Nový certifikační rámec by se měl týkat miliardy zařízení důležité infrastruktury.
Nový evropský akt o kybernetické bezpečnosti dnes prošel jednou z posledních zkoušek, když jej drtivou většinou hlasů definitivně schválil Evropský parlament (EP). Opatření počítá s výrazným posílením Evropské agentury pro bezpečnost sítí a informací (ENISA) a také s vytvořením celoevropského certifikačního rámce, který by uživatelům umožnil snadno určit, jaké produkty a služby jsou po kybernetické stránce bezpečné.
Nový akt o kybernetické bezpečnosti navrhla Evropská komise (EK) v září 2017 a dnešní hlasování v EP již potvrdilo jeho znění dohodnuté v rozhovorech mezi unijními orgány a členskými zeměmi. Proti finální verzi se postavilo jen 44 ze 666 hlasujících europoslanců. Nyní návrh čeká už jenom na potvrzení ze strany představitelů členských zemí.
Opatření by přineslo dvě významné novinky. Tou první je rozšíření prostředků a pravomocí unijní agentury ENISA. Ta měla předminulý rok 84 zaměstnanců a rozpočet 11,2 milionu eur (přes 287 milionů Kč). Po schválení nového aktu by počet pracovníků vzrostl na 125 a finanční dotace by se postupně zvyšovala až na 23 milionů eur ročně.
ENISA by za nového právního rámce fungovala jako evropská centrála pro odpověď na případný bezpečnostní incident. Pomoc členským zemím by poskytovala na jejich žádost, přičemž s cílem zlepšit pro tyto případy koordinaci mezi zeměmi by organizovala dvakrát do roka rozsáhlá cvičení. Kromě toho má ENISA analyzovat různé incidenty, poskytovat členským státům EU poradenství a šířit povědomí o rizicích. Agentura má úzce spolupracovat s příslušnými středisky v členských zemích, ale také například s tajnými službami. Europoslanci pak navrhli kompetence ENISA ještě více rozšířit s cílem zlepšit výměnu informací mezi členy EU o optimálních postupech.
„Je dobře, že ENISA překonala existenční problémy, se kterými se potýkala v minulosti a je konečně vnímána jako klíčový evropský hráč koordinující aktivity EU v této oblasti,“ napsal ČTK český europoslanec Evžen Tošenovský, který při přípravě nového opatření plnil roli stínového zpravodaje. Uvedl, že s výsledkem legislativního procesu je velmi spokojen.
Stínovým zpravodajem byl také jeho kolega Pavel Telička, podle něhož jsou lidé v EU „při dnešní roztříštěnosti legislativy zranitelní vůči hackerským útokům na naše účty a data“. „Zítra už to však mohou být útoky na naši bezpečnost, zdraví a možná i naše životy,“ dodal ve zprávě zaslané ČTK. Nový zákon o kybernetické bezpečnosti podle něj posílí odolnost vůči útokům po celé Evropě.
Druhou významnou iniciativou v rámci aktu o kybernetické bezpečnosti je vytvoření certifikačního rámce. Ten by se měl týkat miliardy zařízení důležité infrastruktury, třeba v rámci energetických či dopravních sítí, ale také výrobků pro spotřebitele. Účast v tomto systému by nicméně byla dobrovolná, pokud to jinak nestanoví evropský právní předpis či rozhodnutí členské země.
Z iniciativy EP byly do rozsahu certifikačního rámce zahrnuty nejen výrobky a služby, ale také „procesy“, ve snaze zohlednit celý životní cyklus produktů. Opatření hovoří o třech stupních bezpečnostních certifikátů, přičemž ten nejnižší by zaručoval ochranu před základními známými kybernetickými hrozbami a ten nejvyšší odolnost i vůči nejnovějším formám kybernetických útoků.
Dobrovolnou povahu certifikačního rámce hodnotí Tošenovský jako pozitivum. „Do budoucna se ale zřejmě bez povinné certifikace neobejdeme, zejména pro kritickou infrastrukturu,“ dodal.