Trialog se shodl na podobě textu regulace o kybernetické bezpečnosti. Jedná se o slibný výkop, na kterém se dá dále stavět, řekl Telička

Bude EU lépe chráněna před kybernetickými hrozbami? V noci z pondělí na úterý byl završen trialog k regulaci o Agentuře pro bezpečnost sítí a informací ENISA a o celoevropském rámci pro certifikaci. Legislativa, u níž byl místopředseda Evropského parlamentu Pavel Telička zpravodajem za frakci ALDE, chce zvýšit schopnost a připravenost členských států reagovat na kybernetické hrozby, zlepšit spolupráci a koordinaci mezi evropskými zeměmi a zvýšit informovanost u občanů i evropského průmyslu.

„Tato regulace je teprve jakýmsi zárodkem, který se bude dlouho vyvíjet. Její implementace bude rovněž záviset na vůli jednotlivých subjektů,“ vyjádřil se k výsledku trialogu Telička, „nicméně se jedná o slibný začátek, na němž se dá dále stavět. Pozice ALDE, kterou jsem od počátku prosazoval, je ve výsledném dokumentu velmi dobře reflektována. Proto jsem s jednáním trialogu spokojen.“  Trialog je zasedání, během něhož diskutují europoslanci, Evropská komise a členské státy, tedy Rada v zájmu dosažení dohody. Tento výsledný text je ale neformální a každý z orgánů ho musí ještě schválit.

Problémem je, že dnes je každá z členských zemí EU na jiné startovací čáře, jelikož je úroveň kybernetické bezpečnosti, vzdělanosti v tomto směru a infrastruktury (ve smyslu expertních týmů) mezi jednotlivými státy velmi rozdílná. „Kybernetické hrozby ale neznají hranice. A proto je EU tak silná, jak je silný její nejslabší článek. Proto je právě zapotřebí solidního celoevropského řešení,“ vysvětluje Telička, „je bohužel cítit roztříštěnost států a neochota podílet se na evropských řešeních, sdílet informace a více spolupracovat na evropské úrovni.“ K řešení této situace by měla částečně přispět právě přijatá regulace.

Vyjednaný text se skládá ze dvou částí. První řeší Evropskou agenturu pro kybernetickou bezpečnost (ENISA) a druhá se týká certifikace. Telička prosazoval trvalý a silný mandát pro ENISU a posílení její role v rámci certifikací a plánování. V regulaci se nově počítá s takzvaným Rolling Work Programme, který je pracovním plánem pro Komisi i ENISU pro přípravu certifikačních schémat. Certifikační proces by díky němu měl být transparentnější a byznys i instituce by tak měly lepší přehled o tom, co se má připravovat.

Nový certifikační rámec, který regulace přináší, má ověřovat, zda konkrétní informační a komunikační technologie neobsahuje žádnou známou zranitelnost a jestli splňuje všechny mezinárodní standardy a technické specifikace. Certifikace i nadále zůstane na dobrovolné bázi. Jestliže se ale výrobce pro certifikaci výrobku rozhodne, bude muset k tomuto výrobku přiložit leták s informací pro spotřebitele o tom, co certifikace pokrývá a na co si má spotřebitel dát pozor. To nabídne mnohem komplexnější informace než nějaké logo kvality.

Zachovány byly tři úrovně certifikace a princip tzv. peer review, neboli odborné kontroly, který zajišťuje, aby byla stejná kvalita a úroveň certifikace zachována ve všech členských zemích. Novinkou je pak tzv. Stakeholders Certification Group, což je skupina, která bude mít slovo v procesu přípravy certifikačních schémat i v procesu plánování. Díky ní se do procesu zapojí také byznys a spotřebitelé, tudíž dojde k větší propojenosti. Tyto zúčastněné strany mohou navíc přinášet informace z praktického života. Navíc jsou dnes v mnohém napřed a často certifikují na dobrovolné bázi, aniž by je k tomu nutila nějaká legislativa. Spotřebitelé a byznys tak budou moci v poradní rovině ovlivňovat zvyšování odolnosti výrobku vůči kybernetickým útokům.

Na základě regulace by mělo dojít také k posílení vzájemné spolupráce jednotlivých členských států. Pokud nějaká ze zemí odhalí zranitelné místo, měla by to sdílet s dalšími státy, aby předešla možným rizikům. Součástí textu zůstala také Teličkova příloha s indikativním seznamem skupin elektronických přístrojů, na které by se měla certifikace primárně zaměřit.

 

Sdílet