Związek Pracodawców POLSKA MIEDŹ | » Cyberbezpieczeństwo – wniosek w sprawie zmiany aktu o cyberbezpieczeństwie

Cyberbezpieczeństwo – wniosek w sprawie zmiany aktu o cyberbezpieczeństwie

Komisja Europejska prowadzi konsultacje publiczne przepisów prawa gospodarczego (cyberbezpieczeństwo w UE)– zgodnie z założeniami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – wniosek dotyczący rozporządzenia zmieniającego rozporządzenie (UE) 2019/881 w odniesieniu do usług zarządzanych w zakresie bezpieczeństwa.

Ostateczny termin na przesłanie opinii to 20 lipca 2023 r.

Proponowana ukierunkowana zmiana ma na celu umożliwienie, w drodze aktów wykonawczych Komisji, przyjmowania europejskich programów certyfikacji cyberbezpieczeństwa w odniesieniu do „usług zarządzanych w zakresie bezpieczeństwa”, oprócz produktów opartych na technologiach informacyjno–komunikacyjnych (ICT), usług ICT i procesów ICT, które są już objęte aktem o cyberbezpieczeństwie.

Usługi zarządzane w zakresie bezpieczeństwa odgrywają coraz większą rolę w zapobieganiu cyberincydentom i ograniczaniu ich skutków. W konkluzjach z dnia 23 maja 2022 r. o rozwijaniu pozycji Unii Europejskiej w kwestiach cyberprzestrzeni Rada wezwała Unię i jej państwa członkowskie do zintensyfikowania starań na rzecz zwiększenia ogólnego poziomu cyberbezpieczeństwa, na przykład poprzez ułatwianie powstawania zaufanych dostawców usług w zakresie cyberbezpieczeństwa, oraz podkreśliła, że wspieranie rozwoju takich dostawców powinno stanowić priorytet polityki przemysłowej Unii w dziedzinie cyberbezpieczeństwa. Rada zwróciła się również do Komisji o przedstawienie możliwości wspierania powstawania branży zaufanych usług w zakresie cyberbezpieczeństwa. Certyfikacja usług zarządzanych w zakresie bezpieczeństwa jest skutecznym sposobem budowania zaufania do jakości tych usług, a tym samym sprzyja powstaniu europejskiej branży zaufanych usług w zakresie cyberbezpieczeństwa.

Niniejszy wniosek jest spójny z aktem o cyberbezpieczeństwie, który zmienia. Opiera się on na przepisach tego rozporządzenia i dostosowuje je w taki sposób, aby obejmowały również usługi zarządzane w zakresie bezpieczeństwa. Proponowane zmiany są ograniczone do tego, co jest absolutnie konieczne, i nie powodują zmiany charakterystyki ani funkcjonowania aktu o cyberbezpieczeństwie.

Niniejszy wniosek jest ponadto zgodny z dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającą dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)4. Zgodnie z dyrektywą (UE) 2022/2555 dostawcy usług zarządzanych w zakresie bezpieczeństwa są uznawani za kluczowe lub ważne podmioty należące do sektora kluczowego. Motyw 86 tej dyrektywy stanowi, że szczególnie ważną rolę w pomaganiu podmiotom w działaniach mających na celu zapobieganie incydentom, wykrywanie ich, reagowanie na nie lub przywracanie normalnego działania po ich wystąpieniu odgrywają dostawcy usług zarządzanych w zakresie bezpieczeństwa zajmujący się obszarami takimi jak reagowanie na incydenty, testy penetracyjne, audyty bezpieczeństwa i doradztwo. Dostawcy usług zarządzanych w zakresie bezpieczeństwa również sami padają jednak ofiarą cyberataków, a ponieważ ich działalność jest ściśle zintegrowana z operacjami ich klientów, stanowią oni szczególne ryzyko. W związku z tym przy wyborze dostawcy usług zarządzanych w zakresie bezpieczeństwa podmioty kluczowe i ważne w rozumieniu przepisów dyrektywy (UE) 2022/2555 powinny dochować szczególnej staranności.