Akt o cyberbezpieczeństwie. Nowe kompetencje ENISA i wprowadzenie mechanizmu certyfikacji

Unia Europejska wykazuje ostatnio zwiększoną aktywność w zakresie tworzenia prawa, odnoszącego się do kwestii cyberbezpieczeństwa. W 2016 r. weszła w życie  dyrektywa NIS, czyli dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Nakłada ona na państwa członkowskie szereg obowiązków związanych z poprawą bezpieczeństwa informatycznego.

W tym roku natomiast w życie wszedł tzw. Cybersecurity Act, również mający na celu podnoszenie poziomu bezpieczeństwa IT na terenie UE. Pełna nazwa tego aktu prawnego to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie). Należy podkreślić, że ten akt obowiązuje bezpośrednio na terenie całej Unii, a zatem nie wymaga implementacji przez poszczególne państwa członkowskie, tak jak było to w przypadku dyrektywy NIS.

Czego dotyczy Cybersecurity Act?

Nowe Rozporządzenie jest podzielone na dwie części. Pierwsza z nich dotyczy działalności ENISA, czyli Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji. Została ona powołana już w 2004 r., na mocy wcześniejszego aktu prawnego, który regulował jej działalność. Wraz z upływem lat pojawiła się konieczność zwiększenia kompetencji ENISA, uszczegółowienia zakresu działania agencji oraz rozszerzenia obowiązków na nowe obszary. Jest to podyktowane koniecznością odpowiadania na zwiększające się zagrożenia dotyczące bezpieczeństwa informatycznego. Naczelnym celem działalności ENISA jest prowadzenie działań w celu osiągnięcia wysokiego poziomu cyberbezpieczeństwa na terenie całej Unii Europejskiej. W konsekwencji zwiększony ma zostać także budżet oraz liczba pracowników ENISA. Ma ona bowiem zrzeszać kadry, które umożliwią prowadzenie badań i analiz w zakresie technicznych kwestii związanych z cyberbezpieczeństwem.

Szczególnie istotny jest tu fakt, że coraz częściej cyberataki mają charakter ponadnarodowy, czyli obejmują swoim zasięgiem teren więcej niż jednego państwa. Przykładem takich zdarzeń może być atak z użyciem złośliwego oprogramowania WannaCry, który miał miejsce w maju 2017 r. i doprowadził do zainfekowania kilkuset tysięcy komputerów w około 100 państwach. Skutkiem ataku było m.in. sparaliżowanie brytyjskiej służby zdrowia czy też utrudnienie działalności jednego z hiszpańskich operatorów telekomunikacyjnych.

Jakie zadania ma ENISA?

W konsekwencji istotnym zadaniem ENISA jest koordynowanie i wspieranie na szczeblu ponadnarodowym działalności CSIRT (Computer Security Incident Response Team - Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego), powołanych w poszczególnych krajach członkowskich UE. Innymi słowy, ENISA ma na celu ułatwianie międzynarodowej współpracy  np. w celu zapobiegania incydentom cyberbezpieczeństwa i niwelowaniu ewentualnych skutków takich incydentów. Stąd też będzie propagować i integrować współpracę pomiędzy poszczególnymi państwami członkowskimi w zakresie cyberbezpieczeństwa. Dotyczy to zwłaszcza wzajemnej wymiany informacji oraz koordynowania działań poszczególnych instytucji. ENISA jest więc ponadnarodowym organem wspierającym różne organy, zarówno krajowe, jak i unijne, w realizacji zadań związanych z cyberbezpieczeństwem.

Dodatkowo, na wniosek państw członkowskich ENISA powinna zapewniać pomoc przy ocenie incydentów bezpieczeństwa – w szczególności dzięki swojej wiedzy fachowej. Ma to na celu ułatwianie technicznego postępowania w przypadku takich incydentów. Wsparcie ma również obejmować pomoc w wymianie stosownych informacji i rozwiązań technicznych pomiędzy państwami członkowskimi.

