Komisja Europejska przedstawiała dziś nowy pakiet cyberbezpieczeństwa, który ma na celu m.in. ograniczenie ryzyka w unijnym łańcuchu dostaw ICT ze strony dostawców z państw trzecich, tzw. dostawców zwiększonego ryzyka.
– Jesteśmy w samym środku wojny hybrydowej. Każdego dnia infrastruktura krytyczna w Europie jest atakowana cyberatakami. Operacje te obejmują szpiegostwo, pozycjonowanie, ransomware i operacje destrukcyjne. Często stanowią one część szerszych kampanii hybrydowych – w połączeniu z operacjami informacyjnymi lub zakłóceniami fizycznymi, takimi jak naruszenia naszej przestrzeni powietrznej lub sabotaże infrastruktury krytycznej. Dokonaliśmy oceny naszego środowiska bezpieczeństwa cyfrowego i proponujemy aktualizacje naszych przepisów dotyczących cyberbezpieczeństwa, aby zapewnić bezpieczeństwo obywatelom, przedsiębiorstwom i społeczeństwu – podkreśla Henna Virkunnen, wiceprzewodnicząca wykonawcza Komisji Europejskiej ds. suwerenności technologicznej, bezpieczeństwa i demokracji.
Jednym z wymogów będzie, by państwa unijne obowiązkowo wprowadziły 5G Cybersecurity Toolbox, czyli zestaw narzędzi na rzecz cyberbezpieczeństwa sieci 5G, aby zapewnić równe warunki działania i uniknąć fragmentacji rynku UE. A celem tego jest wyłączenie dostawców produktów i usług, które mogłyby być wykorzystane przez kraje lub podmioty trzecie np. do szpiegostwa lub ataków cybernetycznych.
A takie obawy budzą w Unii Europejskiej dostawcy sieci komórkowych z Chin. Chociaż KE uznała w przeszłości firmy Huawei i ZTE za dostawców ryzykownych, to wiele państw nadal korzysta z ich usług czy rozwiązań, ponieważ dotychczasowe działania KE miały formę zaleceń, tj. nie były więc dla krajów członkowskich obligatoryjne.
– Wspólnie z państwami członkowskimi określimy, które konkretne elementy łańcucha dostaw ICT w naszych sektorach krytycznych wymagałyby ukierunkowanych środków ograniczających ryzyko. Proponujemy szereg możliwych środków zmniejszających ryzyko, w tym ograniczenia dla dostawców wysokiego ryzyka – wyjaśnia Henna Virkunnen.
Nowe środki będą miały zastosowanie do 18 kluczowych sektorów wskazanych przez Komisję. Oznacza to, że nowym prawem zostaną objęci nie tylko operatorzy sieci komórkowych, ale też dostarczający usługi i towary o krytycznym znaczeniu, takie jak: skanery, pojazdy zautomatyzowane, systemy zasilania i magazynowania energii elektrycznej, zaopatrzenia w wodę, drony i systemy antydronowe, usługi przetwarzania w chmurze, urządzenia medyczne czy półprzewodniki.
Zgodnie z wtorkowymi propozycjami operatorzy komórkowi będą mieli 36 miesięcy od opublikowania listy dostawców wysokiego ryzyka na wycofanie kluczowych komponentów. Okresy wycofywania z sieci stacjonarnych, w tym światłowodów i kabli podmorskich, a także z sieci satelitarnych, zostaną ogłoszone później.
Henna Virkunnen zwróciła też uwagę, że choć w UE wdrożono system certyfikacji, to niestety nie przyniósł oczekiwanych rezultatów. To ma się jednak zmienić, bo produkty i usługi docierające do konsumentów w UE mają być testowane pod kątem bezpieczeństwa w bardziej efektywny sposób. Będzie to możliwe dzięki odnowionym europejskim ramom certyfikacji cyberbezpieczeństwa (ECCF). ECCF zapewni większą jasność i uproszczenie procedur, umożliwiając domyślne opracowanie systemów certyfikacji w ciągu 12 miesięcy. Wprowadzi również sprawniejsze i bardziej przejrzyste zarządzanie w celu większego zaangażowania zainteresowanych stron poprzez informowanie społeczeństwa i konsultacje społeczne.
– Potrzebujemy bardziej dynamicznych, prostszych i wydajniejszych ram. ENISA (Agencja UE ds. Cyberbezpieczeństwa) będzie zarządzać systemami certyfikacji i dbać o to, aby standardy były jak najbardziej globalne – przekonuje Henna Virkunnen.
Rola ENISA w europejskim systemie cyberbezpieczeństwa ma zresztą bardzo wzrosnąć. Agencja będzie nadal wspierać przedsiębiorstwa i zainteresowane strony działające w UE poprzez wczesne ostrzeganie o cyberzagrożeniach i incydentach. We współpracy z Europolem i zespołami reagowania na incydenty bezpieczeństwa komputerowego będzie wspierać przedsiębiorstwa w reagowaniu na ataki ransomware i odzyskiwaniu danych po nich. ENISA przedstawi również unijne podejście w celu zapewnienia zainteresowanym stronom lepszych usług zarządzania podatnościami. Będzie ona obsługiwać pojedynczy punkt zgłaszania incydentów.
Nowe regulacje z zakresu cyberbezpieczeństwa mają zacząć obowiązywać natychmiast po zatwierdzeniu przez Parlament Europejski i Radę UE. Do zatwierdzenia zostaną również przedstawione towarzyszące zmiany dyrektywy NIS 2. Po przyjęciu dyrektywy państwa członkowskie będą miały rok na jej wdrożenie do prawa krajowego i przekazanie odpowiednich tekstów Komisji.
