Τι αλλάζει στην κυβερνοασφάλεια, σε ισχύ από σήμερα ο νέος κανονισμός της ΕΕ
Το τοπίο για την κυβερνοασφάλεια στους κόλπους της Ευρωπαϊκής Ένωσης αλλάζει από σήμερα, καθώς τίθεται σε ισχύ το νέο σχετικό θεσμικό πλαίσιο της.
Με την «Πράξη για την Ασφάλεια στον Κυβερνοχώρο», που τίθεται σε ισχύ από τις 27 Ιουνίου 2019, η ΕΕ δημιουργεί για πρώτη φορά ένα πανευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας. Το σύστημα θα διασφαλίζει ότι τα πιστοποιημένα προϊόντα, διαδικασίες και υπηρεσίες, που αποτελούν αντικείμενα εμπορικής συναλλαγής στην Ένωση, πληρούν συγκεκριμένα κριτήρια ασφάλειας του κυβερνοχώρου.
Η συγκεκριμένη κίνηση είναι μια πρωτοποριακή εξέλιξη, καθώς είναι ο πρώτος νόμος της ΕΕ, που ανταποκρίνεται στην πρόκληση για ασφάλεια των συνδεδεμένων προϊόντων, των συσκευών Internet of Things (ΙοΤ) και των υποδομών ζωτικής σημασίας μέσω τέτοιων πιστοποιητικών.
H δημιουργία του πλαισίου πιστοποίησης της κυβερνοασφάλειας ενσωματώνει χαρακτηριστικά ασφαλείας στα αρχικά στάδια του τεχνικού σχεδιασμού και ανάπτυξης (ασφάλεια βάσει σχεδιασμού). Επιτρέπει, επίσης, στους χρήστες να βεβαιώνουν το επίπεδο διασφάλισης της ασφάλειας και εξασφαλίζει την ανεξάρτητη επαλήθευση των εν λόγω χαρακτηριστικών ασφαλείας. Οι νέοι κανόνες αναμένεται να συμβάλουν στην ανάπτυξη εμπιστοσύνης των πολιτών στις συσκευές που χρησιμοποιούν σε καθημερινή βάση, καθώς θα μπορούν να επιλέγουν μεταξύ προϊόντων, όπως συσκευές του ΙοΤ, που είναι ασφαλή στον κυβερνοχώρο.
Το πλαίσιο πιστοποίησης θα αποτελεί υπηρεσία ενιαίας εξυπηρέτησης για τη χορήγηση πιστοποιητικών κυβερνοασφάλειας. Αυτό θα εξασφαλίσει σημαντική εξοικονόμηση κόστους για τις επιχειρήσεις και κυρίως για τις μικρομεσαίες επιχειρήσεις, οι οποίες υπό άλλες συνθήκες θα έπρεπε να υποβάλουν αίτηση για τη χορήγηση διαφόρων πιστοποιητικών σε διάφορες χώρες.
Πώς θα λειτουργεί το σύστημα;
Ειδικότερα, κάθε ευρωπαϊκό σύστημα θα πρέπει να προσδιορίζει: α) τις καλυπτόμενες κατηγορίες προϊόντων και υπηρεσιών, β) τις απαιτήσεις κυβερνοασφάλειας, για παράδειγμα, με αναφορά σε πρότυπα ή τεχνικές προδιαγραφές, γ) τον τύπο αξιολόγησης (π.χ. αυτοαξιολόγηση ή αξιολόγηση από τρίτους) και δ) το επιθυμητό επίπεδο διασφάλισης («βασικό», «ουσιαστικό» και/ή «υψηλό»).
