Cyfrowa Polska: unijny Akt o Cyberbezpieczeństwie powinien wykorzystać polskie doświadczenia w zakresie Dostawców Wysokiego Ryzyka
Polski model oceny Dostawców Wysokiego Ryzyka (DWR) może stanowić cenną inspirację dla nowych europejskich regulacji dotyczących bezpieczeństwa łańcuchów dostaw ICT – ocenia Związek Cyfrowa Polska. W stanowisku przekazanym wicepremierowi i ministrowi cyfryzacji Krzysztofowi Gawkowskiemu organizacja apeluje również o wzmocnienie roli ENISA oraz harmonizację europejskich systemów certyfikacji cyberbezpieczeństwa.
Związek reprezentujący polską branżę cyfrową przekazał opinię w tej sprawie jako wkład do polskiego stanowiska w trwających pracach nad rewizją unijnego Aktu o Cyberbezpieczeństwie (CSA2). Zdaniem Cyfrowej Polski jest to obecnie jedna z najważniejszych inicjatyw regulacyjnych dla przyszłości europejskiego rynku cyfrowego. Branżowi eksperci podkreślają, że w obliczu rosnących zagrożeń cybernetycznych oraz postępującej cyfryzacji gospodarki nowe przepisy powinny nie tylko wzmacniać bezpieczeństwo, ale także zapewniać większą spójność regulacyjną oraz przewidywalność dla przedsiębiorstw działających na jednolitym rynku.
– Obecnie praktycznie każda nowa regulacja wpływa na funkcjonowanie systemów cyfrowych i infrastruktury krytycznej. Dlatego kwestie cyberbezpieczeństwa powinny być uwzględniane już na etapie projektowania przepisów. Potrzebujemy rozwiązań, które będą skutecznie chronić europejską gospodarkę cyfrową, jednocześnie nie ograniczając konkurencyjności i innowacyjności rynku – mówi Michał Kanownik, prezes Związku Cyfrowa Polska.
Ścieżka dla Europy oparta na polskich doświadczeniach
W ocenie Cyfrowej Polski trwająca reforma Cybersecurity Act to szansa, aby rozwiązania wypracowane w Polsce stały się inspiracją dla całej Unii Europejskiej. Dotyczy to przede wszystkim podejścia do Dostawców Wysokiego Ryzyka (DWR), które pozwala skutecznie chronić bezpieczeństwo państwa, nie prowadząc jednocześnie do ograniczania konkurencji na rynku technologii.
Organizacja wskazuje, że polski model opiera się na wieloetapowej analizie ryzyka, ocenie konkretnych produktów, usług i procesów ICT oraz rozbudowanych mechanizmach odwoławczych. Dzięki temu możliwe jest skuteczne ograniczanie zagrożeń dla bezpieczeństwa państwa bez stosowania automatycznych wykluczeń wobec całych producentów czy technologii.
– Polska wypracowała model, który pozwala identyfikować rzeczywiste ryzyka związane z konkretnymi rozwiązaniami technologicznymi, a nie opiera się na arbitralnych decyzjach wobec całych grup dostawców. To podejście, które mogłoby stanowić cenną inspirację dla przyszłych regulacji europejskich dotyczących bezpieczeństwa łańcuchów dostaw ICT – podkreśla Michał Kanownik.
ENISA powinna współtworzyć europejskie regulacje
Drugim kluczowym elementem stanowiska jest wzmocnienie roli Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Zdaniem Cyfrowej Polski obecny system nie zapewnia wystarczająco ustrukturyzowanego mechanizmu oceny wpływu nowych regulacji na cyberbezpieczeństwo, a konsultacje eksperckie często odbywają się zbyt późno.
Dlatego w piśmie do ministra cyfryzacji eksperci postulują rozszerzenie kompetencji ENISA i formalne włączenie agencji do procesu tworzenia, wdrażania i egzekwowania unijnych regulacji. Organizacja proponuje również przyznanie ENISA prawa do wydawania niezależnych opinii i rekomendacji dotyczących wpływu projektowanych przepisów na cyberbezpieczeństwo.
Potrzeba jednolitej zasady certyfikacji
Kluczowym elementem stanowiska są również europejskie ramy certyfikacji cyberbezpieczeństwa. Zdaniem branży obecny system wymaga większej harmonizacji i standaryzacji, aby certyfikaty wydawane w różnych państwach członkowskich gwarantowały porównywalny poziom bezpieczeństwa.
– Europejska certyfikacja powinna budować zaufanie i wzmacniać bezpieczeństwo rynku wewnętrznego. Tymczasem zdarzają się sytuacje, w których produkty lub procesy ICT uzyskują certyfikację w jednym państwie członkowskim, mimo że w innych krajach nie spełniłyby wymagań bezpieczeństwa. Potrzebujemy spójnych zasad obowiązujących w całej Unii Europejskiej – podkreśla Michał Kanownik.
Organizacja zwraca jednocześnie uwagę, że nowe systemy certyfikacji nie powinny prowadzić do dublowania istniejących obowiązków wynikających z innych aktów prawnych, takich jak NIS2, CRA czy DORA.
Cyfrowa Polska podkreśla również konieczność dostosowania systemów certyfikacji do współczesnego modelu rozwoju oprogramowania. Zdaniem organizacji tradycyjne, statyczne cykle ponownej certyfikacji mogą prowadzić do sytuacji, w której bezpieczniejsze i aktualniejsze wersje produktów pozostają formalnie niecertyfikowane, podczas gdy starsze rozwiązania nadal posiadają ważne certyfikaty. Branża opowiada się za modelem ciągłej zgodności, uwzględniającym aktualizacje bezpieczeństwa, poprawki oraz zarządzanie podatnościami.
W stanowisku zwrócono również uwagę na potrzebę zapewnienia stałego udziału przedstawicieli rynku w procesie tworzenia europejskich schematów certyfikacyjnych. Cyfrowa Polska postuluje utworzenie trwałego mechanizmu konsultacyjnego z silną reprezentacją przemysłu, większą przejrzystością prac nad nowymi programami certyfikacji oraz możliwością przedstawiania niewiążących opinii przez ekspertów i interesariuszy.