Europa se svakodnevno suočava s kibernapadima i hibridnim prijetnjama usmjerenima na ključne usluge i demokratske institucije, koje provode sofisticirane državne i kriminalne skupine. U odgovoru na sve izraženije rizike, Europska komisija danas je predstavila novi paket mjera za jačanje kibersigurnosti u Europskoj uniji.
Paket uključuje prijedlog revidiranog Akta o kibersigurnosti, čiji je cilj ojačati otpornost EU-a i sigurnost lanaca opskrbe u području informacijskih i komunikacijskih tehnologija (IKT). Predložene izmjene trebale bi osigurati da proizvodi koji dolaze na tržište EU-a budu kibersigurni, uz pojednostavljen i učinkovitiji sustav certificiranja. Istodobno se jača uloga Agencije EU-a za kibersigurnost (ENISA) u potpori državama članicama i institucijama EU-a u upravljanju kibernetičkim prijetnjama.
Jačanje sigurnosti IKT lanaca opskrbe
Novi Akt o kibersigurnosti usmjeren je na smanjenje rizika u lancima opskrbe IKT-om, osobito kada je riječ o dobavljačima iz trećih zemalja koji predstavljaju sigurnosni rizik. Uvodi se pouzdan, usklađen i proporcionalan okvir temeljen na procjeni rizika, koji će omogućiti EU-u i državama članicama da zajednički identificiraju i ublaže prijetnje u 18 ključnih sektora, uz uvažavanje gospodarskih učinaka i stanja na tržištu.
Nedavni kibernetički incidenti pokazali su koliko su slabosti u lancima opskrbe opasne za funkcioniranje ključnih usluga i infrastrukture. U aktualnom geopolitičkom kontekstu sigurnost lanca opskrbe više se ne odnosi samo na tehničke karakteristike proizvoda i usluga, nego i na rizike povezane s dobavljačima, uključujući ovisnosti i mogućnosti vanjskog uplitanja.
Aktom se predviđa i obvezno smanjenje rizika u europskim mobilnim telekomunikacijskim mrežama povezanih s visokorizičnim dobavljačima iz trećih zemalja, nadovezujući se na postojeće sigurnosne mjere za 5G mreže.
Jednostavniji i učinkovitiji sustav certifikacije
Revidirani Akt o kibersigurnosti donosi i poboljšanja europskog okvira za kibersigurnosnu certifikaciju. Cilj je učinkovitije testiranje sigurnosti proizvoda i usluga koji dolaze do potrošača u EU-u, uz jasnije i jednostavnije postupke. Programi certificiranja trebali bi se razvijati u roku od 12 mjeseci, uz transparentnije upravljanje i veće uključivanje dionika kroz javna savjetovanja.
Certifikacija će ostati dobrovoljan alat kojim upravlja ENISA, a poduzećima će omogućiti lakše dokazivanje usklađenosti s propisima EU-a, uz smanjenje administrativnog opterećenja i troškova. Osim proizvoda i usluga, organizacije će moći certificirati i svoju prisutnost na internetu. Obnovljeni sustav trebao bi povećati povjerenje građana, poduzeća i javnih tijela u sigurnost složenih IKT lanaca opskrbe te donijeti konkurentsku prednost poduzećima iz EU-a.
Manje administracije, veća pravna jasnoća
Paket mjera predviđa i pojednostavnjenje usklađivanja s pravilima EU-a o kibersigurnosti, posebno za poduzeća. Ciljane izmjene Direktive NIS2 trebale bi povećati pravnu jasnoću i olakšati primjenu propisa za oko 28.700 poduzeća, uključujući 6.200 mikropoduzeća i malih poduzeća. Uvodi se i nova kategorija malih poduzeća srednje tržišne kapitalizacije, čime bi se smanjili troškovi usklađivanja za dodatnih 22.500 poduzeća.
Izmjenama se pojednostavljuju pravila o nadležnosti, poboljšava prikupljanje podataka o napadima ucjenjivačkim softverom te olakšava nadzor prekograničnih subjekata, uz snažniju koordinacijsku ulogu ENISA-e.
Jačanje uloge ENISA-e
Od donošenja prvog Akta o kibersigurnosti 2019. ENISA je postala središnja institucija europskog ekosustava kibersigurnosti. Revidirani Akt dodatno jača njezine ovlasti kako bi pomogla EU-u i državama članicama u razumijevanju zajedničkih prijetnji te u pripremi i odgovoru na kibernetičke incidente.
Agencija će izdavati rana upozorenja o prijetnjama i incidentima te, u suradnji s Europolom i timovima za odgovor na računalne sigurnosne incidente, pomagati poduzećima u suočavanju s napadima ucjenjivačkim softverom i oporavku nakon njih. ENISA će razviti i zajednički pristup upravljanju ranjivostima te upravljati jedinstvenom ulaznom točkom za prijavu incidenata.
Osim toga, ENISA će imati ključnu ulogu u razvoju kvalificirane radne snage u području kibersigurnosti, kroz pilot-projekt Akademije za kibersigurnosne vještine i uspostavu programa potvrde vještina na razini EU-a.
Što dalje slijedi?
Akt o kibersigurnosti stupit će na snagu nakon odobrenja Europskog parlamenta i Vijeća EU-a. Izmjene Direktive NIS2 također će biti upućene na usvajanje, a nakon donošenja države članice imat će godinu dana za njihovu provedbu u nacionalno zakonodavstvo.
RSS
