W oczekiwaniu na NIS2 – stan przygotowań
Pobierz raport przygotowany we współpracy CSO Council, EY Polska i Trend Micro dotyczący gotowości firm w Polsce na przyjęcie dyrektywy NIS2 oraz wyzwań związanych z jej wdrożeniem.
Jaki jest cel certyfikacji z perspektywy klientów i przedsiębiorców?
Głównym celem Rozporządzenia o Cyberbezpieczeństwie jest umożliwienie konsumentom świadomego wyboru produktów oraz usług w zakresie oferowanego przez nich poziomu bezpieczeństwa cyfrowego. Z kolei przedsiębiorcy zyskają narzędzie potwierdzające jakość swoich wyrobów, co pozwoli im zwiększyć zaufanie wśród konsumentów.
Do niedawna certyfikacja w Europie była w dużej mierze przedsięwzięciem na poziomie krajowym w danym państwie. Porozumienie SOG-IS (Senior Official Group Information Security Systems) umożliwiało wprawdzie certyfikację na poziomie kilku krajów, ale dopiero Cybersecurity Act ujednolici ją na terenie całej Unii Europejskiej.
Warto zauważyć, że certyfikacja nie jest procesem uniwersalnym. Różne produkty, usługi lub procesy wymagają określonych kryteriów certyfikacji. Chip wykorzystywany w naszych dowodach osobistych zawsze będzie wymagać uzyskania certyfikatu o możliwie najwyższym stopniu bezpieczeństwa. Z kolei klient, wybierając router w sklepie z elektroniką, będzie mógł podjąć decyzję na podstawie poziomu bezpieczeństwa teleinformatycznego wyrażonego odpowiednim oznaczeniem.
Kiedy nowe przepisy zaczną obowiązywać i jaki będzie zakres odpowiedzialności poszczególnych podmiotów?
Obecnie ENISA pracuje nad schematami certyfikacji. Według najnowszych doniesień, Unia Europejska przyjęła już pierwszy taki program certyfikacji cyberbezpieczeństwa. EUCC (The European Cybersecurity Certification Scheme on Common Criteria), czyli europejski program certyfikacji cyberbezpieczeństwa w oparciu o wspólne kryteria, dotyczy produktów ICT, takich jak sprzęt i oprogramowanie oraz jego komponenty.
Przyjęty akt przewiduje okres przejściowy, w którym organizacje nadal będą mogły korzystać z istniejących certyfikatów w ramach systemów krajowych w wybranych państwach członkowskich. Z czasem jednak EUCC zastąpi krajowe systemy certyfikacji, które wcześniej funkcjonowały w ramach porozumienia SOG-IS.
ENISA prowadzi prace jeszcze nad schematami w dwóch obszarach:
- EUCS (The European Certification Scheme for Cloud Services), czyli europejski system certyfikacji usług w chmurze, który został opracowany przy wsparciu grupy roboczej ad hoc i państw członkowskich. Tekst znajduje się na etapie opiniowania przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa (ECCG);
- EU5G (The European Cybersecurity Certification Scheme for 5G), czyli europejski program certyfikacji cyberbezpieczeństwa dla sieci 5G, który jest opracowywany w dwóch etapach. Jesienią 2022 roku, ENISA wraz z ekspertami zebranymi w ramach grupy roboczej ad hoc przeanalizowała istniejące systemy ocen i certyfikacji przemysłowych oraz niezbędne aktualizacje w celu zapewnienia zgodności Cybersecurity Act. Termin udostępnienia pierwszego projektu schematu jest w trakcie uzgodnień w ramach grupy roboczej AHWG (Ad-Hoc Working Group on Data Protection Engineering Ad-Hoc Working Group on Data Protection Engineering).
Po zakończeniu ścieżki legislacyjnej i opublikowaniu schematu, każdy kraj członkowski UE będzie miał także możliwość stworzenia centra certyfikacyjnego (akredytowanego laboratorium), które przejmie obowiązki wykonawcze w zakresie certyfikowania produktów i usług. Przedsiębiorcy będą mogli wtedy skorzystać z takiej możliwości i przejść proces ewaluacji.
ENISA planuje również utworzenie specjalnej strony, na której udostępni nie tylko szczegóły dotyczące samych schematów czy procesu certyfikacji, ale także listę wydanych certyfikatów oraz ośrodków, które będą je wystawiać.
Co z certyfikatami, które już zostały wystawione i czy certyfikacja będzie obowiązkowa?
Zgodnie z zasadami Cybersecurity Act certyfikacja nie będzie obowiązkowa. To oznacza, że producent może zdecydować, czy jego produkt lub usługa ma przejść ewaluację, i czy decyzja ta nie wpłynie na możliwość jego sprzedaży. W tym miejscu jednak mogą obowiązywać inne akty, np. eIDAS, czyli rozporządzenie Parlamentu Europejskiego i Rady UE dotyczące identyfikacji elektronicznej i usług zaufania. eiDAS, który funkcjonuje w Polsce od 2016 roku, narzuca ramy zapewniające bezpieczeństwo interakcji między przedsiębiorstwami na terenie UE. Uczestnictwo w tych interakcjach jest możliwe po spełnieniu określonych warunków identyfikacji elektronicznej (certyfikacji). Rozporządzenie nie zunifikowało sposobu certyfikacji, ale wprowadziło regulacje dotyczące podpisów elektronicznych między kontrahentami. Możemy się spodziewać, że inne akty prawne także wprowadzą w swoich domenach wymagania dotyczące wykorzystywania certyfikowanych produktów lub usług. Dodatkowo państwa z UE dokonując zamówień publicznych mogą określić posiadanie ważnego certyfikatu jako jeden z warunków kupna danych usług czy produktów.
Certyfikaty, które zostały wystawione przed wejściem w życie nowych przepisów nie stracą swojej ważności, ale wydanie nowych będzie się już odbywało zgodnie z wdrożonymi schematami.
Zapisz się na newsletter „EY Technology”
Otrzymuj comiesięczny zestaw najciekawszych artykułów, raportów i analiz z zakresu technologii dla biznesu.
Podsumowanie
Nie został jeszcze opublikowany tzw. rolling plan dotyczący implementacji Cybersecurity Act. Ma on w założeniu wskazywać obszary, które wymagają certyfikacji w pierwszej kolejności. Do tej pory pojawiały się jednak tylko projekty tego planu, a na ten oficjalny musimy jeszcze poczekać. O wszelkich dalszych krokach będziemy na bieżąco informować.
