Reklama.
Reklama.
Reklama.
Walka o cyberbezpieczeństwo. Jest zgoda co do przekrojowego aktu prawnego o cyberbezpieczeństwie!
02 stycznia 2019, 14:05·3 minuty czytania
Publikacja artykułu: 02 stycznia 2019, 14:05W nocy z 10 na 11 grudnia przedstawiciele Parlamentu Europejskiego, Rady i Komisji Europejskiej doszli do porozumienia w sprawie EU Cybersecurity Act. Jest to akt prawny, którego podstawowym zadaniem jest zdecydowanie większa wykrywalność i skuteczność w zwalczaniu zagrożeń cyfrowych.
Reklama.
Potrzeba regulacji
Cyberbezpieczeństwo jest jednym z najczęściej wymienianych w ostatnim czasie słów kluczowych zaraz obok sztucznej inteligencji i samochodów autonomicznych. Jest ono zarazem (a raczej jego utrzymanie) coraz większym wyzwaniem, z którym nie radzi sobie żaden kraj.
Cyberbezpieczeństwo jest jednym z najczęściej wymienianych w ostatnim czasie słów kluczowych zaraz obok sztucznej inteligencji i samochodów autonomicznych. Jest ono zarazem (a raczej jego utrzymanie) coraz większym wyzwaniem, z którym nie radzi sobie żaden kraj.
W Polsce stosunkowo niedawno weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa. Jest to akt prawny obejmujący tematykę cyberbezpieczeństwa i wymagania, które są związane z jego zapewnieniem na terenie naszego państwa. Można zatem odnieść wrażenie, że przodujemy w tej tematyce w Unii Europejskiej. Nic bardziej mylnego. Ustawa o krajowym systemie cyberbezpieczeństwa jest bowiem aktem prawnym wdrażającym do wewnętrznego systemu prawnego postanowienia Dyrektywy NIS (Dyrektywa 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Ten akt prawny dotyczy jednak tylko wybranych obszarów, których ochrona przed atakami sieciowymi została uznana za najpilniejszą (np. dostawcy wody pitnej, energii itp.). Do tej pory nie dysponujemy zatem żadnym aktem prawnym, który w sposób kompleksowy podchodziłby do kwestii cyberbezpieczeństwa i ustalał odpowiedni poziom bezpieczeństwa (albo wskazywał punkty odniesienia).
Jednocześnie należy wskazać na fakty dotyczące procederu będącego podstawą dla całości rozważań – cyberzagrożeń. Unia Europejska w swoich oficjalnych komunikatach wskazuje, ze w latach 2015-2017 liczba ataków typu ransomware wzrosła o 300% a przypadki ataków dotyczyły 80% firm jedynie w 2016 r. Te same firmy wydają coraz większe kwoty na przedsięwzięcia związane z cyberbezpieczeństwem od wdrożenia odpowiednich procedur i zabezpieczeń, przez wykrywanie i niwelowanie incydentów aż do zarządzania nimi.
Najważniejsze elementy
Propozycja nowej regulacji składa się z dwóch zasadniczych elementów, które są najczęściej podkreślane: wzmocnienie mandatu ENISA (European Union Agency for Network and Information and Security) i wyznaczenie ram dla certyfikacji. Oprócz wskazanych środków w ramach projektowanego aktu prawnego znajduje się również szereg rozwiązań o mniejszym znaczeniu w kontekście całokształtu systemu cyberbezpieczeństwa.
Propozycja nowej regulacji składa się z dwóch zasadniczych elementów, które są najczęściej podkreślane: wzmocnienie mandatu ENISA (European Union Agency for Network and Information and Security) i wyznaczenie ram dla certyfikacji. Oprócz wskazanych środków w ramach projektowanego aktu prawnego znajduje się również szereg rozwiązań o mniejszym znaczeniu w kontekście całokształtu systemu cyberbezpieczeństwa.
Pierwszym z wartych omówienia elementów jest wzmocnienie mandatu ENISA. ENISA to ciało UE odpowiedzialne za kwestie związane z ochroną informacji. W chwili obecnej ENISA nie posiada stałego mandatu a jej obecny wygasałby w 2020 r. Jest to znaczące ograniczenie dla wykonywania jej zadań z uwagi na fakt ograniczenia horyzontu czasowego, dla którego można planować określone działania. Zgodnie z projektowanym aktem prawnym ENISA będzie stałą agencją UE ds. cyberbezpieczeństwa co wiąże się również ze wzrostem środków, którymi będzie dysponowała.
Wprowadzenie systemu certyfikacyjnego jest drugą z proponowanych nowości. System ten ma dotyczyć produktów, procesów lub usług w ramach UE. Wymagania i standardy takiej certyfikacji mają być opracowywane przez ENISA, Komisję Europejską i wszelkie podmioty mające w tym swój interes. Opracowywanie wymagań ma być oparte na zasadzie podejścia opartego na analizie ryzyka (risk based approach) znanego już szerzej np. z RODO.
Co ciekawe, Komisja Europejska planuje również zaprojektować listę produktów, które wymagać będą obowiązkowej certyfikacji w zakresie cyberbezpieczeństwa. Jest to dość ciekawe rozwiązanie zaczerpnięte, jak się wydaje, z pokrewnych dziedzin, w ramach których wymagana jest certyfikacja bezpieczeństwa produktów lub żywności. Z całą pewnością na projektowanej liście znajdzie się większość produktów IoT, których zabezpieczenie jest obecnie jednym z największych wyzwań. Komisja planuje przygotować omawianą listę do 2023 r.
Reklama.