Kolejnym zadaniem ENISA jest przyczynianie się do tworzenia polityk i prawa unijnego, które dotyczą kwestii cyberbezpieczeństwa, między innymi za pomocą wydawania opinii, wytycznych, udzielania porad i tworzenia najlepszych praktyk. W szczególności mają one obejmować  takie zagadnienia jak zarządzanie ryzykiem, zgłaszanie incydentów i wymianę informacji. ENISA ma także wspierać organy UE w zakresie tworzenia unijnych strategii w zakresie cyberbezpieczeństwa oraz podejmowania działań w celu ich promowania.

Relacja pomiędzy ENISA a państwami członkowskimi UE

W treści Rozporządzenia kilkukrotnie wskazano, że ENISA wspiera poszczególne państwa członkowskie w sytuacji gdy te same zwrócą się po taką pomoc. Innymi słowy, inicjatywa w zakresie wsparcia ENISA powinna wyjść od strony państwa członkowskiego. Dotyczy to między innymi pomocy krajowym zespołom CSIRT czy też współpracy przy opracowywaniu  strategii w zakresie bezpieczeństwa sieci i systemów informatycznych. Oznacza to, że ENISA co do zasady nie będzie mogła samodzielnie ingerować w działania dotyczące cyberbezpieczeństwa, które są podejmowane na szczeblu państw członkowskich bez uprzedniej prośby takiego państwa. Celem ENISA co do zasady nie jest bowiem wydawanie wiążących decyzji, narzucających poszczególnym państwom konieczność określonego działania. Dodatkowo, obowiązkiem ENISA jest regularne organizowanie ćwiczeń w dziedzinie cyberbezpieczeństwa na poziomie unijnym.

Raporty w zakresie cyberbezpieczeństwa na terenie UE

Kolejnym z obowiązków ENISA jest przygotowywanie we współpracy z poszczególnymi państwami członkowskimi, regularnych raportów technicznych o stanie cyberbezpieczeństwa w UE. Taki raport powinien w szczególności dotyczyć pojawiających się incydentów i zagrożeń i być sporządzony w oparciu o dostępne publicznie informacje, własne analizy ENISA oraz sprawozdania udostępniane przez zespoły CSIRT państw członkowskich. ENISA została ponadto zobowiązana do prowadzenia analiz powstających technologii i przedstawiania związanych z tym ocen dotyczących spodziewanego wpływu innowacji technologicznych na cyberbezpieczeństwo.

Dodatkowo, ENISA powinna, we współpracy z ekspertami z państw członkowskich i innymi zainteresowanymi podmiotami, zapewniać doradztwo, porady i najlepsze praktyki dotyczące bezpieczeństwa sieci i systemów informatycznych. Obowiązkiem ENISA jest także prowadzenie portalu internetowego, w ramach którego powinna gromadzić i podawać do wiadomości publicznej informacje na temat cyberbezpieczeństwa.

Dalszy szereg obowiązków nałożonych na ENISA dotyczy szeroko pojętej działalności edukacyjnej w zakresie cyberbezpieczeństwa. Stąd też powinna ona działać na rzecz podnoszenia wiedzy społeczeństwa na temat istniejących w cyberprzestrzeni zagrożeń i ryzyk. Agencja powinna także publikować porady w zakresie dobrych praktyk dla użytkowników indywidualnych.

W treści Rozporządzenia wskazano również na zasady dotyczące organizacji biura ENISA oraz kwestii organizacyjnych związanych z jej funkcjonowaniem. Z uwagi jednak na to, że te uregulowania mają ograniczone znaczenie w odniesieniu do funkcjonowania przedsiębiorstw na terenie UE i samych kwestii związanych z cyberbezpieczeństwem, szersze ich omawianie na łamach niniejszego artykułu nie jest konieczne.

Czy nowe regulacje dotyczące działalności ENISA przyczynią się do poprawy bezpieczeństwa informatycznego?

