Computer nis dobry rozmiar

Spójna certyfikacja sercem ekosystemu cyberbezpieczeństwa UE?


Certyfikacja ma zasadnicze znaczenie dla zwiększenia zaufania i bezpieczeństwa kluczowych towarów i usług cyfrowych. Obecnie w ramach UE funkcjonują programy certyfikacji usług i produktów teleinformatycznych, jednak bez spójnych ram w ramach całej Unii ryzyko fragmentacji i rosnących barier między państwami członkowskimi będzie stale wzrastać. Konieczne jest zatem stworzenie harmonijnego podejścia w tym obszarze. Certyfikacja europejska ma poświadczać, że produkty i usługi teleinformatyczne, które zostały certyfikowane w ramach takiego systemu są zgodne z wszelkimi wymaganymi specyfikacjami. Jak kręta będzie ścieżka do stworzenia jednolitej certyfikacji na poziomie całej Unii i czy ostatecznie będzie to w ogóle możliwe?

Wymóg korzystania z certyfikowanych produktów, usług i procesów ICT

Już na wstępie dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) stanowi, że „W celu wykazania zgodności ze środkami zarządzania ryzykiem w cyberbezpieczeństwie i w razie braku odpowiednich europejskich programów certyfikacji cyberbezpieczeństwa przyjętych zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 (Rozporządzenie (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013) (Akt o cyberbezpieczeństwie), państwa członkowskie powinny, w porozumieniu z Grupą Współpracy i Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa, promować stosowanie odpowiednich norm europejskich i międzynarodowych przez podmioty kluczowe i ważne lub mogą wymagać od podmiotów korzystania z certyfikowanych produktów ICT, usług ICT i procesów ICT.” W dalszej części określa również, iż Komisja Europejska wskaże które kategorie podmiotów kluczowych i ważnych maja być zobowiązane do korzystania z niektórych certyfikowanych produktów, usług i procesów teleinformatycznych lub uzyskania certyfikacji na podstawie europejskiego systemu certyfikacji cyberbezpieczeństwa. Dyrektywa NIS2 stanowi, że państwa członkowskie UE mogą wymagać od podmiotów objętych dyrektywą NIS2 certyfikacji o charakterze wynikającym z Aktu o cyberbezpieczeństwie. 

Akt o cyberbezpieczeństwie po raz pierwszy wprowadza ogólnounijne przepisy dotyczące certyfikacji produktów, procesów i usług w zakresie cyberbezpieczeństwa. Dokument został opublikowany 7 czerwca 2019 roku a przedstawiony już we wrześniu 2017 roku jako część tzw. pakietu cyberbezpieczeństwa. Jest to druga, po dyrektywie NIS (dyrektywa (UE) 2016/1148 z dnia 6 lipca 2016 r.), regulacja w obszarze cyberbezpieczeństwa na poziomie całej UE. Akt o cyberbezpieczeństwie składa się z dwóch części. Pierwsza z nich tworzy nowy, stały mandat dla ENISA, której rola została znacznie wzmocniona. Tworząc podstawy techniczne dla niektórych systemów certyfikacji, ENISA odegra kluczową rolę w ich powstawaniu oraz utrzymywaniu europejskich ram cyberbezpieczeństwa. Będzie miała również za zadanie, poprzez dedykowaną stronę internetową, informować opinię publiczną o programach certyfikacji i przyznanych certyfikatach. Druga część dotyczy europejskich ram certyfikacji cyberbezpieczeństwa dla produktów i usług teleinformatycznych. Ta zmiana jest o tyle kluczowa, że zmieni obecnie funkcjonujący model SOGIS.

Unijny system certyfikacji cyberbezpieczeństwa

Jednym z celów ENISA jest stworzenie unijnego systemu certyfikacji cyberbezpieczeństwa usług w chmurze. Celem tego programu jest dalsza poprawa warunków rynku wewnętrznego UE dla usług chmurowych poprzez wzmocnienie i usprawnienie gwarancji bezpieczeństwa cybernetycznego usług. Jest to kompleksowy zbiór zasad, standardów i procedur uzgodnionych na szczeblu europejskim w celu oceny właściwości cyberbezpieczeństwa określonego produktu, usługi lub procesu. Program ten jest częścią Europejskich Ram Certyfikacji Cyberbezpieczeństwa (wraz z ogólnymi standardami bezpieczeństwa ICT i 5G). 

