów IT i OT. Cyberaktywista. Miłośnik squasha.

5 min. czytania 2 lut 2024
Powiązane tematy Consulting Cybersecurity

Rozporządzenie o Cyberbezpieczeństwie (Cybersecurity Act), uchwalone przez Parlament Europejski w 2019 roku, jest drugą, po dyrektywie NIS, ogólnoeuropejską regulacją w zakresie cyberbezpieczeństwa. Poza nadaniem nowych, stałych kompetencji Agencji UE ds. Cyberbezpieczeństwa (ENISA), koncentruje się na tworzeniu europejskich ram certyfikacji dla produktów oraz usług ICT.

Wraz z jego uchwaleniem pojawiło się wiele pytań dotyczących samego mechanizmu certyfikacji. Jak ma działać ten system i kto będzie odgrywał w nim główną rolę? Jakie obowiązki obejmują przedsiębiorców oraz konsumentów? Na te i inne pytania odpowiadamy w naszym artykule.

Cyberbezpieczeństwo w centrum zainteresowania UE

Cyberbezpieczeństwo ewoluowało poza prosty aspekt technologii – stało się kluczowym elementem naszego globalnego społeczeństwa.

Komisja Europejska (KE), która przez ostatnie kilka lat przewodziła wysiłkom na rzecz zwiększenia bezpieczeństwa cybernetycznego za pomocą szeregu środków legislacyjnych. Działania te wskazują na zmieniającą się rzeczywistość cyfrową, która charakteryzuje się większą niż dotychczas odpowiedzialnością, podniesieniem standardów, postępem technologicznym, zwłaszcza w obszarze sztucznej inteligencji (AI) oraz solidniejszymi procesami certyfikacji. Wśród ostatnio wdrożonych aktów prawnych wymienić należy:

  • Cybersecurity Act, który wprowadził mechanizm certyfikacji produktów, usług i procesów,
  • Chips Act dotyczący rynku procesorów, którego celem jest m.in. zwiększenie niezależności technologicznej Europy,
  • dyrektywę NIS2, czyli drugą odsłonę dyrektywy dla tzw. podmiotów kluczowych w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii.

W najbliższym czasie pojawi się również dyrektywa Critical Entities Resilience (CER), która będzie dotyczyć infrastruktury krytycznej.

Takie zintensyfikowane działania prowadzone przez KE skutkują namnożeniem się prac legislacyjnych, niosących ze sobą nowe obowiązki i odpowiedzialność zarówno dla przedsiębiorstw, jak i osób fizycznych. 

W oczekiwaniu na NIS2 – stan przygotowań

Pobierz raport przygotowany we współpracy CSO Council, EY Polska i Trend Micro dotyczący gotowości firm w Polsce na przyjęcie dyrektywy NIS2 oraz wyzwań związanych z jej wdrożeniem.

Pobierz raport

Jaki jest cel certyfikacji z perspektywy klientów i przedsiębiorców?

Głównym celem Rozporządzenia o Cyberbezpieczeństwie jest umożliwienie konsumentom świadomego wyboru produktów oraz usług w zakresie oferowanego przez nich poziomu bezpieczeństwa cyfrowego. Z kolei przedsiębiorcy zyskają narzędzie potwierdzające jakość swoich wyrobów, co pozwoli im zwiększyć zaufanie wśród konsumentów.

Do niedawna certyfikacja w Europie była w dużej mierze przedsięwzięciem na poziomie krajowym w danym państwie. Porozumienie SOG-IS (Senior Official Group Information Security Systems) umożliwiało wprawdzie certyfikację na poziomie kilku krajów, ale dopiero Cybersecurity Act ujednolici ją na terenie całej Unii Europejskiej.

Warto zauważyć, że certyfikacja nie jest procesem uniwersalnym. Różne produkty, usługi lub procesy wymagają określonych kryteriów certyfikacji. Chip wykorzystywany w naszych dowodach osobistych zawsze będzie wymagać uzyskania certyfikatu o możliwie najwyższym stopniu bezpieczeństwa. Z kolei klient, wybierając router w sklepie z elektroniką, będzie mógł podjąć decyzję na podstawie poziomu bezpieczeństwa teleinformatycznego wyrażonego odpowiednim oznaczeniem.

Kiedy nowe przepisy zaczną obowiązywać i jaki będzie zakres odpowiedzialności poszczególnych podmiotów?

Obecnie ENISA pracuje nad schematami certyfikacji. Według najnowszych doniesień, Unia Europejska przyjęła już pierwszy taki program certyfikacji cyberbezpieczeństwa. EUCC (The European Cybersecurity Certification Scheme on Common Criteria), czyli europejski program certyfikacji cyberbezpieczeństwa w oparciu o wspólne kryteria, dotyczy produktów ICT, takich jak sprzęt i oprogramowanie oraz jego komponenty. 

