Αυστηρότερους όρους για την πιστοποίηση της κυβερνοασφάλειας θέλει να εισάγει η Ε.Ε., με στόχο την ενίσχυση της ανθεκτικότητάς της στον κυβερνοχώρο. Στο πλαίσιο αυτό, η Ένωση προχωρά σε στοχευμένη τροποποίηση της πράξης για την κυβερνοασφάλεια (CSA).
Η πράξη για την κυβερνοασφάλεια, η οποία εκδόθηκε το 2019, θέσπισε το πρώτο πλαίσιο πιστοποίησης της κυβερνοασφάλειας για όλα τα κράτη-μέλη. Η πιστοποίηση της κυβερνοασφάλειας είναι εθελοντική, εκτός αν άλλως ορίζεται στο δίκαιο της Ένωσης ή στο δίκαιο των κρατών-μελών.
Η πρόταση της Επιτροπής, που εγκρίθηκε στις 18 Απριλίου 2023, αποσκοπεί σε στοχευμένη τροποποίηση του πεδίου εφαρμογής της πράξης για την κυβερνοασφάλεια, η οποία θα επιτρέψει στην Επιτροπή να εκδίδει εκτελεστικές πράξεις σχετικά με τα ευρωπαϊκά σχήματα πιστοποίησης της κυβερνοασφάλειας για “διαχειριζόμενες υπηρεσίες ασφάλειας”, επιπλέον των προϊόντων ΤΠΕ, των υπηρεσιών ΤΠΕ και των διαδικασιών ΤΠΕ, που καλύπτονται από την ισχύουσα πράξη για την κυβερνοασφάλεια.
Κατά συνέπεια, η τροποποίηση αυτή θα επιτρέψει τη θέσπιση ευρωπαϊκών σχημάτων πιστοποίησης για τις εν λόγω υπηρεσίες.
“Οι “διαχειριζόμενες υπηρεσίες ασφάλειας”, που παρέχονται σε πελάτες από εξειδικευμένες εταιρείες, είναι ζωτικής σημασίας για την πρόληψη, τον εντοπισμό και την αντιμετώπιση περιστατικών κυβερνοασφάλειας, καθώς και για την ανάκαμψη μετά από τέτοια περιστατικά. Περιλαμβάνουν, μεταξύ άλλων, τον εντοπισμό και την αντιμετώπιση περιστατικών, δοκιμές διείσδυσης, ελέγχους ασφάλειας και παροχή συμβουλών”, αναφέρει το Ευρωπαϊκό Συμβούλιο.
Οι τροποποιήσεις του Συμβουλίου
Τις προηγούμενες ημέρες, το Συμβούλιο καθόρισε τη στάση του επί της πρότασης της Ευρωπαϊκής Επιτροπής για την αναθεώρηση της Οδηγίας για την κυβερνοασφάλεια. Η συμφωνία επί της κοινής θέσης του Συμβουλίου (“εντολή διαπραγμάτευσης”) θα δώσει τη δυνατότητα στην ισπανική Προεδρία να αρχίσει διαπραγματεύσεις με το Ευρωπαϊκό Κοινοβούλιο (“τριμερείς διαλόγους”) σχετικά με το τελικό κείμενο της προτεινόμενης νομοθεσίας.
Οι κυριότερες αλλαγές, που περιέχει η θέση του Συμβουλίου σε σχέση με την πρόταση της Επιτροπής, είναι οι εξής:
– Αποσαφηνίζει τον ορισμό των “διαχειριζόμενων υπηρεσιών ασφάλειας” και την ευθυγράμμιση με την αναθεωρημένη οδηγία για τα συστήματα πληροφοριών δικτύου (“NIS 2”).
– Το κείμενο ευθυγραμμίζει τους στόχους ασφάλειας των εν λόγω σχημάτων πιστοποίησης με τους στόχους ασφάλειας άλλων σχημάτων στο πλαίσιο της ισχύουσας πράξης για την κυβερνοασφάλεια.
– Το κείμενο περιλαμβάνει τροποποιήσεις στο παράρτημα της πράξης για την κυβερνοασφάλεια, το οποίο περιέχει κατάλογο των απαιτήσεων που πρέπει να πληρούν οι οργανισμοί αξιολόγησης της συμμόρφωσης.
– Έχουν εισαχθεί ορισμένες τεχνικές και συντακτικές τροποποιήσεις προκειμένου να διασφαλιστεί ότι όλες οι συναφείς διατάξεις του ισχύοντος κανονισμού για την κυβερνοασφάλεια εφαρμόζονται πλέον και στις διαχειριζόμενες υπηρεσίες ασφάλειας.