Znaczenie certyfikacji w systemie cyberbezpieczeństwa

W związku z Aktem o cyberbezpieczeństwie i przepisami prawa europejskiego zawartymi w rozporządzeniu w sprawie ENISA, konieczne jest stworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, aby dostosować polskie regulacje do rynku europejskiego. Te zmiany pojawiają się w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który ponownie trafił pod obrady Rady Ministrów. Utworzenie przejrzystych zasad certyfikacji cyberbezpieczeństwa pozwoli na stworzenie jednolitych zasad uznawania, że produkty, usługi i procesy ICT spełniają ustalone przez Unię Europejską wymogi.

Zagadnienia związane z cyberbezpieczeństwem są obecnie jednymi z najważniejszych obszarów prawidłowego funkcjonowania nie tylko samej branży, ale również całego państwa. Kwestie związane z bezpieczeństwem dotyczą wszystkich bez wyjątku, a praktyki związane ze zgodnością i polityką działania są istotne zarówno dla sektora prywatnego, jak i publicznego. Nie dziwi, więc fakt, że temat certyfikacji cyberbezpieczeństwa i wszystkich zapisów z nim związanych budzi tak wiele dyskusji.

Certyfikacja cyberbezpieczeństwa ma znaczenie

26 maja 2021 r. ENISA formalnie przekazała Komisji Europejskiej pierwszy unijny program certyfikacji cyberbezpieczeństwa – European Union Common Criteria scheme. Program został oparty na międzynarodowych standardach Common Criteria, Common Methodology for Information Technology Security Evaluation (CC) oraz normy ISO/IEC 15408 i ISO/IEC 18045. Program EUCC został przygotowany przez ENISA przy wsparciu grupy ekspertów ds. certyfikacji cyberbezpieczeństwa i przedstawicieli państw członkowskich UE wchodzących w skład Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa (ECCG).

Europejskie ramy certyfikacji cyberbezpieczeństwa określają mechanizm ustanawiania europejskich programów certyfikacji cyberbezpieczeństwa i potwierdzania, że produkty, usługi i procesy ICT, które oceniono na podstawie tych programów, są zgodne z określonymi wymogami mającymi na celu zabezpieczenie dostępności, autentyczności, integralności lub poufności przechowywanych, przekazywanych lub przetwarzanych danych bądź funkcji lub usług oferowanych albo dostępnych za ich pośrednictwem w trakcie całego cyklu życia.

- Certyfikacja cyberbezpieczeństwa to nic innego jak potwierdzenie zgodności rozwiązań z określonymi kryteriami, dokonane przez niezależny podmiot na podstawie ewaluacji przeprowadzonej przez akredytowane laboratorium. W niektórych sektorach, np. technologii informacyjnych, certyfikacja jest szeroko rozpowszechniona i stanowi o przewadze konkurencyjnej firm. Odpowiada także za podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiąganie zdolności do skutecznego zapobiegania i reagowania na incydenty – wyjaśnia Wiesław Paluszyński, wiceprezes PIIT oraz przewodniczący Sektorowej Rady ds. kompetencji Telekomunikacja i Cyberbezpieczeństwo.

Europejskie zmiany legislacyjne zapewniają warunki do utworzenia krajowego systemu certyfikacji cyberbezpieczeństwa, który pozwoli wszystkim zainteresowanym podmiotom na dostęp do możliwości testowania, badania produktów ICT, usług i procesów, otrzymywania certyfikatów cyberbezpieczeństwa opartych na europejskich programach, a także powszechnie uznawanych na obszarze Unii Europejskiej.

Akt o cyberbezpieczeństwie

Akt o cyberbezpieczeństwie - znany jako Cybersecurity Act, to druga po dyrektywnie NIS ogólnoeuropejska regulacja w zakresie cyberbezpieczeństwa. Warto podkreślić, że certyfikacja cyberbezpieczeństwa określona przez Akt o cyberbezpieczeństwie jest dobrowolna, o ile prawo Unii Europejskiej lub prawo państwa członkowskiego nie stanowi inaczej. Komisja Europejska ma za zadanie regularnie oceniać wydajność i użyteczność przyjętych europejskich programów certyfikacji cyberbezpieczeństwa oraz to, czy określony program należy uczynić obowiązkowym za pomocą regulacji unijnych w celu zapewnienia odpowiedniego poziomu cyberbezpieczeństwa produktów, usług i procesów ICT i poprawy funkcjonowania rynku wewnętrznego.

- Z istotnych kwestii, w odniesieniu do programów europejskich, w Akcie o cyberbezpieczeństwie wprowadza się poziomy uzasadnienia zaufania, które muszą być proporcjonalne do poziomu ryzyka związanego z przewidzianym stosowaniem produktu, usługi czy procesu ICT pod względem prawdopodobieństwa wystąpienia i skutków incydentu – dodaje Wiesław Paluszyński. - Co równie ważne, na podstawowym poziomie dopuszcza się samoocenę, można powiedzieć, że samocertyfikację zgodności. Akt przewiduje także określanie treści i formatu wydawanego certyfikatu lub deklaracji zgodności.

Certyfikacja cyberbezpieczeństwa w ustawie o KSC

Właściwe i skuteczne działanie systemu certyfikacji będzie w znacznej mierze zależało od jednostek oceniających. Będą one musiały spełniać szczegółowe wymogi dotyczące ich kwalifikacji technicznych, które zostaną wskazane w krajowym programie certyfikacji cyberbezpieczeństwa, określonym w formie rozporządzenia Rady Ministrów. Oceny zgodności w ramach krajowego systemu certyfikacji cyberbezpieczeństwa mają dokonywać jednostki oceniające, akredytowane przez Polskie Centrum Akredytacji. Prace nad ustawą o krajowym systemie cyberbezpieczeństwa nadal trwają, a branża ICT oczekuje na ich zakończenie.

Certyfikacja cyberbezpieczeństwa to kolejny, niezwykle istotny element europejskiej strategii jednolitego rynku cyfrowego. Stworzenie europejskich ram certyfikacji cyberbezpieczeństwa to przełomowy krok, który w efekcie umożliwi zniesienie barier w cyfryzacji i zwiększy konkurencyjność europejskich firm.

- W celu dalszego rozwoju sektora technologii informatycznych i komunikacyjnych niezbędne jest włączenie Polski w międzynarodowy system oceny i certyfikacji oparty na międzynarodowych normach i standardach – przekonuje Wiesław Paluszyński.

Warto przy tym także zwrócić uwagę na ciągły deficyt wykwalifikowanych ekspertów w zakresie certyfikacji cyberbezpieczeństwa, którzy w perspektywie najbliższych kilku lat będą wdrażać nowe zasady do codziennego funkcjonowania. W prawidłowym reagowaniu na incydenty główną rolę pełnią właśnie ludzie, a to w jaki sposób powinno się kształcić i rozwijać kompetencji w zakresie cyberbezpieczeństwie jest jednym z najważniejszych elementów, które nadal wymagają dopracowania.