Akt o kibernetski varnosti – poslovna priložnost ponudnikov IKT rešitev

Povečana digitalizacija in globalna povezljivost povečujeta tveganja kibernetske varnosti, s čimer smo družba kot celota postali bolj ranljivi za kibernetske napade. Zato je bilo na ravni Evropske Unije nujno sprejeti potrebne ukrepe za zmanjšanje teh tveganj in izboljšanje kibernetske varnosti na enoten in med članicami usklajen način.

Gostujoče pero: dr. Andrej Rakar, Vodja informacijske varnosti, SIQ Ljubljana

Ključno vlogo pri tem ima Evropska agencija za varnost omrežij in informacij (ENISA) - članicam EU in njihovim institucijam naj bi pomagala okrepiti sposobnost in pripravljenost za preprečevanje, odkrivanje ter odzivanje na kibernetskih groženj in incidentov v zvezi z varnostjo omrežij in informacij.

Trenutno se certificiranje kibernetske varnosti IKT izdelkov, storitev in procesov izvaja le v omejenem obsegu in na prostovoljni ravni. Certifikacijske sheme so določene na ravni nekaterih držav članic, pridobljeni nacionalni certifikat o kibernetski varnosti pa v drugih državah članicah načeloma ni priznan.

Z namenom zmanjšanja stroškov za ponudnike rešitev IKT, ki poslujejo na enotnem digitalnem trgu, je bila 17. aprila 2019 sprejeta Uredba (EU) 2019/881 Evropskega parlamenta in Sveta, ki govori o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti (t.i. akt o kibernetski varnosti). Namen Uredbe je vzpostaviti evropski okvir zagotavljanja minimalnih standardov s področja kibernetske varnosti z dvema ciljema:

• povečati zaupanje v izdelke IKT, storitve in procese, ki so bili certificirani po evropskih certifikacijskih shemah,

• urediti izdajanje evropskih certifikatov o kibernetski varnosti, ki so medsebojno priznani in uporabljani v vseh državah članicah.

Pri tem je ključnega pomena neodvisnost organov za ugotavljanje skladnosti. Uredba določa naslednje stroge kriterije:

• Organi za ugotavljanje skladnosti, njihovo najvišje vodstvo in osebe, odgovorne za izvajanje nalog ugotavljanja skladnosti, niso snovalci, proizvajalci, dobavitelji oziroma ponudniki, monterji, kupci, lastniki, uporabniki ali vzdrževalci proizvoda IKT, storitve IKT ali postopka IKT, katerega skladnost ugotavljajo, niti niso pooblaščeni zastopniki katere koli od navedenih strani.

• Organi za ugotavljanje skladnosti, njihovo najvišje vodstvo in osebe, odgovorne za izvajanje nalog ugotavljanja skladnosti, ne sodelujejo neposredno pri snovanju, proizvodnji ali izdelavi, trženju, montaži, uporabi ali vzdrževanju proizvodov IKT, storitev IKT ali postopkov IKT, katerih skladnost ugotavljajo, niti ne zastopajo strani, ki sodelujejo pri teh dejavnostih.

Akt o kibernetski varnosti je del evropskega ekosistema kibernetske varnosti, ki ga sestavljajo direktiva NIS za kritično infrastrukturo države, uredba o elektronski identifikaciji in storitvah zaupanja eIDAS, direktiva o plačilnih storitvah PSD2, uredba o varstvu osebnih podatkov GDPR ter prihajajoča uredba ePrivacy o spoštovanju zasebnosti in varstvu osebnih podatkov na področju elektronskih komunikacij. Namen je seveda spodbujanje uporabe varnih in zaupanja vrednih proizvodov, storitev in postopkov na skupnem digitalnem trgu.

V trenutni fazi je odločitev o certificiranju rešitev IKT prepuščena lastni presoji podjetij, ki v tem vidijo poslovno priložnost. Pričakujemo pa lahko, da bo certificiranje postalo obvezno na področjih, ki so bistvenega pomena za Evropsko Unijo (kritična infrastruktura, varstvo zasebnosti, zdravje in varnost ljudi). Zato bodo lahko le ponudniki rešitev IKT, ki bodo pravočasno sprejeli ukrepe za zagotavljanje skladnosti z zahtevami Akta o kibernetski varnosti, tudi v prihodnje ohranili konkurenčnost na trgu.