ΕΕ: Νέα μέτρα για την ενίσχυση της κυβερνοασφάλειας

Η Ευρωπαϊκή Επιτροπή πρότεινε ένα νέο πακέτο μέτρων για την ασφάλεια στον κυβερνοχώρο, με στόχο την περαιτέρω ενίσχυση της ανθεκτικότητας και των ικανοτήτων της Ένωσης στον τομέα της κυβερνοασφάλειας ενόψει των αυξανόμενων απειλών.

Το πακέτο περιλαμβάνει πρόταση για την αναθεώρηση της Πράξης για την Κυβερνοασφάλεια (Cybersecurity Act), η οποία ενισχύει την ασφάλεια των αλυσίδων εφοδιασμού τεχνολογιών πληροφοριών και επικοινωνιών (ΤΠΕ) της ΕΕ. Τα νέα μέτρα διασφαλίζουν ότι τα προϊόντα που φτάνουν στους πολίτες της ΕΕ είναι από τη σχεδίασή τους ασφαλή στον κυβερνοχώρο, μέσω μιας απλούστερης διαδικασίας πιστοποίησης. Διευκολύνουν επίσης τη συμμόρφωση με τους υφιστάμενους κανόνες της ΕΕ για την κυβερνοασφάλεια και ενισχύει τον Οργανισμό της ΕΕ για την Κυβερνοασφάλεια (ENISA) στην υποστήριξη των κρατών μελών και της Ένωσης στη διαχείριση των κυβερνοαπειλών.

Ενίσχυση της ασφάλειας των αλυσίδων εφοδιασμού ΤΠΕ

Η νέα Πράξη για την Κυβερνοασφάλεια αποσκοπεί στη μείωση των κινδύνων στην αλυσίδα εφοδιασμού ΤΠΕ της ΕΕ από προμηθευτές τρίτων χωρών που παρουσιάζουν προβλήματα κυβερνοασφάλειας. Καθορίζει ένα αξιόπιστο πλαίσιο ασφάλειας της αλυσίδας εφοδιασμού ΤΠΕ που βασίζεται σε μια εναρμονισμένη, αναλογική και βασισμένη στον κίνδυνο προσέγγιση. Αυτό θα επιτρέψει στην Ένωση και στα κράτη μέλη να προσδιορίσουν από κοινού και να μετριάσουν τους κινδύνους στους 18 κρίσιμους τομείς της ΕΕ, λαμβάνοντας επίσης υπόψη τις οικονομικές επιπτώσεις και την προσφορά στην αγορά.

Τα πρόσφατα περιστατικά στον τομέα της κυβερνοασφάλειας έχουν αναδείξει τους σημαντικούς κινδύνους που ενέχουν οι ευπάθειες στις αλυσίδες εφοδιασμού ΤΠΕ, οι οποίες είναι απαραίτητες για τη λειτουργία κρίσιμων υπηρεσιών και υποδομών. Στο σημερινό γεωπολιτικό τοπίο, η ασφάλεια της αλυσίδας εφοδιασμού δεν αφορά πλέον μόνο την τεχνική ασφάλεια των προϊόντων ή των υπηρεσιών, αλλά και τους κινδύνους που συνδέονται με έναν προμηθευτή, ιδίως τις εξαρτήσεις και τις ξένες παρεμβάσεις.

Η Πράξη για την Κυβερνοασφάλεια θα επιτρέψει την υποχρεωτική μείωση των κινδύνων των ευρωπαϊκών δικτύων κινητών τηλεπικοινωνιών από προμηθευτές τρίτων χωρών υψηλού κινδύνου, με βάση το έργο που έχει ήδη πραγματοποιηθεί στο πλαίσιο της εργαλειοθήκης ασφάλειας 5G (5G security toolbox).

Απλοποίηση και βελτίωση του ευρωπαϊκού πλαισίου πιστοποίησης κυβερνοασφάλειας

Η αναθεωρημένη Πράξη για την κυβερνοασφάλεια θα διασφαλίσει ότι τα προϊόντα και οι υπηρεσίες που διατίθενται στους καταναλωτές της ΕΕ θα υποβάλλονται σε δοκιμές ασφάλειας με πιο αποτελεσματικό τρόπο. Αυτό θα επιτευχθεί μέσω ενός ανανεωμένου ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας (European Cybersecurity Certification Framework - ECCF). Το ECCF θα προσφέρει μεγαλύτερη σαφήνεια και απλούστερες διαδικασίες, επιτρέποντας την ανάπτυξη συστημάτων πιστοποίησης εντός 12 μηνών ως προεπιλογή. Θα εισαγάγει επίσης πιο ευέλικτη και διαφανή διακυβέρνηση, ώστε να εμπλέκονται καλύτερα τα ενδιαφερόμενα μέρη μέσω της ενημέρωσης και της διαβούλευσης του κοινού.

