Europska komisija predložila je znatno povećanje ulaganja u kibernetičku sigurnost i napredne digitalne tehnologije u EU u sljedećem proračunskom razdoblju EU, posebno u okviru svojeg prijedloga programa Digitalna Europa. Predložila je i novi Europski centar i mrežu za kibernetički sigurnosne kompetencije kako bi se udružili resursi i s državama članicama koordinirali prioriteti te proveli relevantni projekti u području kibernetičke sigurnosti.

Tim se prijedlogom nastoji uspostaviti i mreža nacionalnih koordinacijskih centara te Zajednica za kibernetički sigurnosne kompetencije kako bi se osigurala bolja suradnja i sinergija postojećih stručnjaka i specijaliziranih struktura u državama članicama. To je povezano s ključnim ciljem povećanja konkurentnosti kibernetičke sigurnosne industrije EU i pretvaranja kibernetičke sigurnosti u prednost drugih europskih industrija u odnosu na konkurenciju.

Rizičnost 5G mreža

Kakav zajednički EU-ov pristup sigurnosti 5G mreža preporučuje Europska komisija?

Mreže pete generacije (5G) bit će okosnica društava i gospodarstava budućnosti, među ostalim u mnogim ključnim sektorima kao što su energetika, promet, bankarstvo i zdravstvo, zbog čega je očita potreba za rješavanjem svake slabe točke u odnosu na sigurnost i povjerenje. Europska komisija preporučila je u ožujku 2019. niz operativnih koraka i mjera za postizanje visoke razine kibernetičke sigurnosti 5G mreža u cijeloj Europskoj uniji. Konkretno, preporučila je državama članicama da do listopada 2019. dovrše procjenu rizika na razini EU te da do prosinca 2019. utvrde niz mogućih mjera za smanjenje rizika.

Aktom o kibernetičkoj sigurnosti prvi se put uvode pravila na razini EU za kibernetički sigurnosnu certifikaciju proizvoda, postupaka i usluga. Nadalje, njime se uspostavlja novi stalni mandat Agencije EU za kibernetičku sigurnost (ENISA) te joj se dodjeljuje više sredstava da bi mogla ostvarivati svoje ciljeve.

Prema novim pravilima o telekomunikacijama (Europski zakonik elektroničkih komunikacija) države članice odgovorne su za održavanje integriteta i sigurnosti javnih komunikacijskih mreža, a moraju se pobrinuti i za to da operatori poduzmu tehničke i organizacijske mjere za adekvatno upravljanje rizicima za sigurnost mreža i usluga. Tim se propisima nadležnim državnim regulatornim tijelima dodjeljuju ovlasti, primjerice da objave obvezujuće upute i osiguraju njihovo poštovanje. Osim toga, države članice općim ovlastima operatora mogu dodati uvjete koji se odnose na sigurnost javnih mreža od neovlaštenog pristupa kako bi se zaštitila povjerljivost komunikacija.

EU sada ima niz instrumenata za zaštitu elektroničkih komunikacijskih mreža, među ostalima Direktivu o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS), Akt EU o kibernetičkoj sigurnosti i nova pravila o telekomunikacijama.

U svibnju 2019. Vijeće je uspostavilo režim sankcija, kojim se EU omogućuje da uvede ciljane mjere ograničavanja radi suzbijanja i odgovaranja na kibernetičke napade koji predstavljaju vanjsku prijetnju za EU i države članice. Taj novi režim sankcija jedan je od instrumenata EU za kibernetičku diplomaciju, okvir za zajednički diplomatski odgovor EU na zlonamjerne kibernetičke aktivnosti, koji EU omogućuje da u odgovoru na zlonamjerne kibernetičke aktivnosti u potpunosti iskoristi mjere zajedničke vanjske i sigurnosne politike, među ostalim izjave Visokog predstavnika, demarš i, ako je potrebno, mjere ograničavanja.

Kibernetički sigurnosna certifikacija

Europski program kibernetički sigurnosne certifikacije sveobuhvatan je skup pravila, tehničkih zahtjeva, normi i postupaka dogovorenih na europskoj razini za evaluaciju kibernetički sigurnosnih svojstava konkretnog proizvoda, usluge ili procesa.

