Wzmocnienie cyberbezpieczeństwa UE: harmonizacja, odporność i bezpieczeństwo łańcucha dostaw ICT
- Katarzyna Celińska
- 28 sty
- 2 minut(y) czytania
Komisja Europejska przedstawiła nowy pakiet dotyczący cyberbezpieczeństwa, którego celem jest wzmocnienie odporności i zdolności UE w zakresie cyberbezpieczeństwa w odpowiedzi na rosnące zagrożenia cybernetyczne i hybrydowe wymierzone w usługi krytyczne, infrastrukturę i instytucje demokratyczne.
Pakiet składa się przede wszystkim z:
➡️ zmienionej ustawy o cyberbezpieczeństwie,
➡️ ukierunkowanych zmian do dyrektywy NIS2,
➡️ oraz rozszerzonej roli ENISA jako centralnego organu koordynującego.
Obraz autorstwa DC Studio na Freepik
Bezpieczeństwo łańcucha dostaw
Jednym z najważniejszych elementów zmienionej ustawy o cyberbezpieczeństwie jest nacisk na bezpieczeństwo łańcucha dostaw ICT.
Komisja proponuje:
➡️ zharmonizowane, oparte na ryzyku ramy UE dotyczące zabezpieczenia łańcuchów dostaw ICT,
➡️ wspólną identyfikację i ograniczanie ryzyka w 18 kluczowych sektorach,
➡️ wyraźne uwzględnienie ryzyka związanego z dostawcami, w tym:
☑️ zależności,
☑️ ingerencji zagranicznej,
☑️ narażenia geopolitycznego.
Europejskie ramy certyfikacji cyberbezpieczeństwa
Zmieniona ustawa wzmacnia również i upraszcza europejskie ramy certyfikacji cyberbezpieczeństwa:
➡️ szybsze opracowywanie systemów certyfikacji,
➡️ jaśniejsze i bardziej przejrzyste zarządzanie,
➡️ większe zaangażowanie zainteresowanych stron,
➡️ szerszy zakres — obejmujący usługi, procesy i zarządzane usługi bezpieczeństwa.
Certyfikacja pozostaje dobrowolna, ale jest wyraźnie pozycjonowana jako:
➡️ praktyczne narzędzie wykazania zgodności,
➡️ sposób na zmniejszenie obciążeń regulacyjnych,
➡️ przewaga konkurencyjna dla przedsiębiorstw z UE.
Ułatwianie zgodności z NIS2
Pakiet wprowadza również ukierunkowane zmiany do NIS2 w celu:
➡️ uproszczenia przepisów dotyczących jurysdykcji,
➡️ usprawnienia obowiązków sprawozdawczych,
➡️ zmniejszenia obciążeń związanych z zapewnieniem zgodności dla:
☑️ mikroprzedsiębiorstw i małych przedsiębiorstw,
☑️ oraz nowej kategorii małych przedsiębiorstw o średniej kapitalizacji.
ENISA
W ramach zmienionych ram ENISA będzie:
➡️ wydawać wczesne ostrzeżenia dotyczące cyberzagrożeń i incydentów,
➡️ wspierać reagowanie na incydenty i usuwanie ich skutków,
➡️ opracowywać podejście na szczeblu unijnym do zarządzania podatnością na zagrożenia,
➡️ obsługiwać pojedynczy punkt zgłoszeń incydentów,
➡️ wspierać rozwój umiejętności w zakresie cyberbezpieczeństwa.
Z dużym zadowoleniem przyjmuję to podejście do wzmocnienia cyberbezpieczeństwa w całej UE i harmonizacji sposobu jego zapewniania.
W szczególności skupienie się na bezpieczeństwie łańcucha dostaw ICT jest od dawna oczekiwane.
Jest to obszar, w którym niektóre państwa członkowskie – w tym Polska – od lat zmagają się z wdrażaniem spójnych i egzekwowalnych podejść. Fragmentacja, niejasny podział obowiązków i rozwiązania o zasięgu wyłącznie krajowym okazały się niewystarczające na wysoce połączonym rynku cyfrowym.
Autor: Sebastian Burgemejster
Komentarze