CSA 2: KE chce wzmocnić ramy cyberbezpieczeństwa

Projektowane rozporządzenie należy postrzegać przede wszystkim jako kontynuację kierunku budowy odporności cyfrowej wspólnego rynku zasygnalizowanego w dyrektywie NIS 2 oraz rozporządzeniu DORA. Reforma ta wykracza poza techniczną aktualizację dotychczasowych przepisów i tworzy spójne, jednolite ramy prawne, które mają zapewnić przedsiębiorstwom większą przewidywalność regulacyjną, a obywatelom – wyższy poziom ochrony przed rosnącą falą zagrożeń cybernetycznych.

Obowiązkowa certyfikacja, nowa rola ENISA

W centrum CSA 2 posadowiono model obowiązkowej certyfikacji cyberbezpieczeństwa, obejmujący certyfikację produktów, usług i procesów przeznaczonych na rynek europejski. To istotne podniesienie poprzeczki w stosunku do ram dobrowolnej certyfikacji przewidzianej w rozporządzeniu 2019/881. Komisja Europejska określi obszary, w których będą obowiązywać nowe wymagania.

Projekt rozszerza ponadto uprawnienia Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), która stanie się centralnym punktem koordynacyjnym ds. certyfikacji, nadzoru i wsparcia dla państw członkowskich. Ta zmiana łączy się z wprowadzeniem zasady „jednego okienka” (one-stop-shop) w zakresie uznawania i monitorowania certyfikatów w całej UE. Środki ochrony i wymagania certyfikacyjne będą dynamicznie rozwijane, aby odzwierciedlać postęp w takich obszarach jak sztuczna inteligencja, IoT i przetwarzanie w chmurze.

Z perspektywy zasady proporcjonalności projekt opiera się na założeniu, że skuteczna harmonizacja na poziomie unijnym może w dłuższej perspektywie zmniejszyć obciążenia administracyjne przedsiębiorstw. Dotychczasowa fragmentacja regulacyjna, wynikająca z równoległego stosowania wielu aktów sektorowych, prowadziła do powielania audytów i obowiązków sprawozdawczych. Wprowadzenie wspólnych standardów i jednolitych procedur ma na celu zastąpienie wielu rozproszonych wymogów jednym, bardziej przejrzystym mechanizmem zgodności.

Zaufany łańcuch dostaw ICT

CSA 2 ustanawia unijne ramy dla zaufanego łańcucha dostaw ICT, którego celem jest identyfikacja kluczowych aktywów ICT w sektorach o wysokiej krytyczności (w rozumieniu NIS 2) oraz wprowadzanie proporcjonalnych środków ograniczających ryzyka nietechniczne w łańcuchach dostaw.

Zgodnie z projektem, Komisja lub co najmniej trzy państwa członkowskie mogą zainicjować skoordynowaną ocenę ryzyka na poziomie UE, obejmującą identyfikację aktywów krytycznych, głównych zagrożeń, podatności oraz scenariuszy ataku, a następnie zaproponować środki zaradcze. Na podstawie tej oceny Komisja, działając w trybie aktu wykonawczego, może wyznaczyć państwo trzecie jako stwarzające „poważne i strukturalne nietechniczne ryzyko” dla łańcuchów dostaw ICT. Przesłanki takiej kwalifikacji obejmują w szczególności: obowiązek raportowania podatności władzom państwowym, utrwalone praktyki przymusowej współpracy z organami państwa, brak niezależnej kontroli sądowej i demokratycznej, powiązania z aktorami prowadzącymi złośliwe operacje cybernetyczne oraz negatywne ustalenia wynikające z ocen ryzyka lub raportów międzynarodowych. Konsekwencją uznania dostawców z takiego państwa za dostawców wysokiego ryzyka jest ich wykluczenie z procesów standaryzacji, certyfikacji UE, akredytacji, świadczenia usług atestacyjnych oraz z zamówień publicznych dotyczących kluczowych aktywów ICT, co w praktyce oznacza istotne ograniczenie lub utratę dostępu do rynku unijnego.

Regulacje dotyczące łańcuchów dostaw ICT, choć wymagające organizacyjnie, należy rozumieć jako element budowania strategicznej autonomii technologicznej. Zmniejszenie zależności od dostawców wysokiego ryzyka wzmacnia stabilność infrastruktury krytycznej i chroni przedsiębiorców przed skutkami zdarzeń geopolitycznych lub systemowych zakłóceń. W długiej perspektywie przekłada się to na większe bezpieczeństwo operacyjne.

Dla przedsiębiorstw skutki takiej decyzji mogą być bezpośrednie i daleko idące. Środki łagodzące (mitigation measures) mogą obejmować zakazy transferów danych do wyznaczonego państwa trzeciego, ograniczenia korzystania z usług dostawców pochodzących z tego państwa, a także obowiązek weryfikacji personelu lub dodatkowych wymogów compliance. Oznacza to istotne konsekwencje w obszarze governance, zarządzania dostawcami, kontraktowania i ochrony danych.

Autor: Bartosz Bacia, doktor nauk prawnych, radca prawny, współautor pozycji „Praktyczne wdrożenie Rozporządzenia DORA” (Wolters Kluwer 2025)