Προκειμένου να ενισχύουν την ανθεκτικότητα της ΕΕ στον κυβερνοχώρο καθιστώντας δυνατή τη μελλοντική έγκριση ευρωπαϊκών σχημάτων πιστοποίησης για τις «διαχειριζόμενες υπηρεσίες ασφάλειας», οι εκπρόσωποι των κρατών μελών (ΕΜΑ) κατέληξαν σε κοινή θέση σχετικά με την προτεινόμενη στοχευμένη τροποποίηση της πράξης της ΕΕ για την κυβερνοασφάλεια (CSA) του 2019.
Οι «διαχειριζόμενες υπηρεσίες ασφάλειας», που παρέχονται σε πελάτες από εξειδικευμένες εταιρείες, είναι ζωτικής σημασίας για την πρόληψη, τον εντοπισμό και την αντιμετώπιση περιστατικών κυβερνοασφάλειας καθώς και για την ανάκαμψη μετά από τέτοια περιστατικά. Περιλαμβάνουν, μεταξύ άλλων, τον εντοπισμό και την αντιμετώπιση περιστατικών, δοκιμές διείσδυσης, ελέγχους ασφάλειας και παροχή συμβουλών.
Κυριότερα σημεία της πρότασης της Επιτροπής
Η στοχευμένη τροποποίηση της πράξης της ΕΕ για την κυβερνοασφάλεια (CSA) έχει ως στόχο να συμπεριλάβει στο πεδίο εφαρμογής του κανονισμού του 2019 τα ευρωπαϊκά σχήματα πιστοποίησης της κυβερνοασφάλειας για τις «διαχειριζόμενες υπηρεσίες ασφάλειας», και υποβλήθηκε μαζί με πρόταση για πράξη της ΕΕ για την αλληλεγγύη στον κυβερνοχώρο με σκοπό την ενίσχυση των ικανοτήτων κυβερνοασφάλειας στην ΕΕ.
Κατά συνέπεια, η τροποποίηση αυτή θα επιτρέψει τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης για τις εν λόγω υπηρεσίες. Θα συμβάλει στην αύξηση της ποιότητας και της συγκρισιμότητάς τους, θα ενθαρρύνει την είσοδο στην αγορά αξιόπιστων παρόχων υπηρεσιών κυβερνοασφάλειας και στην αποφυγή του κατακερματισμού της εσωτερικής αγοράς, δεδομένου ότι ορισμένα κράτη μέλη έχουν ήδη δρομολογήσει την έγκριση εθνικών σχημάτων πιστοποίησης για διαχειριζόμενες υπηρεσίες ασφάλειας.
Οι τροποποιήσεις του Συμβουλίου
Οι κυριότερες αλλαγές που περιέχει η θέση του Συμβουλίου σε σχέση με την πρόταση της Επιτροπής είναι οι εξής:
- αποσαφηνίζει τον ορισμό των «διαχειριζόμενων υπηρεσιών ασφάλειας» και την ευθυγράμμιση με την αναθεωρημένη οδηγία για τα συστήματα πληροφοριών δικτύου («NIS 2»)
- το κείμενο ευθυγραμμίζει τους στόχους ασφάλειας των εν λόγω σχημάτων πιστοποίησης με τους στόχους ασφάλειας άλλων σχημάτων στο πλαίσιο της ισχύουσας πράξης για την κυβερνοασφάλεια
- το κείμενο περιλαμβάνει τροποποιήσεις στο παράρτημα της πράξης για την κυβερνοασφάλεια, το οποίο περιέχει κατάλογο των απαιτήσεων που πρέπει να πληρούν οι οργανισμοί αξιολόγησης της συμμόρφωσης
- έχουν εισαχθεί ορισμένες τεχνικές και συντακτικές τροποποιήσεις προκειμένου να διασφαλιστεί ότι όλες οι συναφείς διατάξεις του ισχύοντος κανονισμού για την κυβερνοασφάλεια εφαρμόζονται πλέον και στις διαχειριζόμενες υπηρεσίες ασφάλειας.
Επόμενα βήματα
Η σημερινή συμφωνία επί της κοινής θέσης του Συμβουλίου («εντολή διαπραγμάτευσης») θα δώσει τη δυνατότητα στην ισπανική Προεδρία να αρχίσει διαπραγματεύσεις με το Ευρωπαϊκό Κοινοβούλιο («τριμερείς διαλόγους») σχετικά με το τελικό κείμενο της προτεινόμενης νομοθεσίας.
Γενικές πληροφορίες
Η πράξη για την κυβερνοασφάλεια, η οποία εκδόθηκε το 2019, θέσπισε το πρώτο πλαίσιο πιστοποίησης της κυβερνοασφάλειας για όλα τα κράτη μέλη. Η πιστοποίηση της κυβερνοασφάλειας είναι εθελοντική, εκτός αν άλλως ορίζεται στο δίκαιο της Ένωσης ή στο δίκαιο των κρατών μελών.
Η πρόταση της Επιτροπής, που εγκρίθηκε στις 18 Απριλίου 2023, αποσκοπεί σε στοχευμένη τροποποίηση του πεδίου εφαρμογής της πράξης για την κυβερνοασφάλεια, η οποία θα επιτρέψει στην Επιτροπή να εκδίδει εκτελεστικές πράξεις σχετικά με τα ευρωπαϊκά σχήματα πιστοποίησης της κυβερνοασφάλειας για «διαχειριζόμενες υπηρεσίες ασφάλειας», επιπλέον των προϊόντων πληροφοριών και τεχνολογίας (ΤΠΕ), των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ, που καλύπτονται από την ισχύουσα πράξη για την κυβερνοασφάλεια.
Η πρόταση εισάγει ορισμό των «διαχειριζόμενων υπηρεσιών ασφάλειας», κατ’ αναλογία με τον ορισμό των «παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας» στην οδηγία «NIS 2». Προσθέτει επίσης νέο άρθρο (άρθρο 51α) σχετικά με τους στόχους ασφάλειας των ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας, προσαρμοσμένους στις διαχειριζόμενες υπηρεσίες ασφάλειας. Τέλος, η πρόταση περιλαμβάνει ορισμένες τεχνικής φύσης τροποποιήσεις προκειμένου να διασφαλιστεί ότι οι συναφείς διατάξεις της πράξης για την κυβερνοασφάλεια θα εφαρμόζονται και στις διαχειριζόμενες υπηρεσίες ασφάλειας.
Η πρόταση βασίζεται στο άρθρο 114 ΣΛΕΕ (εσωτερική αγορά), δεδομένου ότι αποσκοπεί στην αποφυγή του κατακερματισμού της εσωτερικής αγοράς για διαχειριζόμενες υπηρεσίες ασφάλειας, καθιστώντας δυνατή τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης της κυβερνοασφάλειας για τις εν λόγω υπηρεσίες.
Πηγή: Lawner.gr
