21
listopad
Akt o cyberbezpieczeństwie – przepisy dotyczące notyfikacji jednostkek oceniających zgodność na podstawie aktu UE o cyberbezpieczeństwie
Komisja Europejska prowadzi konsultacje publiczne przepisów prawa gospodarczego (cyberbezpieczeństwo w UE)– zgodnie z założeniami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) oraz Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – projekt rozporządzenia wykonawczego KE ustanawiającego okoliczności, formaty i procedury powiadomień zgodnie z artykułem 61(5) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych.
Ostateczny termin na przesłanie opinii to 18 października 2024 r.
W odniesieniu do każdego europejskiego programu certyfikacji cyberbezpieczeństwa krajowe organy ds. certyfikacji cyberbezpieczeństwa muszą notyfikować Komisji, które z jednostek oceniających zgodność mają kompetencje do wydawania europejskich certyfikatów cyberbezpieczeństwa w ich kraju (art. 61 ust. 1 aktu o cyberbezpieczeństwie).
Wspomniane jednostki oceniające zgodność muszą być akredytowane i – w stosownych przypadkach – upoważnione (art. 60 aktu o cyberbezpieczeństwie).
Na mocy tego rozporządzenia wykonawczego Komisja określa okoliczności, formaty i procedury dotyczące tych notyfikacji (art. 61 ust. 5 aktu o cyberbezpieczeństwie) w ramach różnych programów certyfikacji.
Usługi zarządzane w zakresie bezpieczeństwa odgrywają coraz większą rolę w zapobieganiu cyberincydentom i ograniczaniu ich skutków. W konkluzjach z dnia 23 maja 2022 r. o rozwijaniu pozycji Unii Europejskiej w kwestiach cyberprzestrzeni Rada wezwała Unię i jej państwa członkowskie do zintensyfikowania starań na rzecz zwiększenia ogólnego poziomu cyberbezpieczeństwa, na przykład poprzez ułatwianie powstawania zaufanych dostawców usług w zakresie cyberbezpieczeństwa, oraz podkreśliła, że wspieranie rozwoju takich dostawców powinno stanowić priorytet polityki przemysłowej Unii w dziedzinie cyberbezpieczeństwa. Rada zwróciła się również do Komisji o przedstawienie możliwości wspierania powstawania branży zaufanych usług w zakresie cyberbezpieczeństwa. Certyfikacja usług zarządzanych w zakresie bezpieczeństwa jest skutecznym sposobem budowania zaufania do jakości tych usług, a tym samym sprzyja powstaniu europejskiej branży zaufanych usług w zakresie cyberbezpieczeństwa.
Zgodnie z artykułem 61(1) rozporządzenia (UE) 2019/881 krajowe organy certyfikacji cyberbezpieczeństwa (NCCA) są odpowiedzialne za powiadamianie Komisji o jednostkach oceny zgodności, które zostały akredytowane i, w stosownych przypadkach, upoważnione do wydawania europejskich certyfikatów cyberbezpieczeństwa na określonych poziomach zapewnienia bezpieczeństwa, i powinny aktualizować powiadomienie. Ponadto, zgodnie z artykułem 61(2) rozporządzenia (UE) 2019/881, Komisja jest zobowiązana opublikować w Dzienniku Urzędowym Unii Europejskiej listę jednostek oceny zgodności notyfikowanych w ramach europejskiego systemu certyfikacji cyberbezpieczeństwa rok po wejściu systemu w życie. Aby zapewnić zharmonizowane podejście do powiadomień i ułatwić proces powiadomień dla NCCA, niniejsze rozporządzenie powinno dodatkowo określić okoliczności, formaty i procedury powiadomień. Aspekty te są ważne do wyjaśnienia w kontekście stosowania pierwszego europejskiego systemu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC) ustanowionego rozporządzeniem wykonawczym Komisji (UE) 2024/482.
Więcej informacji, opinii oraz ocen skutków regulacji jest dostępnych pod linkiem KE:
Uprzejmie prosimy o przesłanie wszelkich uwag oraz opinii na adres: szkop@pracodawcy.pl.
W załączeniu znajduje się projekt rozporządzenia wykonawczego wraz z załącznikiem.
Źródło: Komisja Europejska
Najnowsze wpisy
19
listopad