Trzeba podkreślić, że uregulowania dotyczące ENISA mają charakter w dużej mierze ogólny i wyznaczają cele działania tego organu, nie wskazując jednak szczegółowo, w jaki sposób mają być one osiągnięte. Tym samym realny charakter działalności ENISA oraz skuteczność tych działań będzie zależna od tego, w jaki sposób ta agencja będzie realizowała swoje obowiązki. Niezwykle istotne jest tutaj wyposażenie ENISA w odpowiednie środki finansowe, co zostało zapowiedziane w motywach omawianego Rozporządzenia. Stąd też końcowa ocena skuteczności nowych rozwiązań będzie mogła nastąpić dopiero za jakiś czas, czyli wtedy, kiedy zobaczymy, jak nowe regulacje przekładają się na realne działania podejmowane przez ENISA. Może ona stać się istotnym elementem europejskiego systemu cyberbezpieczeństwa. Nastąpi to jednak tylko wówczas, gdy agencja znajdzie odpowiednie sposoby i metody na sprawną realizację swoich celów. Oczekuje się zatem, że ENISA aktywniej podejdzie do realizacji swoich obowiązków i będzie regularnie wykorzystywała instrumenty wskazane w treści Rozporządzenia.

Certyfikacja produktów, usług i procesów ICT

Druga część Rozporządzenia dotyczy kwestii związanych z certyfikacją cyberbezpieczeństwa. Istotą certyfikacji jest ustalenie pewnych standardów tworzenia urządzeń, usług i procesów związanych z technologiami informacyjno-komunikacyjnymi (ICT) w zakresie bezpieczeństwa. Producenci, którzy chcą, aby tworzone przez nich produkty, usługi lub procesy spełniały te wymogi, mogą zaprojektować je zgodnie z wytycznymi wskazanymi w ramach certyfikacji, a następnie – uzyskać dla nich odpowiedni certyfikat, potwierdzający spełnienie standardów w zakresie bezpieczeństwa.

Przyczyną wprowadzenia certyfikacji jest rosnące znaczenie procesów, usług i procesów ICT dla gospodarki. Oparta jest ona w dużej mierze o przetwarzanie i wymianę informacji za pomocą Internetu, a tym samym konieczne jest odpowiednie zabezpieczenie tego obszaru przed ewentualnymi cyberzagrożeniami. Zdaniem unijnego prawodawcy, powinno to przynieść pozytywne konsekwencje gospodarcze i społeczne, z uwagi na ogólne zwiększenie zaufają ludzi do nowoczesnych technologii. Stąd też certyfikacja ma dotyczyć także m.in dynamicznie rosnącego rynku Internetu rzeczy, autonomicznych pojazdów, automatyki przemysłowej czy też nowoczesnych metod analizy danych.

Jakie cechy powinny spełniać produkty, które są poddane certyfikacji?

Certyfikowane produkty, usługi i procesy mają posiadać zabezpieczenia gwarantujące poufność, autentyczność i integralność przechowywanych, przekazywanych lub przetwarzanych w inny sposób danych lub funkcji lub usług oferowanych lub dostępnych za pośrednictwem tych produktów, usług i procesów. Zabezpieczenia mają działać w ramach całego cyklu działania produktu, usługi lub procesu – co oznacza, że powinny być skonstruowane tak, aby obejmować wszystkie jego elementy i w taki sposób, żeby nie zminimalizować ryzyko powstawania ewentualnych luk bezpieczeństwa.

Ogólne założenia programów w zakresie certyfikacji cyberbezpieczeństwa są określone w europejskich ramach certyfikacji cyberbezpieczeństwa. Wskazują one na mechanizmy ustanawiania poszczególnych europejskich programów certyfikacji cyberbezpieczeństwa oraz ustanawiają zasady przyznawania certyfikatów. Tego rodzaju ogólne obowiązujące w UE założenia mają na celu zapewnienie, że różnice w wymogach dotyczących certyfikacji będą zbliżone na terenie całej Unii Europejskiej, tak aby przedsiębiorcy nie byli zainteresowani poszukiwaniem państw, w których możliwe jest łatwiejsze uzyskanie certyfikatu.

