U povodu stupanja na snagu Akta o kibersigurnosti EU

Danas (27. lipnja 2019.) na snagu stupa Uredba 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti).

Aktom o kibersigurnosti EU pokazuje kako je sposobna pravovremeno reagirati na izazove koji u posljednjih nekoliko godina nastaju na globalnoj razini. Rast dostupnosti i kvalitete usluga elektroničkih komunikacija i informacijskih mreža nemjerljivo je utjecao na društvene i ekonomske procese. Ujedno, donio je i nove opasnosti. Dramatično povećanje korištenja over the top usluga (over the top services, OTT) i interneta stvari (Internet of Things, IoT) doveo je do sigurnosnih opasnosti koje su samo prije desetak godina bile nezamislive. Uzmimo kao primjer gledanje televizije. Korištenje video OTT usluga kao što je Netflix ili HBO GO omogućuje direktno praćenje učestalosti korištenja servisa i ukusa korisnika, dok gledanje OTT sadržaja na određenim pametnim TV-ima spojenim na Internet omogućuje zlonamjernim akterima daljinsko uključivanje kamere i mikrofona. Kada se tome pridoda trgovinski rad SAD-a i Kine u kojem važnu ulogu igra kineski Huawei, tvrtka u (bar djelomično) državnom vlasništvu koja je izrasla u glavnog globalnog igrača na tržištu mrežne infrastrukture i za koju SAD tvrdi da prisluškuje korisnike svojih mreža za kinesku vladu, reagiranje EU postaje sve važnije.

Akt o kibersigurnosti djeluje u dva glavna smjera; značajno ojačava i produljuje mandat Agenciji EU za kibersigurnost (ENISA), i uspostavlja europski okvir za kibersigurnosnu certifikaciju IKT (informacijska i komunikacijska tehnologija) proizvoda, usluga i procesa.

I. ENISA

ENISA je decentralizirana agencija EU, koja je do sada imala vremenski ograničen mandat. Sada se to mijenja, i ENISA postaje stalna decentralizirana agencija EU. Također, što je iznimno bitno, značajno joj se povećava budžet i osoblje. Tako će osoblje u budućnosti skočiti sa 84 zaposlena na 125 zaposlenih, a budžet sa 11 milijuna na 23 milijuna eura. Važno je napomenuti kako ENISA, kao i ostale agencije EU, nema klasične izvršne i normativne ovlasti kakve smo navikli vidjeti kod nacionalnih regulatornih agencija. Kao što je slučaj i sa npr. BEREC-om (Body of European Regulators for Electronic Communications), ENISA ima savjetodavnu funkciju, funkciju stvaranja konsenzusa i funkciju predlaganja i širenja dobre prakse. Ipak, bilo bi krivo pomisliti da takve EU agencije nemaju nikakav utjecaj i da njihovo djelovanje nema učinka. Europska tijela (poglavito Komisija) ali i države članice gotovo uvijek će poslušati preporuke specijalizirane sektorske agencije.

Glavni zadaci ENISA-e su;

– djeluje kao centar za stručno znanje u području kibersigurnosti zahvaljujući svojoj neovisnosti, znanstvenoj i tehničkoj kvaliteti savjeta i pomoći koje pruža i informacija koje stavlja na raspolaganje, transparentnosti svojih operativnih postupaka i načina rada te revnosti u obavljanju zadaća,

– pomaže institucijama, tijelima, uredima i agencijama EU te državama članicama u razvoju i provedbi politika EU povezanih s kibersigurnošću, uključujući sektorske politike o kibersigurnosti,

– podupire jačanje kapaciteta i pripravnosti u cijeloj EU na način da institucijama, tijelima, uredima i agencijama EU, kao i državama članicama te javnim i privatnim dionicima pomaže da povećaju zaštitu svojih mrežnih i informacijskih sustava, razviju i poboljšaju kiberotpornost i kapacitete za odgovor te razviju vještine i sposobnosti u području kibersigurnosti,

– promiče suradnju, uključujući razmjenu informacija, i koordinaciju na razini EU među državama članicama, institucijama, tijelima, uredima i agencijama EU te relevantnim privatnim i javnim dionicima u pitanjima povezanima s kibersigurnošću,

– doprinosi povećanju kibersigurnosne sposobnosti na razini EU kako bi poduprla djelovanja država članica u sprečavanju kiberprijetnji i odgovoru na njih, posebno u slučaju prekograničnih incidenata,

– promiče upotrebu europske kibersigurnosne certifikacije radi izbjegavanja fragmentacije unutarnjeg tržišta, doprinosi uspostavi i održavanju europskog okvira za kibersigurnosnu certifikaciju na razini EU s ciljem povećanja transparentnosti kibersigurnosti IKT proizvoda, IKT usluga i IKT procesa, jačajući time povjerenje u digitalno unutarnje tržište i njegovu konkurentnost,

– promiče visoku razinu osviještenosti u pogledu kibersigurnosti, uključujući kiberhigijenu i kiberpismenost građana, organizacija i poduzeća.