Kibernetički sigurnosna certifikacija ima važnu ulogu jer se njome jača pouzdanost i sigurnost proizvoda, usluga i procesa ključnih za neometano funkcioniranje jedinstvenog digitalnog tržišta. S obzirom na veliku raznolikost i brojne uporabe IKT proizvoda, usluga i procesa, europskim okvirom za kibernetički sigurnosnu certifikaciju omogućuje se izrada prilagođenih programa certificiranja EU koji uzimaju u obzir rizike.

Točnije, u svakom europskom programu trebalo bi navesti: a) kategorije obuhvaćenih proizvoda i usluga, b) kibernetički sigurnosne zahtjeve, primjerice, upućivanjem na norme ili tehničke specifikacije, c) vrstu evaluacije (primjerice, samoprocjena ili evaluacija treće strane) i d) predviđeni stupanj jamstva (primjerice, osnovni, značajni i/ili visoki stupanj).

Kako bi se izrazio kibernetički sigurnosni rizik, certifikat se može odnositi na tri stupnja jamstva (osnovni, značajni, visoki) koji su razmjerni razini rizika povezanog s predviđenom uporabom proizvoda, usluge ili procesa, u smislu vjerojatnosti i učinka incidenta. Primjerice, visoki stupanj jamstva znači da je certificirani proizvod prošao najstrože sigurnosne provjere.

Takav certifikat bit će priznat u svim državama članicama, što će poslovnim subjektima olakšati prekograničnu trgovinu, a korisnicima razumijevanje sigurnosnih obilježja tog proizvoda ili usluge. Time se omogućuje korisna konkurencija među pružateljima usluge na cijelom tržištu EU, a posljedica su bolji proizvodi i bolji omjer cijene i kvalitete.

Integrirana sigurnost: Okvirom se proizvođači ili pružatelji usluga uključeni u oblikovanje i razvoj proizvoda, usluga ili procesa potiču i da u najranijim fazama oblikovanja i razvoja provedu mjere zaštite. Tako će maksimalno zaštititi sigurnost tih proizvoda, usluga ili procesa, jer će predvidjeti i maksimalno ublažiti kibernetičkih napade (“integrirana sigurnost”).

Europski certifikacijski okvir temeljit će se što je moguće više na međunarodnim standardima kako bi se izbjeglo stvaranje trgovinskih prepreka i problemi s tehničkom interoperabilnošću.

Programi uspostavljeni u Okviru dobrovoljni su, tj. prodavači mogu sami odlučiti žele li svoj proizvod certificirati u skladu s njima. Međutim, Aktom o kibernetičkoj sigurnosti predviđa se da Europska komisija ocjenjuje učinkovitost i upotrebu donesenih europskih programa kibernetički sigurnosne certifikacije. Konkretno, ocjenjivat će bi li određeni europski program kibernetički sigurnosne certifikacije trebao preko relevantnih propisa EU postati obvezan da bi se osigurala odgovarajuća razina kibernetičke sigurnosti ICT proizvoda, usluga i procesa te poboljšalo funkcioniranje unutarnjeg tržišta. Osim toga, drugi propisi na nacionalnoj razini ili razini EU mogu iskoristiti postojeće programe za jednostavno opisivanje budućih zahtjeva u vezi s proizvodima ili sustavima.

Koristi od programa

Mogućnost procjene usklađenosti proizvoda, sustava ili usluge s određenim zahtjevima u središtu je odluke o pouzdanosti digitalnog sustava koji se upotrebljava u EU. Stoga će okvir biti koristan:

Građanima i krajnjim korisnicima (primjerice, operatorima ključnih usluga), koji će moći donijeti upućenije odluke o proizvodima i uslugama koje svakodnevno upotrebljavaju. Primjerice, građanin koji razmišlja o kupnji pametnog televizora, a svjestan je kibernetičkog sigurnosnog rizika pri povezivanju pametnih predmeta na Internet, moći će informaciju o europskoj kibernetičkoj sigurnosnoj certifikaciji potražiti na internetskim stranicama Agencije EU za kibernetičku sigurnost. Ondje će moći naći model certificiran prema odgovarajućim kibernetički sigurnosnim zahtjevima, smjernice prodavača o sigurnom spajanju, konfiguriranju i upotrebi TV-a te informaciju o tome koliko dugo prodavač ima obvezu pružanja kibernetički sigurnosnih zakrpa ako se otkriju nove slabe točke.

