Państwa członkowskie Unii Europejskiej uzgadniają wspólne stanowisko w sprawie ukierunkowanej nowelizacji aktu prawnego o cyberbezpieczeństwie.
Aby zwiększyć cyberodporność UE i umożliwić w przyszłości przyjęcie europejskich systemów certyfikacji "zarządzanych usług bezpieczeństwa", przedstawiciele państw członkowskich (Coreper) wypracowali wspólne stanowisko w sprawie proponowanej ukierunkowanej zmiany unijnego aktu o cyberbezpieczeństwie z 2019 r.
"Zarządzane usługi bezpieczeństwa", świadczone klientom przez wyspecjalizowane firmy, mają kluczowe znaczenie dla zapobiegania incydentom cybernetycznym, ich wykrywania, reagowania na nie i przywracania sprawności po nich. Mogą one polegać np. na wykrywaniu lub reagowaniu na incydenty, testach penetracyjnych lub audytach bezpieczeństwa lub doradztwie.
Główne cele wniosku Komisji
Ukierunkowana zmiana CSA, przedłożona wraz z wnioskiem dotyczącym unijnego aktu o solidarności cybernetycznej w celu wzmocnienia zdolności w zakresie cyberbezpieczeństwa w UE, ma na celu włączenie europejskich systemów certyfikacji cyberbezpieczeństwa dla "zarządzanych usług bezpieczeństwa" w zakres rozporządzenia CSA z 2019 r.
Poprawka ta umożliwi zatem ustanowienie europejskich systemów certyfikacji dla takich usług. Pomoże to poprawić ich jakość i porównywalność, sprzyjać powstawaniu zaufanych dostawców usług w dziedzinie cyberbezpieczeństwa i uniknąć rozdrobnienia rynku wewnętrznego, biorąc pod uwagę, że niektóre państwa członkowskie rozpoczęły już przyjmowanie krajowych systemów certyfikacji zarządzanych usług bezpieczeństwa.
Poprawki Rady
Stanowisko Rady zawiera następujące główne poprawki do wniosku Komisji:
Doprecyzowano w nim definicję "zarządzanych usług bezpieczeństwa" i dostosowano ją do zmienionej dyrektywy w sprawie sieciowych systemów informatycznych ("NIS 2")
W tekście dostosowano cele tych systemów certyfikacji w zakresie bezpieczeństwa do celów w zakresie bezpieczeństwa innych systemów na podstawie obowiązującego aktu o cyberbezpieczeństwie
Tekst zawiera zmiany w załączniku do aktu o cyberbezpieczeństwie, który zawiera wykaz wymogów, jakie muszą spełniać jednostki oceniające zgodność
wprowadzono szereg zmian technicznych i redakcyjnych, aby zapewnić, że wszystkie odpowiednie przepisy obowiązującego rozporządzenia w sprawie CSA mają zastosowanie również do zarządzanych usług bezpieczeństwa
Porozumienie w sprawie wspólnego stanowiska Rady ("mandat negocjacyjny") pozwoli prezydencji hiszpańskiej rozpocząć negocjacje z Parlamentem Europejskim ("rozmowy trójstronne") w sprawie ostatecznej wersji proponowanych przepisów.
Geneza,
Przyjęty w 2019 r. akt o cyberbezpieczeństwie ustanowił pierwsze ramy certyfikacji cyberbezpieczeństwa dla wszystkich państw członkowskich. Certyfikacja cyberbezpieczeństwa jest dobrowolna, chyba że prawo Unii lub prawo państwa członkowskiego stanowi inaczej.
Wniosek Komisji, przyjęty 18 kwietnia 2023 r., ma na celu ukierunkowaną zmianę zakresu aktu o cyberbezpieczeństwie, która umożliwiłaby Komisji przyjmowanie aktów wykonawczych w sprawie europejskich systemów certyfikacji cyberbezpieczeństwa w odniesieniu do "zarządzanych usług bezpieczeństwa", oprócz produktów informacyjno-technologicznych (ICT), usług ICT i procesów ICT, które są objęte obecnym aktem o cyberbezpieczeństwie.
We wniosku wprowadzono definicję "zarządzanych usług bezpieczeństwa", zgodną z definicją "dostawców zarządzanych usług w zakresie bezpieczeństwa" zawartą w dyrektywie NIS 2. Dodano w nim również nowy artykuł (art. 51a) dotyczący celów bezpieczeństwa europejskich systemów certyfikacji cyberbezpieczeństwa, dostosowany do zarządzanych usług bezpieczeństwa. Ponadto wniosek zawiera szereg zmian technicznych mających na celu zapewnienie, aby odpowiednie przepisy aktu o cyberbezpieczeństwie miały zastosowanie również do zarządzanych usług bezpieczeństwa.
Podstawą wniosku jest art. 114 TFUE (rynek wewnętrzny), ponieważ jego celem jest uniknięcie rozdrobnienia rynku wewnętrznego zarządzanych usług bezpieczeństwa poprzez umożliwienie przyjęcia europejskich systemów certyfikacji cyberbezpieczeństwa w odniesieniu do tych usług.
oprac e-red,ppr.pl; źródło: consilium.europa.eu
.png)
Zaloguj przez Facebook