Kto będzie przygotowywał Europejskie Programy Certyfikacji Cyberbezpieczeństwa?

Poszczególne Europejskie Programy Certyfikacji Cyberbezpieczeństwa będą przygotowywane przez ENISA w porozumieniu z ECCG, czyli Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa. ECCG to nowy organ unijny, którego zadaniem jest pomoc i doradzanie Komisji Europejskiej w prowadzeniu prac związanych z wprowadzaniem certyfikacji, tworzenia polityki certyfikacji oraz koordynacji działań w tym zakresie. Drugim zadaniem ECCG jest pomoc i doradztwo na rzecz ENISA w związku z realizacją zadań odnoszących się do certyfikacji cyberbezpieczeństwa.

Podmiotem odpowiedzialnym za przygotowywanie poszczególnych programów certyfikacji jest ENISA. Prowadzi ona prace nad nimi na wniosek Komisji Europejskiej lub ECCG, przy czym w tym drugim przypadku ENISA nie jest związana takim wnioskiem. Proces tworzenia projektu takiego programu obejmuje konieczność prowadzenia przez ENISA konsultacji z innymi zainteresowanymi podmiotami. Obejmuje to również wysłuchanie opinii przedstawicieli twórców produktów, usług lub procesów ICT. Wstępna wersja projektu programu oceniana jest przez ECCG, a następnie zatwierdzana przez Komisję Europejską. ENISA jest również zobowiązana do dokonywania regularnych przeglądów stworzonych programów, nie rzadziej niż raz na 5 lat.

Co powinien zawierać Europejski Program Certyfikacji Cyberbezpieczeństwa?

Każdy Europejski Program Certyfikacji Cyberbezpieczeństwa powinien wskazywać na to, jaki jest przedmiot i zakres certyfikacji, w tym wskazywać, jakich kategorii produktów, usług lub procesów dotyczy. W jego treści należy określić m.in. także cele, jakie mają być osiągnięte w związku z certyfikacją oraz szczegółowe kryteria oceny, stosowane w celu wykazania, że doszło do realizacji celów certyfikacji.

Co oznaczają poszczególne poziomy bezpieczeństwa w ramach certyfikacji?

Europejskie Programy Certyfikacji Cyberbezpieczeństwa moga przewidywać maksymalnie do trzech poziomów bezpieczeństwa (zwanych poziomami uzasadnienia zaufania), tj. poziom podstawowy, istotny lub wysoki. Poszczególne programy mogą określać, czy certyfikacja w danej dziedzinie uwzględnia poszczególne poziomy, czy jej charakter wyklucza możliwość ich implementacji w danym programie. Poziomy te powinny być adekwatne do potencjalnego ryzyka związanego ze stosowaniem danego produktu, usługi lub procesu.

Zgodnie z nową regulacją dotyczącą cyberbezpieczeństwa, poziom podstawowy w zakresie bezpieczeństwa informatycznego, ma dawać uzasadnione zaufanie, że produkty, usługi lub procesy ICT, dla których został wydany ten certyfikat spełniają odpowiadające im wymogi bezpieczeństwa, umożliwiające minimalizacje wystąpienia znanych podstawowych ryzyk w zakresie incydentów i cyberataków. Proces oceny, czy dany produkt spełnia ten poziom, obejmuje co najmniej przegląd dokumentacji technicznej dotyczącej tego produktu.

Poziom istotny wymaga spełnienia dodatkowych wymagań odnoszących się do cyberbezpieczeństwa. Ma on bowiem dawać zaufanie, że produkty, usługi lub procesy ICT, dla których został wydany, spełniają odpowiednie wymogi bezpieczeństwa na poziomie, który ma na celu zminimalizowanie znanych ryzyk w cyberprzestrzeni oraz ryzyka wystąpienia incydentów i cyberataków przeprowadzanych przez osoby o ograniczonych umiejętnościach i dysponujących niewielkimi zasobami. Działania w zakresie oceny, jakie powinny zostać podjęte, obejmują w takim przypadku co najmniej sprawdzenie produktu, usługi lub procesu w celu wykazania, że nie występują powszechnie znane podatności oraz testowanie w celu wykazania, że prawidłowo zostały w nich zaimplementowane niezbędne funkcjonalności bezpieczeństwa.

