Какво представлява сертифицирането на фирми, според новия Акт за киберсигурността на ЕС?

Новите правила влязоха в сила на 27 юни. Те въвеждат доброволно сертифициране на продукти, процеси и услуги, което ще важи за целия Европейски съюз.


От Марин Маринов, публикувана на 27 юни 2019

Компаниите в Европейския съюз вече ще могат да използват единен сертификат за киберсигурност, който ще важи във всички държави членки. Това предвижда т.нар.Акт за киберсигурността, който влезе в сила на 27 юни. Целта е да се намалят разходите на бизнеса и да се гарантират определени нива на сигурност за потребителите, обясняват от Европейската комисия. Засега сертифицирането ще бъде доброволно, но след допълнителен анализ може да стане задължително за определени категории продукти и услуги или като цяло за IT-базирания бизнес. Новата правна рамка, също така, улеснява сътрудничеството между държавите членки и Агенцията на Европейския съюз за мрежова и информационна сигурност (ЕНИСА), която става постоянна структура и разширява обсега си на дейност.

Наричаният накратко “Акт за киберсигурността” е регламент на Европейския съюз, приет окончателно през пролетта на тази година. Новите правила създават единна схема за сертифициране - например, получен в България сертификат, ще важи за целия Евросъюз. По този начин фирмите няма да има нужда да кандидатстват за 28 отделни сертификата, каквато е настоящата ситуация. Единната схема ще улесни значително малките и средни предприятия, за които разходите за 28 отделни сертификата понякога се оказват пречка пред излизането им от конкретнинте национални граници и пълното възползване от възможностите на цифровия единен пазар.

Схемите ще влязат в сила след няколко месеца. Първо Европейската комисия ще натовари ЕНИСА със задачата да създаде ad hoc експертни групи, които ще изработят правилата за конкретни цифрови продукти и услуги. Схемите ще влязат в сила след одобрение от ЕК.

"Нарастването на цифровизацията и свързаността увеличи рисковете, свързани с киберсигурността, като по този начин обществото като цяло стана по-уязвимо за киберзаплахи и се изостриха опасностите за физически лица, включително уязвими лица, като например деца," се казва в мотивите към Акта за киберсигурността.

"С цел да се смекчат тези рискове за обществото, трябва да бъдат предприети всички необходими действия за подобряване на киберсигурността в Съюза, така че да бъде осигурена по-добра защита срещу киберзаплахи на мрежите и информационните системи, съобщителните мрежи, цифровите продукти, услугите и устройствата, използвани от гражданите, организациите и предприятията — от малките и средни предприятия (МСП)... до операторите на критична инфраструктура."

Сертифицирането

Единната схема за сертифициране ще включва правила, технически изисквания, стандарти и процедури за оценяване на киберсигурността. Те трябва да са съобразени с международните изисквания, за да се улесни не само търговията в цифровия единен пазар, но и износа извън ЕС. След одобрението на схемите от Европейската комисия, конкретните национални органи за киберсигурност ще са натоварени с тяхното изпълнение и контрол. Актът за киберсигурността позволява на компании, които в момента отговарят на основни правила за защита, да могат да се самооценяват. Все още обаче не е решено за кои категории продукти и услуги ще важи този вариант.

“Сертифицирането на киберсигурността играе важна роля за повишаване на сигурността и доверието в продукти, услуги и процеси, които са от решаващо значение за правилното функциониране на цифровия единен пазар,” обясняват от ЕК.

“Това дава възможност за полезна конкуренция между доставчиците на целия пазар на ЕС, което води до наличие на по-добри продукти и на по-добро съотношение между качество и цена.”

Поради голямото разнообразие на IT продуктите и услуги, новите правила въвеждат индивидуализирани схеми за сертифициране, основани на степента на риск. За всяка една от тези схеми, трябва да бъде посочено:

  • категориите обхванати продукти и услуги;
  • изискванията в областта на киберсигурността -  например позоваване на стандарти или технически спецификации;
  • вида на оценка на киберсигурността и кой ще го извършва: специално упълномощена трета страна или самооценка от дадената фирма;
  • желаното ниво на увереност - което бива  основно, значително и/или високо.

