Certyfikacja ma zasadnicze znaczenie dla zwiększenia zaufania i bezpieczeństwa kluczowych towarów i usług cyfrowych. Obecnie w ramach UE funkcjonują programy certyfikacji usług i produktów teleinformatycznych, jednak bez spójnych ram w ramach całej Unii ryzyko fragmentacji i rosnących barier między państwami członkowskimi będzie stale wzrastać. Konieczne jest zatem stworzenie harmonijnego podejścia w tym obszarze. Certyfikacja europejska ma poświadczać, że produkty i usługi teleinformatyczne, które zostały certyfikowane w ramach takiego systemu są zgodne z wszelkimi wymaganymi specyfikacjami. Jak kręta będzie ścieżka do stworzenia jednolitej certyfikacji na poziomie całej Unii i czy ostatecznie będzie to w ogóle możliwe?
Wymóg korzystania z certyfikowanych produktów, usług i procesów ICT
Już na wstępie dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) stanowi, że „W celu wykazania zgodności ze środkami zarządzania ryzykiem w cyberbezpieczeństwie i w razie braku odpowiednich europejskich programów certyfikacji cyberbezpieczeństwa przyjętych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 (Rozporządzenie (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013) (Akt o cyberbezpieczeństwie), państwa członkowskie powinny, w porozumieniu z Grupą Współpracy i Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa, promować stosowanie odpowiednich norm europejskich i międzynarodowych przez podmioty kluczowe i ważne lub mogą wymagać od podmiotów korzystania z certyfikowanych produktów ICT, usług ICT i procesów ICT.” W dalszej części określa również, iż Komisja Europejska wskaże które kategorie podmiotów kluczowych i ważnych maja być zobowiązane do korzystania z niektórych certyfikowanych produktów, usług i procesów teleinformatycznych lub uzyskania certyfikacji na podstawie europejskiego systemu certyfikacji cyberbezpieczeństwa. Dyrektywa NIS2 stanowi, że państwa członkowskie UE mogą wymagać od podmiotów objętych dyrektywą NIS2 certyfikacji o charakterze wynikającym z Aktu o cyberbezpieczeństwie.
Akt o cyberbezpieczeństwie po raz pierwszy wprowadza ogólnounijne przepisy dotyczące certyfikacji produktów, procesów i usług w zakresie cyberbezpieczeństwa. Dokument został opublikowany 7 czerwca 2019 roku a przedstawiony już we wrześniu 2017 roku jako część tzw. pakietu cyberbezpieczeństwa. Jest to druga, po dyrektywie NIS (dyrektywa (UE) 2016/1148 z dnia 6 lipca 2016 r.), regulacja w obszarze cyberbezpieczeństwa na poziomie całej UE. Akt o cyberbezpieczeństwie składa się z dwóch części. Pierwsza z nich tworzy nowy, stały mandat dla ENISA, której rola została znacznie wzmocniona. Tworząc podstawy techniczne dla niektórych systemów certyfikacji, ENISA odegra kluczową rolę w ich powstawaniu oraz utrzymywaniu europejskich ram cyberbezpieczeństwa. Będzie miała również za zadanie, poprzez dedykowaną stronę internetową, informować opinię publiczną o programach certyfikacji i przyznanych certyfikatach. Druga część dotyczy europejskich ram certyfikacji cyberbezpieczeństwa dla produktów i usług teleinformatycznych. Ta zmiana jest o tyle kluczowa, że zmieni obecnie funkcjonujący model SOGIS.
Unijny system certyfikacji cyberbezpieczeństwa
Jednym z celów ENISA jest stworzenie unijnego systemu certyfikacji cyberbezpieczeństwa usług w chmurze. Celem tego programu jest dalsza poprawa warunków rynku wewnętrznego UE dla usług chmurowych poprzez wzmocnienie i usprawnienie gwarancji bezpieczeństwa cybernetycznego usług. Jest to kompleksowy zbiór zasad, standardów i procedur uzgodnionych na szczeblu europejskim w celu oceny właściwości cyberbezpieczeństwa określonego produktu, usługi lub procesu. Program ten jest częścią Europejskich Ram Certyfikacji Cyberbezpieczeństwa (wraz z ogólnymi standardami bezpieczeństwa ICT i 5G).
Warto zauważyć, że o ile programy certyfikacji cyberbezpieczeństwa przygotowywane są na poziomie UE, to sam proces certyfikacji realizowany jest w poszczególnych państwach członkowskich. Dlatego też konieczne jest powołanie w tym celu odpowiednich organów krajowych odpowiedzialnych za certyfikację, akredytację oraz ocenę zgodności.
Unia Europejska swoje stanowisko określiła również w nowatorskim, a jednocześnie bardzo daleko idącym w swoich implikacjach przepisie przygotowywanego nowego unijnego rozporządzenia Cyber Resilience Act (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające Rozporządzenie (UE) 2019/1020, COM (2022) 454 final) (CRA). Artykuł 18 par. 3 CRA stanowi, że „produkty z elementami cyfrowymi i procesami wprowadzonymi przez producenta, dla których wydano deklarację zgodności UE lub certyfikat w ramach europejskiego programu certyfikacji cyberbezpieczeństwa przyjętego zgodnie z Rozporządzeniem 2019/881 i określone w par. 4, będzie uznany za zgodny z zasadniczymi wymaganiami określonymi w załączniku I, o ile deklaracja zgodności UE lub certyfikat cyberbezpieczeństwa lub jego części, obejmują te wymagania.”
Zarówno dyrektywa NIS2, jak i szereg innych regulacji (m.in. CRA czy ogólnie działania podejmowane przez ENISA) wskazują certyfikację jako jeden z najważniejszych elementów w obszarze cyberbezpieczeństwa. Przedsiębiorstwa objęte dyrektywą NIS2 powinny zwrócić szczególną uwagę na rozwój systemów certyfikacji i rozpocząć stosowne przygotowania, gdy tylko pojawi się odpowiednia procedura. W szczególności stworzenie odpowiedniego systemu certyfikacji może okazać się jednym ze sposobów ograniczenia kosztów związanych z wdrożeniem nowych wymogów przez poszczególne podmioty. Dodatkowo, jedna i spójna w ramach całej Unii certyfikacja oznaczać będzie brak konieczności ubiegania się o certyfikat w każdym kraju, w którym dana firma chciałaby oferować swoje produkty lub usługi. Wypracowanie systemu certyfikacji na poziomie europejskim zaadresuje obecnie ułomne podejście, które nie gwarantuje bezpieczeństwa danego produktu czy usługi ICT a jedynie potwierdza przeprowadzenie procesu certyfikacji.