Τα συστήματα πιστοποίησης, τα οποία διαχειρίζεται η ENISA, θα καταστούν ένα πρακτικό, εθελοντικό εργαλείο για τις επιχειρήσεις. Θα επιτρέψουν στις επιχειρήσεις να αποδείξουν τη συμμόρφωσή τους με τη νομοθεσία της ΕΕ, μειώνοντας τον φόρτο και το κόστος. Πέραν των προϊόντων, των υπηρεσιών, των διαδικασιών και των διαχειριζόμενων υπηρεσιών ασφάλειας ΤΠΕ, οι εταιρείες και οι οργανισμοί θα μπορούν να πιστοποιούν την κυβερνοασφάλειά τους, ώστε να ανταποκρίνονται στις ανάγκες της αγοράς. Τελικά, το ανανεωμένο ECCF θα αποτελέσει ανταγωνιστικό πλεονέκτημα για τις επιχειρήσεις της ΕΕ. Για τους πολίτες, τις επιχειρήσεις και τις δημόσιες αρχές της ΕΕ, θα εξασφαλίσει υψηλό επίπεδο ασφάλειας και εμπιστοσύνης στις πολύπλοκες αλυσίδες εφοδιασμού ΤΠΕ.

Διευκόλυνση της συμμόρφωσης με τους κανόνες για την κυβερνοασφάλεια

Το πακέτο εισάγει μέτρα για την απλούστευση της συμμόρφωσης με τους κανόνες της ΕΕ για την ασφάλεια στον κυβερνοχώρο και τις απαιτήσεις διαχείρισης κινδύνων για τις εταιρείες που δραστηριοποιούνται στην ΕΕ, συμπληρώνοντας το ενιαίο σημείο εισόδου για την αναφορά περιστατικών που προτείνεται στο digital omnibus. Οι στοχευμένες τροποποιήσεις της οδηγίας NIS2 αποσκοπούν στην αύξηση της νομικής σαφήνειας. Θα διευκολύνουν τη συμμόρφωση 28.700 εταιρειών, συμπεριλαμβανομένων 6.200 πολύ μικρών και μικρών επιχειρήσεων. Θα εισαγάγουν επίσης μια νέα κατηγορία μικρών επιχειρήσεων μεσαίας κεφαλαιοποίησης, προκειμένου να μειωθούν τα έξοδα συμμόρφωσης για 22.500 επιχειρήσεις. Οι τροποποιήσεις θα απλοποιήσουν τους κανόνες δικαιοδοσίας, θα εξορθολογίσουν τη συλλογή δεδομένων σχετικά με επιθέσεις ransomware και θα διευκολύνουν την εποπτεία των διασυνοριακών οντοτήτων με την ενίσχυση του συντονιστικού ρόλου της ENISA.

Ενίσχυση της ENISA για την προώθηση της κυβερνοανθεκτικότητας

Από την έγκριση της πρώτης Πράξης για την κυβερνοασφάλεια το 2019, η ENISA έχει αναδειχθεί σε ακρογωνιαίο λίθο του οικοσυστήματος κυβερνοασφάλειας της ΕΕ. Ο αναθεωρημένος κανονισμός για την κυβερνοασφάλεια επιτρέπει στην ENISA να βοηθήσει την ΕΕ και τα κράτη μέλη της να κατανοήσουν τις κοινές απειλές. Τους επιτρέπει επίσης να προετοιμαστούν και να ανταποκριθούν σε συμβάντα στον κυβερνοχώρο.

Ο οργανισμός θα συνεχίσει να υποστηρίζει τις εταιρείες και τους ενδιαφερόμενους φορείς που δραστηριοποιούνται στην ΕΕ, εκδίδοντας έγκαιρες προειδοποιήσεις για απειλές και συμβάντα στον κυβερνοχώρο. Σε συνεργασία με την Ευρωπόλ και τις ομάδες αντιμετώπισης συμβάντων ασφάλειας υπολογιστών, θα υποστηρίζει τις εταιρείες στην αντιμετώπιση και την αποκατάσταση των επιθέσεων ransomware. Η ENISA θα αναπτύξει επίσης μια προσέγγιση της Ένωσης για την παροχή καλύτερων υπηρεσιών διαχείρισης τρωτών σημείων στους ενδιαφερόμενους φορείς. Θα λειτουργεί ως ενιαίο σημείο εισόδου για την αναφορά συμβάντων που προτείνεται στο digital omnibus.

Επόμενα βήματα

Η νέα Πράξη για την κυβερνοασφάλεια θα τεθεί σε ισχύ αμέσως μετά την έγκρισή της από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της ΕΕ. Οι συνοδευτικές τροποποιήσεις της οδηγίας NIS2 θα υποβληθούν επίσης προς έγκριση. Μετά την έγκρισή τους, τα κράτη μέλη θα έχουν ένα έτος για να μεταφέρουν την οδηγία στο εθνικό δίκαιο και να κοινοποιήσουν τα σχετικά κείμενα στην Επιτροπή.