W czwartek (27 czerwca 2019 r.) weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 17 kwietnia 2019 r. – znane jako Cybersecurity Act. Na dostosowanie krajowych aktów prawnych do nowych przepisów państwa członkowskie mają czas do 28 czerwca 2021 r.

Celem rozporządzenia jest:

Po pierwsze – wzmocnienie roli Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA). Agencja wraz z wejściem nowych przepisów uzyskała stały mandat. Został on dodatkowo rozszerzony o kompetencje koordynacji europejskiej współpracy operacyjnej w zapewnieniu bezpieczeństwa europejskiej cyberprzestrzeni. Przy okazji ENISA zmieniła nazwę. Od dziś jest Agencją Unii Europejskiej ds. Cyberbezpieczeństwa.

Po drugie – utworzenie ram dla wspólnych europejskich programów certyfikacji cyberbezpieczeństwa oprogramowania, urządzeń i usług. Wspomniane programy mają stymulować rozwój rynku w tym zakresie, a także ograniczać koszty związanie z testami i badaniami poprawności funkcjonowania oraz skuteczności mechanizmów bezpieczeństwa.

Rozszerzenie kompetencji agencji ENISA było postulowane przez wiele państw członkowskich – w tym również przez Polskę. Od chwili powstania (w 2004 r.) ENISA realizowała projekty o charakterze naukowo-badawczym i analitycznym. Mandat ENISA był okresowo przedłużany. Wraz ze wzrostem zagrożeń dla europejskiej cyberprzestrzeni i ich negatywnego wpływu na jednolity rynek cyfrowy – powstała pilna potrzeba rozszerzenia uprawnień ENISA. Chodziło o koordynację współpracy operacyjnej zespołów reagowania na incydenty bezpieczeństwa (CSIRT) we wszystkich państwach członkowskich.

Nowy mandat agencji ENISA obejmuje również przygotowanie – we współpracy z ekspertami narodowymi – organizacyjnych i technicznych podstaw dla europejskich programów certyfikacji cyberbezpieczeństwa. Takie programy będą wprowadzane przez Komisję Europejską w dedykowanych rozporządzeniach wykonawczych. Każdy program certyfikacji będzie bazował na – uzgodnionych na poziomie europejskim i niezależnych od producentów – kryteriach oceny oraz metodach badania. Ich wynikiem będzie określenie optymalnych obszarów zastosowania określonego rozwiązania.

Główną zaletą wspólnych europejskich programów certyfikacji będzie uznawanie wyników badań i certyfikatów przez wszystkie państwa członkowskie. Pozytywnie wpłynie to na zwiększenie rynkowej oferty rozwiązań służących cyberbezpieczeństwu. Większa oferta rynkowa przyczyni się do większej dostępności cenowej bezpiecznego oprogramowania, urządzeń i usług dla przedsiębiorców, a także wszystkich obywateli.

W Ministerstwie Cyfryzacji prowadzimy prace nad dostosowaniem polskiego prawa do nowych europejskich przepisów. Nasz cel to pełne wykorzystanie możliwości, które rozporządzenie wprowadza w obszarze uznawania certyfikatów na poziomie europejskim. Nowe możliwości dotyczą nie tylko polskich producentów i instytutów badawczych – zainteresowanych dalszym rozwojem kompetencji w opracowywaniu, produkcji i stosowaniu nowoczesnych metod ochrony informacji – ale i krajowych zdolności w dziedzinie badań i certyfikacji cyberbezpieczeństwa.