Wzmocnienie roli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) oraz utworzenie ram dla wspólnych europejskich programów certyfikacji cyberbezpieczeństwa oprogramowania, urządzeń i usług – to główne cele wchodzącego dziś w życie prawa.
W czwartek (27 czerwca 2019 r.) weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 17 kwietnia 2019 r. – znane jako Cybersecurity Act. Na dostosowanie krajowych aktów prawnych do nowych przepisów państwa członkowskie mają czas do 28 czerwca 2021 r.
Celem rozporządzenia jest:
Po pierwsze – wzmocnienie roli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA). Agencja wraz z wejściem nowych przepisów uzyskała stały mandat. Został on dodatkowo rozszerzony o kompetencje koordynacji europejskiej współpracy operacyjnej w zapewnieniu bezpieczeństwa europejskiej cyberprzestrzeni. Przy okazji ENISA zmieniła nazwę. Od dziś jest Agencją Unii Europejskiej ds. Cyberbezpieczeństwa.
Po drugie – utworzenie ram dla wspólnych europejskich programów certyfikacji cyberbezpieczeństwa oprogramowania, urządzeń i usług. Wspomniane programy mają stymulować rozwój rynku w tym zakresie, a także ograniczać koszty związanie z testami i badaniami poprawności funkcjonowania oraz skuteczności mechanizmów bezpieczeństwa.
Rozszerzenie kompetencji agencji ENISA było postulowane przez wiele państw członkowskich – w tym również przez Polskę. Od chwili powstania (w 2004 r.) ENISA realizowała projekty o charakterze naukowo-badawczym i analitycznym. Mandat ENISA był okresowo przedłużany. Wraz ze wzrostem zagrożeń dla europejskiej cyberprzestrzeni i ich negatywnego wpływu na jednolity rynek cyfrowy – powstała pilna potrzeba rozszerzenia uprawnień ENISA. Chodziło o koordynację współpracy operacyjnej zespołów reagowania na incydenty bezpieczeństwa (CSIRT) we wszystkich państwach członkowskich.
Nowy mandat agencji ENISA obejmuje również przygotowanie – we współpracy z ekspertami narodowymi – organizacyjnych i technicznych podstaw dla europejskich programów certyfikacji cyberbezpieczeństwa. Takie programy będą wprowadzane przez Komisję Europejską w dedykowanych rozporządzeniach wykonawczych. Każdy program certyfikacji będzie bazował na – uzgodnionych na poziomie europejskim i niezależnych od producentów – kryteriach oceny oraz metodach badania. Ich wynikiem będzie określenie optymalnych obszarów zastosowania określonego rozwiązania.
Główną zaletą wspólnych europejskich programów certyfikacji będzie uznawanie wyników badań i certyfikatów przez wszystkie państwa członkowskie. Pozytywnie wpłynie to na zwiększenie rynkowej oferty rozwiązań służących cyberbezpieczeństwu. Większa oferta rynkowa przyczyni się do większej dostępności cenowej bezpiecznego oprogramowania, urządzeń i usług dla przedsiębiorców, a także wszystkich obywateli.
W Ministerstwie Cyfryzacji prowadzimy prace nad dostosowaniem polskiego prawa do nowych europejskich przepisów. Nasz cel to pełne wykorzystanie możliwości, które rozporządzenie wprowadza w obszarze uznawania certyfikatów na poziomie europejskim. Nowe możliwości dotyczą nie tylko polskich producentów i instytutów badawczych – zainteresowanych dalszym rozwojem kompetencji w opracowywaniu, produkcji i stosowaniu nowoczesnych metod ochrony informacji – ale i krajowych zdolności w dziedzinie badań i certyfikacji cyberbezpieczeństwa.