Акт ЕС о Кибербезопасности (Cybersecurity Act)
Как новый Акт ЕС о Кибербезопасности может быть полезен инженерам
27 июня 2019 года в Европейском Союзе вступил в силу новый Регламент 2019/881 Об Агентстве ЕС по кибербезопасности (ENISA) и сертификации по кибербезопасности информационных и коммуникационных технологий, более известный под названием «Акт о кибербезопасности» (Cybersecurity Act).
В этом материале старший юрист юридической фирмы AURUM Илья Шенгелия расскажет о новом Регламенте, рассмотрит его ключевые моменты и потенциальную пользу для вашего бизнеса.
Как и GDPR, Акт о Кибербезопасноти является частью Европейской Стратегии Единого Цифрового Рынка. По оценкам Европейской Комиссии, Единый Цифровой Рынок ЕС обладает потенциалом стать самым большим рынком онлайн бизнеса в мире и приносить приблизительно 415 миллиардов Евро в экономику Европейского Союза ежегодно. По некоторым подсчетам, оборот Единого Цифрового Рынка ЕС может достигнуть 1 триллион Евро уже к 2020 году. Для множества компаний такой цифровой рынок также открывает большие возможности для предложения своих услуг. Ожидаемо, что будет расти и спрос на специалистов в сфере кибербезопасности и защиты данных.
Для удобства, Акт о кибербезопасности по тексту упоминается как «Акт».
Нововведения
Акт устанавливает единый фреймворк сертификации в сфере кибербезопасности для информационных и коммуникационных технологий (IT). Этот фреймворк в первую очередь интересен владельцам и разработчикам программных решений, которые предоставляют свои продукты или услуги в Европейском Союзе.
Целью Акта является развитие и поддержка кибербезопасности IT продуктов и услуг на рынке ЕС. Ключевую роль в этом процессе должна выполнять ENISA, чьи полномочия были существенно расширены в связи с принятием Акта.
Сертификация
Акт предусматривает добровольную сертификацию по кибербезопасности IT продуктов, услуг и процессов. Тем не менее, акты Европейского Союза или государств-членов могут определять сферы, в которых сертификация продуктов, услуг или процессов будет обязательной. Со временем Европейская Комиссия должна оценить эффективность такого подхода и установить обязательность сертификации в определенных сферах деятельности, но уже сейчас понятно, что в скором времени сертификация по кибербезопасности станет стандартом работы в странах Европейского Союза.
Сертификация проводится аккредитованными органами в соответствии с выбранной схемой. ENISA разрабатывает такие схемы на основании программы Европейской Сертификации, которая должна быть подготовлена Европейской Комиссией до 28 июля 2020 года и будет включать список продуктов, услуг и процессов, которые могут быть сертифицированы.
ENISA должна поддерживать специальный сайт, посвященный сертификации, на котором будет предоставлена вся необходимая информация.
Сертифицированные продукты, услуги и процессы должны соответствовать требованиям установленных технических регламентов и стандартов в сфере кибербезопасности.
Сертификация признается во всех странах ЕС, а максимальный срок ее действия составляет 5 лет и может быть продлен на тех же условиях.
На момент написания этого материала вышеупомянутая программа еще не опубликована, схемы сертификации не разработаны, а вышеупомянутый сайт не поддерживается. Их представление ожидается до лета 2020 года.
IT продукты, услуги и процессы
Сертификация применяется к:
- IT продуктам (например, компьютеры, цифровые телевизоры, IoT и т.д.);
- IT услугам (например, разработка ПО, консультационные услуги в сфере IT, хостинг и т.д.); и
- IT процессам (мероприятия, выполненные для проектирования, разработки, поставки или поддержки IT продуктов и услуг).
Зачем нужна сертификация по кибербезопасности?
Сертификация по кибербезопасности может быть интересна для владельцев и разработчиков программных решений, которые предоставляют свои продукты или услуги в Европейском Союзе. В особенности, это касается продуктов и услуг в тех сферах, где кибербезопасность или угроза кибератаки могут нести серьезные риски, например: медицина, финтех, банковская деятельность.
Сертификация подтверждает техническую надежность продуктов, услуг, а также процессов их разработки и поддержки одновременно во всех странах ЕС.
Также стоит учитывать, что сертификация может служить дополнительным доказательством того, что разработчик IT решений выполняет требования GDPR, так как одна из обязанностей, предусмотренных GDPR, — принятие необходимых технических мер для обеспечения безопасности работы с персональными данными.
Уровни сертификации
Существует три возможных уровня сертификации:
- базовый;
- существенный;
- высокий.
Базовый уровень подразумевает, что продукт, услуга или процесс соответствует требованиям безопасности на уровне, предназначенном для минимизации основных известных рисков, инцидентов и кибератак.
Оценка включает в себя проверку технической документации.
Существенный уровень. Продукт, услуга или процесс соответствует вышеупомянутым требованиям, при этом обеспечивается минимизация рисков кибератак, которые проводятся лицами, имеющими ограниченные навыки и ресурсы.
Оценка включает в себя проверку, демонстрирующую отсутствие общеизвестных уязвимостей, а также тестирование, демонстрирующее, что продукт, услуга или процесс правильно реализуют необходимые функции безопасности.
Высокий уровень. Продукт, услуга или процесс соблюдает вышеупомянутые требования, при этом обеспечивается минимизация рисков современных (‘state-of-the-art’) кибератак, которые проводятся лицами с существенным опытом и ресурсами.
Оценка включает в себя проверку, демонстрирующую отсутствие общеизвестных уязвимостей; тестирование, демонстрирующее, что продукт, услуга или процесс правильно реализует необходимые функции безопасности на современном уровне техники; и оценку их устойчивости к квалифицированным злоумышленникам, используя тест на защиту от несанкционированного доступа (‘penetration testing’).
Уровень сертификации зависит от уровня риска, связанного с предполагаемым использованием IT продукта, услуг или процесса. Уровень также зависит от таких факторов, как: (1) вид данных, которые обрабатываются, (2) объем данных, (3) вероятность возникновения инцидента/атаки, (4) возможные последствия инцидента/атаки.
Самостоятельная сертификация
Программа Европейской Сертификации, разработанная Европейской Комиссией, может предусматривать самостоятельную сертификацию производителей и поставщиков продуктов, услуг или процессов. Такая самостоятельная сертификация возможна только для базового уровня сертификации, как описывалось выше.
Для этого, производитель или поставщик должен предоставить в национальный орган по сертификации кибербезопасности (1) заявление о соответствии, (2) техническую документацию, а также (3) другую необходимую информацию. Копия заявления о соответствии также направляется в ENISA.
Принятие Акта, а также единых в рамках ЕС схем сертификаций по кибербезопасности позволит значительно улучшить противодействие кибератакам и защиту данных. Также, единые стандарты по кибербезопасности во всех странах ЕС должны значительным образом способствовать развитию Единого Цифрового Рынка в ЕС и доверию пользователей к цифровым услугам.
Компаниям, которые работают на рынке ЕС, стоит задуматься над тем, чтобы сертифицировать свои продукты, услуги или процессы в соответствии с Актом ЕС о кибербезопасности, а инженерам — над тем, чтобы развивать экспертизу в сфере кибербезопасности и защиты данных с учетом нововведений.
Если вам понравилась эта статья и вы хотите получать больше полезных материалов, подписывайтесь на наш Медиум канал LawGeek и страницу в Facebook.
Свяжитесь с нами, чтобы узнать, как AURUM может помочь вам в работе над кибербезопасностью и GDPR compliance.
Впервые материал был опубликован на сайте сообщества программистов Dou.ua.