Złe wiadomości dla chińskich dostawców - Komisja Europejska ma nowy pakiet dotyczący cyberbezpieczeństwa

Komisja Europejska zaproponowała dziś nowy pakiet dotyczący cyberbezpieczeństwa, aby wzmocnić odporność i zdolności UE w zakresie cyberbezpieczeństwa w obliczu rosnących zagrożeń.

Pakiet obejmuje wniosek dotyczący zmienionej ustawy o cyberbezpieczeństwie.  Zapewnia ona, że produkty trafiające do obywateli UE są cyberbezpieczne już na etapie projektowania dzięki uproszczonemu procesowi certyfikacji. Ułatwia również przestrzeganie istniejących przepisów UE w zakresie cyberbezpieczeństwa i wzmacnia rolę Agencji UE ds. Cyberbezpieczeństwa (ENISA) we wspieraniu państw członkowskich i UE w zarządzaniu zagrożeniami dla cyberbezpieczeństwa.

Ustawa o cyberbezpieczeństwie będzie miała zastosowanie natychmiast po zatwierdzeniu przez Parlament Europejski i Radę UE. Przedstawione zostaną również do zatwierdzenia towarzyszące jej zmiany do dyrektywy NIS2. Po przyjęciu dyrektywy państwa członkowskie będą miały rok na wdrożenie jej do prawa krajowego i przekazanie odpowiednich tekstów Komisji.

Nowa ustawa o cyberbezpieczeństwie ma na celu zmniejszenie ryzyka w łańcuchu dostaw ICT w UE ze strony dostawców z państw trzecich, którzy budzą obawy w zakresie cyberbezpieczeństwa.

Umożliwi to UE i państwom członkowskim wspólną identyfikację i ograniczanie ryzyka w 18 kluczowych sektorach UE.

Bezpieczeństwo łańcucha dostaw nie dotyczy już wyłącznie bezpieczeństwa technicznego produktów lub usług, ale także ryzyka związanego z dostawcami, w szczególności zależnościami i ingerencją zagraniczną.

Ustawa o cyberbezpieczeństwie umożliwi obowiązkowe ograniczenie ryzyka związanego z europejskimi sieciami telekomunikacyjnymi przez dostawców z państw trzecich wysokiego ryzyka, w oparciu o prace już przeprowadzone w ramach zestawu narzędzi bezpieczeństwa 5G.

Zmieniona ustawa o cyberbezpieczeństwie zapewni, że produkty i usługi trafiające do konsumentów w UE będą testowane pod kątem bezpieczeństwa w bardziej efektywny sposób. Odbędzie się to poprzez odnowione europejskie ramy certyfikacji cyberbezpieczeństwa (ECCF). ECCF zapewnią większą przejrzystość i uproszczenie procedur, umożliwiając opracowanie systemów certyfikacji w ciągu 12 miesięcy. Wprowadzą również bardziej elastyczne i przejrzyste zarządzanie, aby lepiej zaangażować zainteresowane strony poprzez publiczne informacje i konsultacje.

Systemy certyfikacji, zarządzane przez ENISA, staną się praktycznym, dobrowolnym narzędziem dla przedsiębiorstw. Pozwolą one przedsiębiorstwom wykazać zgodność z prawodawstwem UE, zmniejszając obciążenia i koszty. Poza produktami, usługami, procesami i zarządzanymi usługami bezpieczeństwa w zakresie ICT, przedsiębiorstwa i organizacje będą mogły certyfikować swoją pozycję w zakresie cyberbezpieczeństwa, aby sprostać potrzebom rynku.

Pakiet wprowadza środki mające na celu uproszczenie przestrzegania unijnych przepisów dotyczących cyberbezpieczeństwa i wymogów w zakresie zarządzania ryzykiem dla przedsiębiorstw działających w UE, uzupełniając jedyny punkt zgłoszenia incydentów zaproponowany w pakiecie Digital Omnibus. Ukierunkowane zmiany w dyrektywie NIS2 mają na celu zwiększenie jasności prawnej. Ułatwią one przestrzeganie przepisów 28 700 przedsiębiorstwom, w tym 6200 mikro- i małym przedsiębiorstwom. Wprowadzą również nową kategorię małych przedsiębiorstw o średniej kapitalizacji, aby obniżyć koszty przestrzegania przepisów dla 22 500 przedsiębiorstw. Zmiany uproszczą przepisy dotyczące jurysdykcji, usprawnią gromadzenie danych na temat ataków ransomware i ułatwią nadzór nad podmiotami transgranicznymi dzięki wzmocnionej roli koordynacyjnej ENISA.

Agencja będzie nadal wspierać przedsiębiorstwa i zainteresowane strony działające w UE, wydając wczesne ostrzeżenia o cyberzagrożeniach i incydentach. We współpracy z Europolem i zespołami reagowania na incydenty związane z bezpieczeństwem komputerowym będzie wspierać przedsiębiorstwa w reagowaniu na ataki ransomware i usuwaniu ich skutków. ENISA opracuje również unijne podejście do świadczenia lepszych usług w zakresie zarządzania podatnością na zagrożenia dla zainteresowanych stron. Będzie ona obsługiwać jednolity punkt zgłoszeń incydentów zaproponowany w Digital Omnibus.