Wchodzi w życie unijna ustawa o cyberbezpieczeństwie. Europejska agencja ENISA zyska nowe uprawnienia, ujednolicona zostanie także certyfikacja produktów

27 czerwca wchodzi w życie Cybersecurity Act, czyli unijna ustawa o cyberbezpieczeństwie. Dzięki niej mają powstać ujednolicone przepisy związane z certyfikacją produktów, procesów i usług pod kątem bezpieczeństwa cybernetycznego. Tymczasem cyberprzestępczość staje się coraz poważniejszym zagrożeniem o globalnej skali. Koszty wynikające z tego typu przestępstw przekroczą w 2019 roku kwotę 2 bln dol.

– Cybersecurity Act, czyli akt dotyczący cyberbezpieczeństwa, to pakiet dwóch głównych grup regulacji. Pierwsza dotyczy organizacji ENISA, czyli agencji odpowiedzialnej za koordynację działań wokół cyberbezpieczeństwa w Europie. Akt ustanawia mandat ENISY, czyli prawo do funkcjonowania i posiadania odpowiednich środków na to, żeby stale rozwijać swoje działanie. Obszar jej kompetencji zostaje rozszerzony o certyfikację. Druga część tego pakietu zmian dotyczy stworzenia warunków do paneuropejskiej, czyli uznawanej przez państwa członkowskie certyfikacji – zapowiada w rozmowie z agencją informacyjną Newseria Innowacje Karol Okoński, podsekretarz stanu w Ministerstwie Cyfryzacji.

W ostatnim czasie cyberbezpieczeństwo stało się dla Brukseli priorytetem. Ustawa o cyberbezpieczeństwie stanowi kolejną część zestawu narzędzi prawnych mających służyć poprawie bezpieczeństwa cybernetycznego w Unii Europejskiej. Cybersecurity Act będzie działał równolegle z unijnym ogólnym rozporządzeniem o ochronie danych osobowych (RODO) oraz unijną dyrektywą o bezpieczeństwie sieci i informacji (dyrektywa NIS), której celem jest ochrona krytycznej infrastruktury krajowej. Podczas gdy dyrektywa NIS dotyczy tylko operatorów podstawowych usług i dostawców usług cyfrowych, ustawa o cyberbezpieczeństwie ma zachęcać wszystkie przedsiębiorstwa do większych inwestycji w cyberbezpieczeństwo. Kluczową rolę odegra w tym procesie certyfikacja.

– Popularyzacja certyfikacji jako metody zagwarantowania odpowiedniego poziomu bezpieczeństwa pozwoli uzyskać dużo większy potencjał certyfikacji produktów w ogóle. Państwo np. będzie mogło w większym stopniu wymagać spełnienia tych norm, bo będzie to element, który bezpośrednio wpływa na podniesienie bezpieczeństwa – twierdzi Karol Okoński.

Nowe zasady mogą pomóc konsumentom w wyborze urządzeń, z których korzystają na co dzień. Certyfikowany sprzęt przynajmniej w teorii powinien być bezpieczniejszy. Skorzystać mają także firmy. Kompleksowa i jednolita dla Unii certyfikacja doprowadzi do znacznych oszczędności dla przedsiębiorstw, zwłaszcza z sektora MŚP. Gdyby nie powstały jednolite certyfikaty, firmy musiałyby się ubiegać o kilka certyfikatów w kilku krajach. Pojedyncza certyfikacja usunie również potencjalne bariery wejścia na rynek.

Powołana w 2004 r. Europejska Agencja Bezpieczeństwa Sieci i Informacji skupi się bardziej na działaniach związanych z rozwojem i badaniami. Będzie niezależnym ośrodkiem wiedzy specjalistycznej, który pomoże promować wysoki poziom świadomości obywateli i przedsiębiorstw w sprawach związanych z cyberbezpieczeństwem, a także wesprze instytucje UE i państwa członkowskie w opracowywaniu i wdrażaniu polityki w tym zakresie.

– Jej działania mają spowodować wprowadzenie pewnego poziomu rekomendacji czy standardów, które będą pewnym minimum do spełnienia przez poszczególne kraje. Będzie to też koordynacja działań w przypadku incydentów, które mają charakter wykraczający poza jedno państwo. Wtedy faktycznie ta rola koordynacyjna, międzyeuropejska jest wykonywana przez ENISĘ po to, żeby rozpoznając incydent w jednym kraju, móc jak najszybciej zatrzymać jego rozprzestrzenianie się na kolejne kraje czy powstrzymać jego konsekwencje czy efekty – mówi podsekretarz stanu w Ministerstwie Cyfryzacji.

Brak działań wzmacniających cyberbezpieczeństwo może być bardzo kosztowny dla światowej gospodarki. Według szacunków zawartych w raporcie Jupiter Research całkowity koszt wynikający z cyberprzestępczości ma w tym roku przekroczyć 2 bln dol. W ciągu ostatnich czterech lat wartość ta wzrosła aż czterokrotnie. Z kolei według badań sporządzonych przez firmę analityczno-doradczą Gallup, aż 71 proc. Amerykanów obawia się o kradzież swoich danych osobowych lub finansowych. Dla porównania tylko 24 proc. ankietowanych wyraziło obawę przed atakiem terrorystycznym, a 17 proc. – przed morderstwem.