21
listopad
Komisja Europejska prowadzi konsultacje publiczne przepisów prawa gospodarczego (cyberbezpieczeństwo w UE)– zgodnie z założeniami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – wniosek dotyczący rozporządzenia zmieniającego rozporządzenie (UE) 2019/881 w odniesieniu do usług zarządzanych w zakresie bezpieczeństwa.
Ostateczny termin na przesłanie opinii to 20 lipca 2023 r.
Proponowana ukierunkowana zmiana ma na celu umożliwienie, w drodze aktów wykonawczych Komisji, przyjmowania europejskich programów certyfikacji cyberbezpieczeństwa w odniesieniu do „usług zarządzanych w zakresie bezpieczeństwa”, oprócz produktów opartych na technologiach informacyjno–komunikacyjnych (ICT), usług ICT i procesów ICT, które są już objęte aktem o cyberbezpieczeństwie.
Usługi zarządzane w zakresie bezpieczeństwa odgrywają coraz większą rolę w zapobieganiu cyberincydentom i ograniczaniu ich skutków. W konkluzjach z dnia 23 maja 2022 r. o rozwijaniu pozycji Unii Europejskiej w kwestiach cyberprzestrzeni Rada wezwała Unię i jej państwa członkowskie do zintensyfikowania starań na rzecz zwiększenia ogólnego poziomu cyberbezpieczeństwa, na przykład poprzez ułatwianie powstawania zaufanych dostawców usług w zakresie cyberbezpieczeństwa, oraz podkreśliła, że wspieranie rozwoju takich dostawców powinno stanowić priorytet polityki przemysłowej Unii w dziedzinie cyberbezpieczeństwa. Rada zwróciła się również do Komisji o przedstawienie możliwości wspierania powstawania branży zaufanych usług w zakresie cyberbezpieczeństwa. Certyfikacja usług zarządzanych w zakresie bezpieczeństwa jest skutecznym sposobem budowania zaufania do jakości tych usług, a tym samym sprzyja powstaniu europejskiej branży zaufanych usług w zakresie cyberbezpieczeństwa.
Niniejszy wniosek jest spójny z aktem o cyberbezpieczeństwie, który zmienia. Opiera się on na przepisach tego rozporządzenia i dostosowuje je w taki sposób, aby obejmowały również usługi zarządzane w zakresie bezpieczeństwa. Proponowane zmiany są ograniczone do tego, co jest absolutnie konieczne, i nie powodują zmiany charakterystyki ani funkcjonowania aktu o cyberbezpieczeństwie.
Niniejszy wniosek jest ponadto zgodny z dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)4. Zgodnie z dyrektywą (UE) 2022/2555 dostawcy usług zarządzanych w zakresie bezpieczeństwa są uznawani za kluczowe lub ważne podmioty należące do sektora kluczowego. Motyw 86 tej dyrektywy stanowi, że szczególnie ważną rolę w pomaganiu podmiotom w działaniach mających na celu zapobieganie incydentom, wykrywanie ich, reagowanie na nie lub przywracanie normalnego działania po ich wystąpieniu odgrywają dostawcy usług zarządzanych w zakresie bezpieczeństwa zajmujący się obszarami takimi jak reagowanie na incydenty, testy penetracyjne, audyty bezpieczeństwa i doradztwo. Dostawcy usług zarządzanych w zakresie bezpieczeństwa również sami padają jednak ofiarą cyberataków, a ponieważ ich działalność jest ściśle zintegrowana z operacjami ich klientów, stanowią oni szczególne ryzyko. W związku z tym przy wyborze dostawcy usług zarządzanych w zakresie bezpieczeństwa podmioty kluczowe i ważne w rozumieniu przepisów dyrektywy (UE) 2022/2555 powinny dochować szczególnej staranności.
Uprzejmie prosimy o przesłanie wszelkich uwag oraz opinii na adres: szkop@pracodawcy.pl
W załączeniu znajduje się wniosek dotyczący rozporządzenia.
Więcej informacji jest dostępnych pod linkiem KE: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13815-Cyberbezpieczenstwo-wniosek-w-sprawie-zmiany-aktu-o-cyberbezpieczenstwie_pl
Najnowsze wpisy
19
listopad