Prodavačima i pružateljima proizvoda i usluga (uključujući mala i srednja poduzeća (MSP) i nova poduzeća) kojima će uštedjeti vrijeme i novac jer će u jednom postupku dobiti europski certifikat valjan u svim državama članicama, što im omogućuje tržišno natjecanje u cijelom EU. Osim toga, prodavači IKT proizvoda i usluga vjerojatno će za kupce pripremiti neku oznaku povezanu s certifikatom kako bi ih obavijestili o njemu.

Vladama, koje će, kao i građani i poslovni subjekti, moći donijeti kvalitetniju odluku o kupnji.

Kako bi se dodala nova vrijednost kibernetički sigurnosnoj certifikaciji, proizvođači ili pružatelji certificiranih proizvoda, usluga ili procesa, uključujući one za koje je izdana europska izjava o sukladnosti, moraju dostaviti posebne dopunske informacije o kibernetičkoj sigurnosti (primjerice, pomoć krajnjim korisnicima u obliku smjernica i preporuka za sigurno konfiguriranje, instaliranje, postavljanje, rad i održavanje proizvoda ili usluga itd.).

Prednost za SME i startupe

Mala i srednja poduzeća (small and medium enterprise) i novoosnovana poduzeća tradicionalno se suočavaju s više poteškoća u širenju na nova tržišta s različitim zahtjevima. Okvirom će se pridonijeti smanjenju takvih prepreka za ulazak na tržište za mala i srednja poduzeća i novoosnovana poduzeća jer će poduzeća morati proći postupak certificiranja svojih proizvoda samo jedanput, a potvrda će vrijediti u cijelom EU. Osim toga, s obzirom na očekivani porast globalne potražnje za sigurnijim rješenjima, poduzeća, a među njima i MSP-ovi, s certificiranim proizvodima bit će konkurentnija. Nadalje, okvir je za MSP-ove i novoosnovana poduzeća još privlačniji zbog mogućnosti da sami potvrde sukladnost sa sigurnosnim zahtjevima za proizvode, procese i usluge koji predstavljaju malen rizik.

Primjerice, neko malo ili srednje poduzeće koje razvija i prodaje IKT aplikacije većim poduzećima koja zahtijevaju određena jamstva da aplikacije imaju odgovarajući stupanj sigurnosti i da su izrađene u skladu s najboljom praksom sigurnog programiranja. Koristeći se europskim kibernetički sigurnosnim certifikatom, to malo ili srednje poduzeće može dokazati i sigurnost svojih proizvoda i svoje sigurne razvojne prakse te tako ispuniti zahtjeve klijenata, i to u cijelom EU, a ne samo u jednoj državi članici.

Osnaživanje Agencije EU za kibernetičku sigurnost

Dosad je Agencija EU za kibernetičku sigurnost (ENISA) imala privremeni mandat koji je posljednji put obnovljen 2013., a trebao je isteći 2020. godine. Akt o kibernetičkoj sigurnosti Agenciji je dao stalni mandat, odnosno stabilan temelj za budućnost.

Ojačane su i preusmjerene trenutačne zadaće Agencije EU za kibernetičku sigurnost, kao što su potpora razvoju i provedbi politika te izgradnja kibernetičkih kapaciteta. Dodane su nove zadaće, ponajviše u vezi s kibernetički sigurnosnom certifikacijom.

Novi mandat uključuje dodatne važne zadaće koje su Direktivom o mrežnoj i informacijskoj sigurnosti dogovorenom 2016. već povjerene Agenciji EU za kibernetičku sigurnost, kao što je uloga tajništva Mreže timova za odgovor na računalne sigurnosne incidente (CSIRT) koja okuplja nacionalne CSIRT-ove država članica EU. Kako bi se te nove dužnosti mogle obavljati, osoblje Agencije može narasti 50%, a sredstva agencije udvostručuju se, s 11 na 23 milijuna eura u razdoblju od pet godina.

NAPOMENA: Ovaj tekst je izvorno objavljen u časopisu Mreža.