Για τη διατύπωση του κινδύνου κυβερνοασφάλειας, τα πιστοποιητικά μπορούν να αναφέρονται σε τρία επίπεδα διασφάλισης (βασικό, ουσιαστικό, υψηλό) τα οποία είναι ανάλογα με το επίπεδο του κινδύνου που συνδέεται με την προβλεπόμενη χρήση του προϊόντος, της υπηρεσίας ή της διαδικασίας, από άποψη πιθανότητας και αντικτύπου ενός συμβάντος. Για παράδειγμα, υψηλό επίπεδο διασφάλισης σημαίνει ότι το προϊόν που πιστοποιήθηκε έχει υποβληθεί σε δοκιμές για την υψηλότερη δυνατή ασφάλεια.
Το πιστοποιητικό που θα εκδίδεται θα αναγνωρίζεται από όλα τα κράτη μέλη, ώστε να είναι ευκολότερο οι επιχειρήσεις να πραγματοποιούν διασυνοριακές εμπορικές συναλλαγές και οι χρήστες να κατανοούν τα χαρακτηριστικά ασφαλείας του προϊόντος ή της υπηρεσίας. Καθίσταται έτσι δυνατός ο επωφελής ανταγωνισμός μεταξύ παρόχων σε ολόκληρη την αγορά της ΕΕ, με αποτέλεσμα τη βελτίωση των προϊόντων και την καλύτερη σχέση ποιότητας-τιμής.
Ποιοι θα ωφεληθούν από το εν λόγω πλαίσιο πιστοποίησης και με ποιον τρόπο;
- Οι πολίτες και οι τελικοί χρήστες (π.χ. φορείς εκμετάλλευσης βασικών υπηρεσιών), οι οποίοι θα είναι σε θέση να λαμβάνουν πιο τεκμηριωμένες αποφάσεις αγοράς σχετικά με προϊόντα και υπηρεσίες που βασίζονται σε καθημερινή βάση.
- Οι πωλητές και οι πάροχοι προϊόντων και υπηρεσιών (συμπεριλαμβανομένων των μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) και των νέων επιχειρήσεων), που θα εξοικονομούν κόστος και χρόνο.
- Οι κυβερνήσεις, οι οποίες, όπως όλοι οι ιδιώτες και οι εμπορικοί αγοραστές, θα είναι σε καλύτερη θέση για να λαμβάνουν τεκμηριωμένες αποφάσεις αγοράς.
Ο ρόλος του ENISA
Ο νέος Κανονισμός, που ισχύει από χθες εντός της ΕΕ, περιλαμβάνει, επίσης, μια μόνιμη εντολή του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) προς αντικατάσταση της περιορισμένης εντολής, που θα έληγε το 2020. Πρακτικά, ο οργανισμός αναβαθμίζεται σε μόνιμο όργανο της ΕΕ για την κυβερνοασφάλεια, λαμβάνοντας, επίσης, περισσότερους πόρους για την εκπλήρωση των στόχων του. Επίσης, το νέο θεσμικό πλαίσιο αποδίδει μια ισχυρότερη βάση για τον ENISA στο νέο ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας, προκειμένου να συνδράμει τα κράτη-μέλη στην αποτελεσματική αντιμετώπιση των κυβερνοεπιθέσεων.
Ο ENISA θα αποτελεί ανεξάρτητο κέντρο, το οποίο θα συμβάλει στην προώθηση υψηλού επιπέδου ευαισθητοποίησης των πολιτών και των επιχειρήσεων και θα στηρίξει τα θεσμικά όργανα της ΕΕ και τα κράτη- μέλη στη χάραξη και εφαρμογή πολιτικής.
Παράλληλα, η Ένωση δημιουργεί μια νέα, συμπληρωματική δομή του υφιστάμενου (ENISA). Το Ευρωπαϊκό Βιομηχανικό, Τεχνολογικό και Ερευνητικό Κέντρο Κυβερνοασφάλειας θα συμβάλει στον καλύτερο συντονισμό της έρευνας και καινοτομίας στον τομέα της ψηφιακής ασφάλειας. Θα αποτελέσει δε το βασικό εργαλείο συγκέντρωσης επενδύσεων, που προορίζονται για την ερευνητική, τεχνολογική και βιομηχανική ανάπτυξη της κυβερνοασφάλειας.