На фона на това, че Европа е изправена пред ежедневни кибернетични и хибридни атаки срещу основни услуги и демократични институции, извършвани от сложни държавни и престъпни групи, Европейската комисия предлага нов пакет за киберсигурността с цел по-нататъшно укрепване на устойчивостта и способностите на ЕС в областта на киберсигурността в контекста на тези нарастващи заплахи.
Пакетът включва предложение за преразгледан Акт за киберсигурността, с който се повишава сигурността на веригите за доставки на ЕС в областта на информационните и комуникационните технологии (ИКТ). Тя гарантира, че продуктите, които достигат до гражданите на ЕС, са киберсигурни още при проектирането чрез по-опростен процес на сертифициране. С него също така се улеснява спазването на съществуващите правила на ЕС в областта на киберсигурността и се укрепва Агенцията на ЕС за киберсигурност (ENISA) в подкрепа на държавите членки и ЕС при управлението на заплахите за киберсигурността.
Укрепване на сигурността на веригите за доставки на ИКТ в ЕС
Новият законодателен акт за киберсигурността има за цел да намали рисковете във веригата на доставки на ИКТ в ЕС от доставчици от трети държави, които имат опасения във връзка с киберсигурността. В него се определя надеждна рамка за сигурност на веригата за доставки на ИКТ, основана на хармонизиран, пропорционален и основан на риска подход. Това ще даде възможност на ЕС и държавите членки съвместно да идентифицират и смекчат рисковете в 18-те критични сектора на ЕС, като вземат предвид и икономическите въздействия и предлагането на пазара.
Актът за киберсигурността, също така, ще даде възможност за задължително намаляване на риска за европейските мобилни далекосъобщителни мрежи от високорискови доставчици от трети държави въз основа на вече извършената работа в рамките на инструментариума за сигурност на 5G.
Опростяване и укрепване на Европейската рамка за сертифициране на киберсигурността
Преразгледаният Акт за киберсигурността ще гарантира, че продуктите и услугите, достигащи до потребителите в ЕС, се изпитват за сигурност по по-ефективен начин. Това ще бъде направено чрез обновена Европейска рамка за сертифициране на киберсигурността (ECCF). ECCF ще внесе повече яснота и ще опрости процедурите, като по подразбиране ще позволи разработването на схеми за сертифициране в рамките на 12 месеца. С него също така ще се въведе по-гъвкаво и прозрачно управление с цел по-добро включване на заинтересованите страни чрез информиране и консултации с обществеността.
Схемите за сертифициране, управлявани от ENISA, ще се превърнат в практичен, доброволен инструмент за предприятията, като ще им позволят да докажат съответствие със законодателството на ЕС, като намалят тежестта и разходите. Освен ИКТ продуктите, услугите, процесите и управляваните услуги за сигурност, дружествата и организациите ще могат да сертифицират своята позиция в киберпространството, за да отговорят на нуждите на пазара. В крайна сметка обновеният ECCF ще бъде конкурентоспособен актив за предприятията от ЕС. За гражданите, предприятията и публичните органи в ЕС тя ще гарантира високо равнище на сигурност и доверие в сложните вериги за доставки на ИКТ.
Улесняване на спазването на правилата за киберсигурност
С пакета се въвеждат мерки за опростяване на спазването на правилата на ЕС за киберсигурност и изискванията за управление на риска за дружествата, извършващи дейност в ЕС, като се допълва единната входна точка за докладване на инциденти, предложена в цифровия „омнибус“. Целенасочените изменения на Директивата за МИС 2 имат за цел да повишат правната яснота. Те ще улеснят спазването на изискванията за 28 700 дружества, включително 6 200 микро- и малки предприятия. Те също така ще въведат нова категория малки предприятия със средна пазарна капитализация, за да намалят разходите за привеждане в съответствие за 22 500 дружества. Измененията ще опростят правилата за компетентност, ще рационализират събирането на данни за атаки със софтуер за изнудване и ще улеснят надзора на трансграничните субекти със засилена координираща роля на ENISA.
Уточнява се, че Актът за киберсигурността ще започне да се прилага незабавно след одобрение от Европейския парламент и Съвета на ЕС. Придружаващите изменения на Директивата за МИС 2 също ще бъдат представени за одобрение. След като директивата бъде приета, държавите членки ще разполагат с една година, за да я транспонират в националното си законодателство и да съобщят съответните текстове на Комисията.