Офис на Агенцията на Европейския съюз за мрежова и информационна сигурност (ЕНИСА). Снимка: ЕК, лиценз CC.

“За изразяване на риска в областта на киберсигурността в сертификата може да се посочват три равнища на увереност (основно, значително и високо), които са съизмерими със степента на риск, свързана с предвидената употреба на даден продукт, услуга или процес по отношение на вероятността от възникване на инцидент и въздействието от него,” разясняват от ЕК.

“Например високо ниво на увереност означава, че продуктът, който е бил сертифициран, е преминал изпитванията за най-висока степен на сигурност.”

Периодично Европейската комисия ще прави анализ на схемите, след който може да реши те да станат частично или изцяло задължителни. Този анализ трябва да бъде извършван най-малко през пет години. По всяко едно време ЕК и специалната работна група по киберсигурността в ЕС могат да поръчат на ЕНИСА да изработи схеми за сертифициране за нови продукти и услуги.

Агенцията на Европейския съюз за мрежова и информационна сигурност

Новият регламент превръща ЕНИСА в постоянна структура. Досега тя беше с временен статут, който периодично трябваше да се подновява - процес, които значително затруднява работата и привличането на кадри. Сега по предварителни разчети бюджетът й се очаква да се увеличи от 11 на 23 милиона евро в следващите пет години а персоналът й да нарасне с 50%. С новите разпоредби, ЕНИСА ще разполага с повече средства и персонал, както и ще може да планира дългосрочни стратегии и задачи.

Освен това, държавите членки вече ще могат да се консултират с агенцията в случай на кибератака веднага и да търсят нейни експерти и съвети за справяне с проблема. Това е промяна с досегашния по-скоро анализаторски статут на ЕНИСА, посочват от ЕК. Също така, агенцията ще помага на националните правителства и с конкретни предложения за предотвратяване на подобен вид атаки. 

От 2016 година, когато влезе в сила  Директивата относно сигурността на мрежите и информационните системи (Директивата за МИС), ЕНИСА разполага  мрежата от екипи за реагиране при инциденти с компютърната сигурност (CSIRT), която обединява националните екипи на държавите — членки на ЕС. За България това е CERT Bulgaria - Националният център за действие при инциденти в информационната сигурност. CERT Bulgaria публикува предупреждения за проблеми в киберсигурността от целия Европейски съюз.

"Броят на кибератаките нараства, а икономиката и обществото, които са свързани с интернет, са по-уязвими за киберзаплахи и кибератаки и имат нужда от засилени защитни механизми," се казва в Акта за киберсигурността.

"Независим от факта обаче, че кибератаките често са трансгранични, правомощията и политическият отговор на органите по киберсигурността и на правоприлагащите органи са основно национални. Широкомащабните инциденти могат да нарушат предоставянето на важни услуги в целия Съюз. Това изисква ефективен и координиран отговор и ефективно управление на кризи на равнището на Съюза"

Какво следва?

До октомври тази година държавите членки трябва да направят оценка на риска на една от ключовите технологии за развитието на икономиката на бъдещето и потенциален канал за кибератаки - 5G. Също така, правителствата трябва да предложат на ЕК до декември да набор от възможни мерки за предотвратяване на бъдещи злонамерени действия към продукти, услуги и инфраструктура, базирани на тази технология.

Познаваш ли български личности и фирми, които намират решения на предизвикателствата на 21 век, като борбата с кибератаките? Посочи ги в нашия проек “The ChangeMakers of Bulgaria”.

Двигателите на промяната е проект на MOVE.BG, който идентифицира, свързва и обединява променящите България в национална мрежа. България има таланти, които адресират световни предизвикателства. В MOVE.BG искаме да покажем техните лица и да стимулираме промяната от България за света.

Посочи променящите сега!

Създаваме заедно нашето утре!

Автор
още по темата

още от Решения за България: Digital