W czwartek 27 czerwca zaczął obowiązywać tzw. akt o cyberbezpieczeństwie. To unijne rozporządzenie regulujący dwie ważne kwestie. Jedna dotyczy wzmocnienia Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), druga - certyfikacji cyberbezpieczeństwa produktów, usług i procesów dotyczących sieci i systemów informatycznych. To zadanie powierzono właśnie ENISA. Rozporządzenie to część pakietu reformatorskiego zaproponowanego przez Komisję Europejską, który ma służyć zwiększaniu bezpieczeństwa komputerowego, umożliwiającego przeciwdziałaniu cyberatakom i reagowaniu na nie.

Czytaj również: Walka z cyberzagrożeniami oznacza nowe obowiązki dla firm >>

ENISA opracuje unijne zasady certyfikacji

Za sprawą rozporządzenia - dokładna nazwa to rozporządzenie 2019/881 z 17 kwietnia 2019 r.w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 - ENISA staje się agencją stałą, która skupi  się na pomocy unijnym instytucjom w zakresie cyberbezpieczeństwa. Co ważniejsze - zadaniem ENISA będzie wspieranie opracowywania i realizacji polityki UE w zakresie certyfikacji cyberbezpieczeństwa produktów, usług i procesów dotyczących sieci i systemów informatycznych. Agencji powierzono także opracowywanie i realizację polityki UE w zakresie certyfikacji cyberbezpieczeństwa produktów, usług i procesów dotyczących sieci i systemów informatycznych, co oznacza, że ustanowi ona europejskie ramy certyfikacji.

-  ENISA ma opracować programy certyfikacji dla konkretnych produktów czy usług - tłumaczy Agnieszka Wachowska, radca prawny, partner w kancelarii Traple, Konarski i Wspólnicy. -  Będą one potwierdzać, że poddane certyfikacji produkty, procesy i usługi spełniają określone wymogi bezpieczeństwa i, tym samym, że zapewniono właściwy w świetle oszacowanego ryzyka (risk-based approach) poziom dostępności, autentyczności, integralności i poufności danych, funkcji lub usług dostępnych za ich pośrednictwem – dodaje Agnieszka Wachowska. 

Obejrzyj w LEX: Cyberbezpieczeństwo w podmiotach leczniczych >>

Krajowe programy stracą na znaczeniu

Jej koleżanka z kancelarii radca prawny Joanna Jastrząb dodaje, że opracowanie europejskich programów certyfikacji spowoduje stworzenie jednolitych zasad uznawania, że dane produkty czy usługi spełniają ustalone wymogi. - Nie mógłby on zostać osiągnięty, gdyby jednocześnie umożliwiono państwom członkowskim ustanawianie własnych programów i zasad certyfikacji. Z tego powodu krajowe programy certyfikacji cyberbezpieczeństwa przestaną być skuteczne z chwilą ustanowienia europejskiego programu dla danego produktu czy usługi – podkreśla Joanna Jastrząb. W praktyce ma to oznaczać, że certyfikacja spełniająca warunki określone przez ENISA będzie uznawana we wszystkich państwach członkowskich.
Certyfikacja będzie dobrowolna, choć w przypadku określonych produktów czy usług może być obowiązkowa -  Nie jest więc wykluczone, że w przypadku wybranych produktów czy usług uzyskanie certyfikatu okaże się konieczne, by móc je oferować – ocenia Agnieszka Wachowska.

Czytaj w LEX: Zakres podmiotowy zastosowania ustawy o cyberbezpieczeństwie w sektorze ochrony zdrowia >>

W Polsce coraz więcej incydentów naruszających bezpieczeństwo w sieci

Z najnowszego raportu pt. Krajobraz bezpieczeństwa polskiego internetu, przygotowany przez CERT Polska wynika, że w 2018 r. liczba zarejestrowanych incydentów bezpieczeństwa wzrosła o 17,5 proc. w porównaniu do roku 2017 r. Najczęściej zgłaszano phishing (44 proc.  przypadków), dystrybucję złośliwego oprogramowania oraz spam. Według PwC  za 41 proc.  incydentów bezpieczeństwa odpowiada błąd użytkownika. Przedsiębiorcy wskazują przy tym, że aż w 33 proc. przypadków głównym źródłem incydentów byli obecni pracownicy firmy.

CERT (z ang. Computer Emergency Response Team) to zespół reagowania na incydenty bezpieczeństwa komputerowego. Ta działająca w strukturze Naukowej i Akademickiej Sieci Komputerowej (NASK) jednostka, która realizuje obowiązki nałożone ustawą o krajowym systemie cyberbezpieczeństwa, dotyczące m.in. rejestracji i koordynacji incydentów zgłaszanych przez operatorów usług kluczowych czy dostawców usług cyfrowych, a także współpracuje z innymi zespołami CERT w Polsce i na świecie oraz z organami ścigania.