Warto zauważyć, że o ile programy certyfikacji cyberbezpieczeństwa przygotowywane są na poziomie UE, to sam proces certyfikacji realizowany jest w poszczególnych państwach członkowskich. Dlatego też konieczne jest powołanie w tym celu odpowiednich organów krajowych odpowiedzialnych za certyfikację, akredytację oraz ocenę zgodności.

Unia Europejska swoje stanowisko określiła również w nowatorskim, a jednocześnie bardzo daleko idącym w swoich implikacjach przepisie przygotowywanego nowego unijnego rozporządzenia Cyber Resilience Act (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające Rozporządzenie (UE) 2019/1020, COM (2022) 454 final) (CRA). Artykuł 18 par. 3 CRA stanowi, że „produkty z elementami cyfrowymi i procesami wprowadzonymi przez producenta, dla których wydano deklarację zgodności UE lub certyfikat w ramach europejskiego programu certyfikacji cyberbezpieczeństwa przyjętego zgodnie z Rozporządzeniem 2019/881 i określone w par. 4, będzie uznany za zgodny z zasadniczymi wymaganiami określonymi w załączniku I, o ile deklaracja zgodności UE lub certyfikat cyberbezpieczeństwa lub jego części, obejmują te wymagania.” 

Zarówno dyrektywa NIS2, jak i szereg innych regulacji (m.in. CRA czy ogólnie działania podejmowane przez ENISA) wskazują certyfikację jako jeden z najważniejszych elementów w obszarze cyberbezpieczeństwa. Przedsiębiorstwa objęte dyrektywą NIS2 powinny zwrócić szczególną uwagę na rozwój systemów certyfikacji i rozpocząć stosowne przygotowania, gdy tylko pojawi się odpowiednia procedura. W szczególności stworzenie odpowiedniego systemu certyfikacji może okazać się jednym ze sposobów ograniczenia kosztów związanych z wdrożeniem nowych wymogów przez poszczególne podmioty. Dodatkowo, jedna i spójna w ramach całej Unii certyfikacja oznaczać będzie brak konieczności ubiegania się o certyfikat w każdym kraju, w którym dana firma chciałaby oferować swoje produkty lub usługi. Wypracowanie systemu certyfikacji na poziomie europejskim zaadresuje obecnie ułomne podejście, które nie gwarantuje bezpieczeństwa danego produktu czy usługi ICT a jedynie potwierdza przeprowadzenie procesu certyfikacji. 
 


Spójna w ramach całej Unii certyfikacja oznaczać będzie brak konieczności ubiegania się o certyfikat w każdym kraju, w którym dana firma chciałaby oferować swoje produkty lub usługi.




Podsumowanie

Należy mieć na uwadze, że unijny program certyfikacji prawdopodobnie podniesie poprzeczkę regulacyjną dla produktów i usług telekomunikacyjnych, co może stanowić ograniczenie dla nowego gracza do wejścia i konkurowania na rynku w określonym czasie. Wymagać będzie wprowadzenia obszernych przepisów, specyfikacji technicznych, standardów i procedur obowiązujących w całej UE. Ponadto, poza koniecznością dostosowania się do wymogów nowej dyrektywy NIS2, co szczególnie dla firm, których do tej pory przepisy dyrektywy NIS w tym zakresie nie obowiązywały, stanowić będzie już samo w sobie spore wyzwanie, dodatkowym wysiłkiem będzie konieczność zaangażowania zasobów w zbudowanie kompleksowych i spójnych schematów certyfikacji. 
 

Kontakt

Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.


Informacje

Powiazane artykuly

Raport EY: The future of cybersecurity in Europe. Challenges related to the NIS2 Directive

Pobierz raport EY: "The future of cybersecurity in Europe. Challenges related to the NIS2 Directive" i dowiedz się więcej o Dyrektywie NIS2 oraz jak się do niej skutecznie przygotować

Jak NIS2 wpłynie na podejście do bezpieczeństwa łańcucha dostaw?

Jednym z najważniejszych elementów Dyrektywy NIS2 są normy dotyczące oceny bezpieczeństwa łańcucha dostaw (supply chain security). Czy ich praktyczna implementacja okaże się problematyczna?