Przyjęty akt przewiduje okres przejściowy, w którym organizacje nadal będą mogły korzystać z istniejących certyfikatów w ramach systemów krajowych w wybranych państwach członkowskich. Z czasem jednak EUCC zastąpi krajowe systemy certyfikacji, które wcześniej funkcjonowały w ramach porozumienia SOG-IS.

ENISA prowadzi prace jeszcze nad schematami w dwóch obszarach:

  1. EUCS (The European Certification Scheme for Cloud Services), czyli europejski system certyfikacji usług w chmurze, który został opracowany przy wsparciu grupy roboczej ad hoc i państw członkowskich. Tekst znajduje się na etapie opiniowania przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa (ECCG);
  2. EU5G (The European Cybersecurity Certification Scheme for 5G), czyli europejski program certyfikacji cyberbezpieczeństwa dla sieci 5G, który jest opracowywany w dwóch etapach. Jesienią 2022 roku, ENISA wraz z ekspertami zebranymi w ramach grupy roboczej ad hoc przeanalizowała istniejące systemy ocen i certyfikacji przemysłowych oraz niezbędne aktualizacje w celu zapewnienia zgodności Cybersecurity Act. Termin udostępnienia pierwszego projektu schematu jest w trakcie uzgodnień w ramach grupy roboczej AHWG (Ad-Hoc Working Group on Data Protection Engineering Ad-Hoc Working Group on Data Protection Engineering).

Po zakończeniu ścieżki legislacyjnej i opublikowaniu schematu, każdy kraj członkowski UE będzie miał także możliwość stworzenia centra certyfikacyjnego (akredytowanego laboratorium), które przejmie obowiązki wykonawcze w zakresie certyfikowania produktów i usług. Przedsiębiorcy będą mogli wtedy skorzystać z takiej możliwości i przejść proces ewaluacji.

ENISA planuje również utworzenie specjalnej strony, na której udostępni nie tylko szczegóły dotyczące samych schematów czy procesu certyfikacji, ale także listę wydanych certyfikatów oraz ośrodków, które będą je wystawiać. 

Co z certyfikatami, które już zostały wystawione i czy certyfikacja będzie obowiązkowa?

Zgodnie z zasadami Cybersecurity Act certyfikacja nie będzie obowiązkowa. To oznacza, że producent może zdecydować, czy jego produkt lub usługa ma przejść ewaluację, i czy decyzja ta nie wpłynie na możliwość jego sprzedaży. W tym miejscu jednak mogą obowiązywać inne akty, np. eIDAS, czyli rozporządzenie Parlamentu Europejskiego i Rady UE dotyczące identyfikacji elektronicznej i usług zaufania. eiDAS, który funkcjonuje w Polsce od 2016 roku, narzuca ramy zapewniające bezpieczeństwo interakcji między przedsiębiorstwami na terenie UE. Uczestnictwo w tych interakcjach jest możliwe po spełnieniu określonych warunków identyfikacji elektronicznej (certyfikacji). Rozporządzenie nie zunifikowało sposobu certyfikacji, ale wprowadziło regulacje dotyczące podpisów elektronicznych między kontrahentami. Możemy się spodziewać, że inne akty prawne także wprowadzą w swoich domenach wymagania dotyczące wykorzystywania certyfikowanych produktów lub usług. Dodatkowo państwa z UE dokonując zamówień publicznych mogą określić posiadanie ważnego certyfikatu jako jeden z warunków kupna danych usług czy produktów.

Certyfikaty, które zostały wystawione przed wejściem w życie nowych przepisów nie stracą swojej ważności, ale wydanie nowych będzie się już odbywało zgodnie z wdrożonymi schematami.

Zapisz się na newsletter „EY Tech Insights”

Otrzymuj comiesięczny zestaw najciekawszych artykułów, raportów i analiz z zakresu technologii dla biznesu. 

Zapisz się

Podsumowanie

Nie został jeszcze opublikowany tzw. rolling plan dotyczący implementacji Cybersecurity Act. Ma on w założeniu wskazywać obszary, które wymagają certyfikacji w pierwszej kolejności. Do tej pory pojawiały się jednak tylko projekty tego planu, a na ten oficjalny musimy jeszcze poczekać. O wszelkich dalszych krokach będziemy na bieżąco informować.

Informacje

Autor Patryk Gęborys

EY Polska, Zespół Bezpieczeństwa Informacji i Technologii, Partner

Praktyk w zakresie bezpieczeństwa systemów IT i OT. Cyberaktywista. Miłośnik squasha.

Powiązane tematy Consulting Cybersecurity
  • Facebook
  • LinkedIn
  • X (formerly Twitter)