II. Kibersigurnosna certifikacija

Kao jedan od glavnih problema u pružanju informatičkih proizvoda i usluga elektroničkih komunikacija detektira se dramatičan pad povjerenja građana i korisnika u njihovu sigurnost i privatnost.Tome su doprinijela razna ”curenja” privatnih podataka sa brojnih OTT usluga (Facebook, iCloud, Whatsapp i sl.), ali i pitanja privatnosti informatičkih uređaja. Tako se navodi da budući da incidenti narušavaju povjerenje u pružatelje digitalnih usluga i u samo jedinstveno digitalno tržište, posebno u redovima potrošača, povjerenje bi trebalo dodatno ojačati transparentnom ponudom informacija o razini sigurnosti IKT proizvoda, IKT usluga i IKT procesa kojima se ističe da čak i visoka razina kibersigurnosne certifikacije nije jamstvo da su IKT proizvod, IKT usluga ili IKT proces potpuno sigurni. Jačanje povjerenja može se olakšati certifikacijom na razini EU kojom će se osigurati zajednički kibersigurnosni zahtjevi i kriteriji za evaluaciju na svim nacionalnim tržištima i u svim sektorima. Sukladno navedenom, Aktom o kibersigurnosti osniva se Europski okvir za kibersigurnosnu certifikaciju koji;

– se uspostavlja kako bi se poboljšali uvjeti za funkcioniranje unutarnjeg tržišta povećanjem razine kibersigurnosti u EU i omogućavanjem usklađenog pristupa na razini EU za europske programe kibersigurnosne certifikacije s ciljem stvaranja jedinstvenog digitalnog tržišta IKT proizvoda, IKT usluga i IKT procesa,

– Europskim okvirom za kibersigurnosnu certifikaciju pruža se mehanizam za uspostavu europskih programa kibersigurnosne certifikacije i potvrđivanje toga da IKT proizvodi, IKT usluge i IKT procesi koji su evaluirani u skladu s takvim programima ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude s pomoću tih proizvoda, usluga i procesa ili kojima se s pomoću njih može pristupiti tijekom njihova cijelog životnog ciklusa.

Europski okvir za kibersigurnosnu certifikaciju uspostavljen je radi ostvarivanja sljedećih ciljeva;

zaštita pohranjenih, poslanih ili na drugačiji način obrađenih podataka od slučajnog ili neovlaštenog pohranjivanja, obrade, pristupa ili objave tijekom cijelog životnog ciklusa IKT proizvoda, IKT usluge ili IKT procesa;

– zaštita pohranjenih, poslanih ili na drugačiji način obrađenih podataka od slučajnog ili neovlaštenog uništavanja, gubitka ili izmjene ili nedostatka dostupnosti tijekom cijelog životnog ciklusa IKT proizvoda, IKT usluge ili IKT procesa;

– da ovlaštene osobe, programi ili strojevi mogu pristupiti isključivo podacima, uslugama ili funkcijama na koje se odnose njihova prava pristupa;

– utvrđivanje i dokumentacija poznatih ovisnosti i ranjivosti;

– evidentiranje kojim se podacima, uslugama ili funkcijama pristupilo i koji su podaci, usluge ili funkcije upotrijebljeni ili na drugi način obrađeni, kada i tko je to učinio;

– da je moguće provjeriti kojim se podacima, uslugama ili funkcijama pristupilo i koji su podaci, usluge ili funkcije upotrijebljeni ili na drugi način obrađeni, kada i tko je to učinio;

– provjera toga da IKT proizvodi, IKT usluge i IKT procesi ne sadrže poznate ranjivosti;

– pravodobno osiguravanje ponovne dostupnosti podataka i pristup podacima, uslugama i funkcijama u slučaju fizičkog ili tehničkog incidenta;

– da su IKT proizvodi, IKT usluge i IKT procesi zadanim postavkama i dizajnom sigurni;

– da IKT proizvodi, IKT usluge i IKT procesi imaju osiguran ažuriran softver i hardver koji ne sadrže javno poznate ranjivosti te imaju osigurane mehanizme za sigurno ažuriranje.

III. Zaključno

Akt o kibersigurnosti pravovremena je i kvalitetna reakcija EU na nove informacijske globalne izazove. Važno je dovesti ga u kontekst s ostalim naporima EU za zaštitu svojih građana u digitanom prostoru, kao što je i vrlo uspješna Opća uredba o zaštiti osobnih podataka (GDPR).

Posebno je važno naglasiti kako EU prepoznaje činjenicu kako su sigurnosne prijetnje IKT uređajima i uslugama elektroničkih komunikacija uglavnom prekogranične (izvan država članica EU);

Kibernapadi su sve češći te je potrebna snažnija obrana povezanoga gospodarstva i društva koje je osjetljivije na kiberprijetnje i napade. Međutim, dok su kibernapadi često prekogranični, nadležnost i politički odgovori nadležnih tijela za kibersigurnost i za izvršavanje zakonodavstva uglavnom su nacionalni. Veliki incidenti mogli bi uzrokovati prekid u pružanju ključnih usluga u cijeloj Uniji. Zbog toga su potrebni učinkoviti i koordinirani odgovori te upravljanje krizama na razini Unije, koji se temelje na ciljanim politikama i opsežnijim instrumentima za europsku solidarnost i uzajamnu pomoć.

Dakle, naglašava se važnost zajedničkog pristupa svih država članica kod odgovora na prekogranične kibersigurnosne prijetnje. Ovakvo ispravno razmišljanje treba dovesti u vezu sa činjenicom da EU kao cjelina u proteklih nekoliko desetljeća polako gubi važnost u IKT i uslugama elektroničkih komunikacija, te da europljani velikom većinom koriste američke OTT usluge i (sve više) kineske mobitele. Dok se konkurentnost europskih IKT proizvoda i usluga elektroničkih komunikacija na globalnom tržištu ne poveća, građani, ali i institucije EU i država članica biti će izloženiji problemima koje Akt o kibersigurnosti pokušava riješiti.

Agencije

Leave a Reply

%d bloggers like this: