EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Zobacz wszystkie wyniki dla
'
'
Brak wyników wyszukiwania
Ogólne
Zobacz wszystkoPeople
Zobacz wszystkoOstatnie wyszukiwania
Rozporządzenie o Cyberbezpieczeństwie (Cybersecurity Act), uchwalone przez Parlament Europejski w 2019 roku, jest drugą, po dyrektywie NIS, ogólnoeuropejską regulacją w zakresie cyberbezpieczeństwa. Poza nadaniem nowych, stałych kompetencji Agencji UE ds. Cyberbezpieczeństwa (ENISA), koncentruje się na tworzeniu europejskich ram certyfikacji dla produktów oraz usług ICT.
Wraz z jego uchwaleniem pojawiło się wiele pytań dotyczących samego mechanizmu certyfikacji. Jak ma działać ten system i kto będzie odgrywał w nim główną rolę? Jakie obowiązki obejmują przedsiębiorców oraz konsumentów? Na te i inne pytania odpowiadamy w naszym artykule.
Cyberbezpieczeństwo w centrum zainteresowania UE
Cyberbezpieczeństwo ewoluowało poza prosty aspekt technologii – stało się kluczowym elementem naszego globalnego społeczeństwa.
Komisja Europejska (KE), która przez ostatnie kilka lat przewodziła wysiłkom na rzecz zwiększenia bezpieczeństwa cybernetycznego za pomocą szeregu środków legislacyjnych. Działania te wskazują na zmieniającą się rzeczywistość cyfrową, która charakteryzuje się większą niż dotychczas odpowiedzialnością, podniesieniem standardów, postępem technologicznym, zwłaszcza w obszarze sztucznej inteligencji (AI) oraz solidniejszymi procesami certyfikacji. Wśród ostatnio wdrożonych aktów prawnych wymienić należy:
- Cybersecurity Act, który wprowadził mechanizm certyfikacji produktów, usług i procesów,
- Chips Act dotyczący rynku procesorów, którego celem jest m.in. zwiększenie niezależności technologicznej Europy,
- dyrektywę NIS2, czyli drugą odsłonę dyrektywy dla tzw. podmiotów kluczowych w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii.
W najbliższym czasie pojawi się również dyrektywa Critical Entities Resilience (CER), która będzie dotyczyć infrastruktury krytycznej.
Takie zintensyfikowane działania prowadzone przez KE skutkują namnożeniem się prac legislacyjnych, niosących ze sobą nowe obowiązki i odpowiedzialność zarówno dla przedsiębiorstw, jak i osób fizycznych.
Jaki jest cel certyfikacji z perspektywy klientów i przedsiębiorców?
Głównym celem Rozporządzenia o Cyberbezpieczeństwie jest umożliwienie konsumentom świadomego wyboru produktów oraz usług w zakresie oferowanego przez nich poziomu bezpieczeństwa cyfrowego. Z kolei przedsiębiorcy zyskają narzędzie potwierdzające jakość swoich wyrobów, co pozwoli im zwiększyć zaufanie wśród konsumentów.
Do niedawna certyfikacja w Europie była w dużej mierze przedsięwzięciem na poziomie krajowym w danym państwie. Porozumienie SOG-IS (Senior Official Group Information Security Systems) umożliwiało wprawdzie certyfikację na poziomie kilku krajów, ale dopiero Cybersecurity Act ujednolici ją na terenie całej Unii Europejskiej.
Warto zauważyć, że certyfikacja nie jest procesem uniwersalnym. Różne produkty, usługi lub procesy wymagają określonych kryteriów certyfikacji. Chip wykorzystywany w naszych dowodach osobistych zawsze będzie wymagać uzyskania certyfikatu o możliwie najwyższym stopniu bezpieczeństwa. Z kolei klient, wybierając router w sklepie z elektroniką, będzie mógł podjąć decyzję na podstawie poziomu bezpieczeństwa teleinformatycznego wyrażonego odpowiednim oznaczeniem.
Kiedy nowe przepisy zaczną obowiązywać i jaki będzie zakres odpowiedzialności poszczególnych podmiotów?
Obecnie ENISA pracuje nad schematami certyfikacji. Według najnowszych doniesień, Unia Europejska przyjęła już pierwszy taki program certyfikacji cyberbezpieczeństwa. EUCC (The European Cybersecurity Certification Scheme on Common Criteria), czyli europejski program certyfikacji cyberbezpieczeństwa w oparciu o wspólne kryteria, dotyczy produktów ICT, takich jak sprzęt i oprogramowanie oraz jego komponenty.
Przyjęty akt przewiduje okres przejściowy, w którym organizacje nadal będą mogły korzystać z istniejących certyfikatów w ramach systemów krajowych w wybranych państwach członkowskich. Z czasem jednak EUCC zastąpi krajowe systemy certyfikacji, które wcześniej funkcjonowały w ramach porozumienia SOG-IS.
ENISA prowadzi prace jeszcze nad schematami w dwóch obszarach:
- EUCS (The European Certification Scheme for Cloud Services), czyli europejski system certyfikacji usług w chmurze, który został opracowany przy wsparciu grupy roboczej ad hoc i państw członkowskich. Tekst znajduje się na etapie opiniowania przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa (ECCG);
- EU5G (The European Cybersecurity Certification Scheme for 5G), czyli europejski program certyfikacji cyberbezpieczeństwa dla sieci 5G, który jest opracowywany w dwóch etapach. Jesienią 2022 roku, ENISA wraz z ekspertami zebranymi w ramach grupy roboczej ad hoc przeanalizowała istniejące systemy ocen i certyfikacji przemysłowych oraz niezbędne aktualizacje w celu zapewnienia zgodności Cybersecurity Act. Termin udostępnienia pierwszego projektu schematu jest w trakcie uzgodnień w ramach grupy roboczej AHWG (Ad-Hoc Working Group on Data Protection Engineering Ad-Hoc Working Group on Data Protection Engineering).
Po zakończeniu ścieżki legislacyjnej i opublikowaniu schematu, każdy kraj członkowski UE będzie miał także możliwość stworzenia centra certyfikacyjnego (akredytowanego laboratorium), które przejmie obowiązki wykonawcze w zakresie certyfikowania produktów i usług. Przedsiębiorcy będą mogli wtedy skorzystać z takiej możliwości i przejść proces ewaluacji.
ENISA planuje również utworzenie specjalnej strony, na której udostępni nie tylko szczegóły dotyczące samych schematów czy procesu certyfikacji, ale także listę wydanych certyfikatów oraz ośrodków, które będą je wystawiać.
Co z certyfikatami, które już zostały wystawione i czy certyfikacja będzie obowiązkowa?
Zgodnie z zasadami Cybersecurity Act certyfikacja nie będzie obowiązkowa. To oznacza, że producent może zdecydować, czy jego produkt lub usługa ma przejść ewaluację, i czy decyzja ta nie wpłynie na możliwość jego sprzedaży. W tym miejscu jednak mogą obowiązywać inne akty, np. eIDAS, czyli rozporządzenie Parlamentu Europejskiego i Rady UE dotyczące identyfikacji elektronicznej i usług zaufania. eiDAS, który funkcjonuje w Polsce od 2016 roku, narzuca ramy zapewniające bezpieczeństwo interakcji między przedsiębiorstwami na terenie UE. Uczestnictwo w tych interakcjach jest możliwe po spełnieniu określonych warunków identyfikacji elektronicznej (certyfikacji). Rozporządzenie nie zunifikowało sposobu certyfikacji, ale wprowadziło regulacje dotyczące podpisów elektronicznych między kontrahentami. Możemy się spodziewać, że inne akty prawne także wprowadzą w swoich domenach wymagania dotyczące wykorzystywania certyfikowanych produktów lub usług. Dodatkowo państwa z UE dokonując zamówień publicznych mogą określić posiadanie ważnego certyfikatu jako jeden z warunków kupna danych usług czy produktów.
Certyfikaty, które zostały wystawione przed wejściem w życie nowych przepisów nie stracą swojej ważności, ale wydanie nowych będzie się już odbywało zgodnie z wdrożonymi schematami.
Jak EY może pomóc
-
Doradztwo w zakresie cyberbezpieczeństwa może być realizowane w wielu obszarach m.in.: prawnym, organizacyjnym lub technologicznym. Utrzymanie specjalistycznych kompetencji w każdej z tych dziedzin jednocześnie jest wyzwaniem.
Przeczytaj więcej -
EY usługi doradcze, atestacyjne i audytowe w obszarze bezpieczeństwa informacji, ryzyka cybernetycznego nowych technologii, odporności organizacji oraz ciągłości działania.
Przeczytaj więcej -
Testowanie bezpieczeństwa informatycznego może być prowadzone na wiele sposobów. To co wyróżnia nas pod tym względem, to nie tylko wysoka jakość dostarczanych usług, ale stosowanie rozwiązań szytych na miarę. Doskonale rozumiemy jak istotną rolę cyberbezpieczeństwo pełni we wsparciu działania i rozwoju biznesu. Właśnie dlatego każda nasza usługa dostosowywana jest do indywidualnych potrzeb i oczekiwań naszego Klienta.
Przeczytaj więcej
Zapisz się na newsletter „EY Technology”
Otrzymuj comiesięczny zestaw najciekawszych artykułów, raportów i analiz z zakresu technologii dla biznesu.
Podsumowanie
Nie został jeszcze opublikowany tzw. rolling plan dotyczący implementacji Cybersecurity Act. Ma on w założeniu wskazywać obszary, które wymagają certyfikacji w pierwszej kolejności. Do tej pory pojawiały się jednak tylko projekty tego planu, a na ten oficjalny musimy jeszcze poczekać. O wszelkich dalszych krokach będziemy na bieżąco informować.
Polecane artykuły
Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań
Pobierz raport CSO Council, EY Polska i Trend Micro: W oczekiwaniu na NIS2: stan przygotowań i dowiedz się więcej o gotowości organizacji do wdrożenia wymogów Dyrektywy NiS2.
Wdrożenie dyrektywy NIS2 w transporcie – wyzwania i prognozy
Polskie firmy związane z transportem przygotowują się do wdrożenia unijnej dyrektywy NIS2, która ma znacząco zwiększyć zakres cyberbezpieczeństwa. Dla wielu z nich będzie to jednak spore wyzwanie i duże koszty, niezbędne stanie się też całkowicie nowe podejście do tej tematyki. O tym, jak sektorowo można przygotować się na wyzwania i szanse związane z wdrożeniem założeń dyrektyw NIS odpowiada Kamil Pszczółkowski, doświadczony ekspert EY, który od ponad 17 lat zajmuje się cyberbezpieczeństwem i programami transformacyjnymi.