Europa se svakodnevno suočava s kibernetičkim i hibridnim napadima na bitne usluge i demokratske institucije, koje provode sofisticirane državne i kriminalne skupine. Europska komisija je upravo predložila novi paket kibernetičke sigurnosti kako bi se dodatno ojačala otpornost i kapaciteti EU-a u suočavanju s tim rastućim prijetnjama.
Paket uključuje prijedlog revidiranog Zakona o kibernetičkoj sigurnosti, kojim se poboljšava sigurnost lanaca opskrbe informacijskim i komunikacijskim tehnologijama (IKT) EU-a. Osigurava da su proizvodi koji dolaze do građana EU-a kibernetički sigurni po dizajnu putem jednostavnijeg postupka certificiranja. Također olakšava usklađenost s postojećim pravilima EU-a o kibernetičkoj sigurnosti i jača Agenciju EU-a za kibernetičku sigurnost (ENISA) u podršci državama članicama i EU-u u upravljanju prijetnjama kibernetičkoj sigurnosti.
Jačanje sigurnosti lanaca opskrbe IKT-om u EU-u
Novi Zakon o kibernetičkoj sigurnosti ima za cilj smanjiti rizike u lancu opskrbe IKT-om EU-a od dobavljača iz trećih zemalja s problemima kibernetičke sigurnosti. Njime se utvrđuje pouzdan okvir sigurnosti lanca opskrbe IKT-om temeljen na usklađenom, proporcionalnom i pristupu temeljenom na riziku. To će omogućiti EU-u i državama članicama da zajednički identificiraju i ublaže rizike u 18 kritičnih sektora EU-a, uzimajući u obzir i ekonomske utjecaje i opskrbu tržišta.
Nedavni incidenti u području kibernetičke sigurnosti istaknuli su glavne rizike koje predstavljaju ranjivosti u lancima opskrbe IKT-om, koji su ključni za funkcioniranje kritičnih usluga i infrastrukture. U današnjem geopolitičkom krajoliku, sigurnost lanca opskrbe više se ne odnosi samo na tehničku sigurnost proizvoda ili usluga, već i na rizike povezane s dobavljačem, posebno ovisnosti i strano uplitanje.
Zakon o kibernetičkoj sigurnosti omogućit će obvezno uklanjanje rizika iz europskih mobilnih telekomunikacijskih mreža od visokorizičnih dobavljača iz trećih zemalja, nadograđujući se na rad koji je već obavljen u okviru 5G sigurnosnog paketa alata.
Pojednostavljivanje i poboljšanje Europskog okvira za certifikaciju kibernetičke sigurnosti
Revidirani Zakon o kibernetičkoj sigurnosti osigurat će da se proizvodi i usluge koji dopiru do potrošača u EU testiraju na sigurnost na učinkovitiji način. To će se učiniti putem obnovljenog Europskog okvira za certifikaciju kibernetičke sigurnosti (ECCF). ECCF će donijeti više jasnoće i jednostavnije postupke, omogućujući razvoj shema certifikacije u roku od 12 mjeseci prema zadanim postavkama. Također će uvesti agilnije i transparentnije upravljanje kako bi se bolje uključili dionici putem informiranja i savjetovanja s javnošću.
Sheme certificiranja, kojima upravlja ENISA, postat će praktičan, dobrovoljan alat za poduzeća. Omogućit će poduzećima da dokažu usklađenost sa zakonodavstvom EU, smanjujući opterećenje i troškove. Osim ICT proizvoda, usluga, procesa i upravljanih sigurnosnih usluga, tvrtke i organizacije moći će certificirati svoju kibernetičku poziciju kako bi zadovoljile potrebe tržišta. U konačnici, obnovljeni ECCF bit će konkurentna prednost za poduzeća u EU. Za građane EU, poduzeća i javna tijela osigurat će visoku razinu sigurnosti i povjerenja u složene ICT lance opskrbe.
Olakšavanje usklađenosti s pravilima kibernetičke sigurnosti
Paket uvodi mjere za pojednostavljenje usklađenosti s pravilima EU o kibernetičkoj sigurnosti i zahtjevima za upravljanje rizicima za tvrtke koje posluju u EU, nadopunjujući jedinstvenu ulaznu točku za prijavljivanje incidenata predloženu u Digitalnom omnibusu. Ciljane izmjene Direktive NIS2 imaju za cilj povećanje pravne jasnoće. Olakšat će usklađenost za 28 700 tvrtki, uključujući 6 200 mikro i malih poduzeća. Također će uvesti novu kategoriju malih poduzeća srednje tržišne kapitalizacije kako bi se smanjili troškovi usklađenosti za 22 500 tvrtki. Izmjene će pojednostaviti pravila nadležnosti, optimizirati prikupljanje podataka o napadima ransomwarea i olakšati nadzor prekograničnih subjekata uz ojačanu koordinacijsku ulogu ENISA-e.
Osnaživanje ENISA-e za jačanje otpornosti europske kibernetičke sigurnosti
Od donošenja prvog Zakona o kibernetičkoj sigurnosti 2019. godine, ENISA je izrasla u temelj ekosustava kibernetičke sigurnosti EU-a. Revidirani Zakon o kibernetičkoj sigurnosti predstavljen danas omogućuje ENISA-i da pomogne EU-u i njegovim državama članicama da razumiju zajedničke prijetnje. Također im omogućuje da se pripreme i odgovore na kibernetičke incidente.
Agencija će dodatno podržavati tvrtke i dionike koji posluju u EU izdavanjem ranih upozorenja o kibernetičkim prijetnjama i incidentima. U suradnji s Europolom i timovima za odgovor na računalne sigurnosne incidente, podržavat će tvrtke u odgovoru na napade ransomwarea i oporavku od njih. ENISA će također razviti pristup Unije kako bi dionicima pružila bolje usluge upravljanja ranjivostima. Upravljat će jedinstvenom ulaznom točkom za prijavljivanje incidenata predloženom u Digitalnom omnibusu.
ENISA će i dalje igrati ključnu ulogu u daljnjoj izgradnjikvalificiranu radnu snagu u području kibernetičke sigurnosti u Europi. To će učiniti pilot-projektom Akademije za vještine kibernetičke sigurnosti i uspostavom programa ovjere vještina kibernetičke sigurnosti na razini cijele EU.
Sljedeći koraci
Zakon o kibernetičkoj sigurnosti bit će primjenjiv odmah nakon odobrenja Europskog parlamenta i Vijeća EU-a. Priložene izmjene i dopune Direktive NIS2 također će biti predstavljene na odobrenje. Nakon usvajanja, države članice imat će godinu dana da implementiraju Direktivu u nacionalno zakonodavstvo i dostave relevantne tekstove Komisiji.
Za više informacija
"Prijetnje kibernetičkoj sigurnosti nisu samo tehnički izazovi. To su strateški rizici za našu demokraciju, gospodarstvo i način života. S novim paketom kibernetičke sigurnosti imat ćemo sredstva za bolju zaštitu naših kritičnih lanaca opskrbe ICT-om, ali i za odlučnu borbu protiv kibernetičkih napada. Ovo je važan korak u osiguravanju našeg europskog tehnološkog suvereniteta i osiguravanju veće sigurnosti za sve", izjavila je Henna Virkkunen, izvršna potpredsjednica za tehnološki suverenitet, sigurnost i demokraciju