Najwyższe gwarancje bezpieczeństwa ma dawać certyfikat obejmujący poziom wysoki. Jego istotą jest dawanie uzasadnionego zaufania, że produkty, usługi lub procesy dla których został wydany, spełniają odpowiadające mu wymogi bezpieczeństwa na poziomie, który ma na celu zminimalizowanie ryzyka wystąpienia zaawansowanych cyberataków przeprowadzanych przez osoby o znacznych umiejętnościach i dysponujących znaczącymi zasobami. Działania w zakresie oceny, jakie mają zostać podjęte przed przyznaniem takiego certyfikatu, obejmują co najmniej: sprawdzenie produktu, usługi lub procesu w celu wykazania, że nie występują powszechnie znane podatności oraz testowanie w celu wykazania, że prawidłowo zaimplementowane zostały niezbędne, nowoczesne funkcjonalności bezpieczeństwa, jak również przeprowadzenie oceny sprawdzającej za pomocą testów penetracyjnych ich odporność na zaawansowane ataki.

Certyfikacja w zakresie cyberbezpieczeństwa co do zasady ma być dobrowolna. Rozporządzenie przewiduje jednak, że poszczególne państwa mogą określić w niektórych sytuacjach obowiązek jej dokonywania, np. w odniesieniu do oferowania produktów, usług lub procesów ICT w ramach przetargów publicznych, dokonywanych w związku z zakupami na rzecz instytucji państwowych lub samorządowych.

Kto będzie przyznawał certyfikaty w zakresie cyberbezpieczeństwa?

Co do zasady poszczególne certyfikaty będą przyznawane przez odpowiednie krajowe organy, wyznaczone do tego w poszczególnych państwach członkowskich UE – przy czym każde państwo musi wyznaczyć co najmniej jeden krajowy organ certyfikacji w tym zakresie. Rozporządzenie przewiduje także, że w przypadku mniej krytycznych procesów, usług lub produktów, tzn. takich, do których stosuje się podstawowy poziom bezpieczeństwa, zasady certyfikacji mogą przewidywać możliwość wydania przez producenta lub dostawcę takiego produktu unijnej deklaracji zgodności. Polega ona na tym, że producent lub dostawca samodzielnie dokonują oceny zgodności z wymogami certyfikatu, na własną odpowiedzialność, a następnie deklarują, że spełniają określone wymogi, wskazane w treści zasad certyfikacji.

Podsumowanie

Cybersecurity Act wprowadza dwie istotne i mające duży zasięg zmiany, które mogą pozytywnie wpłynąć na bezpieczeństwo cybernetyczne nie tylko w Europie, ale także na całym świecie – tzn. ustanowienie mechanizmu certyfikacji i zwiększenie roli ENISA. Wydaje się, że bieżąca działalność tej drugiej instytucji będzie kluczowa z punktu widzenia rzeczywistych skutków stosowania przepisów Rozporządzenia. To ENISA będzie bowiem odpowiadała za przygotowanie programów certyfikacji, a tym samym będzie miała również duży wpływ na ich rozpowszechnianie wśród producentów lub dystrybutorów. Z punktu widzenia małych i średnich przedsiębiorców kluczowe będzie właśnie to, w jaki sposób ENISA przygotuje poszczególne programy certyfikacji – ich treść przesadzi bowiem o możliwości wzięcia udziału w tych programach i doprowadzeniu do zgodności produktów, usług lub procesów z wymogami w nich wskazanymi.

Michał Nosowski

radca prawny, specjalizujący się w problematyce prawa nowych technologii oraz ochronie danych osobowych

www.michalnosowski.pl

www.wsroddanych.pl

Artykuł pochodzi z Biuletynu Euro Info 7/2019

Przeczytaj więcej takich artykułów w strefie wiedzy PARP