Čas čítania: 2 min
Väčšia konektivita prináša väčšie riziko kybernetickej bezpečnosti, ktoré ohrozuje nielen funkčnosť a dostupnosť pripojených služieb, ale predovšetkým dôležitú dôvernosť a bezpečnosť základných údajov. V tejto súvislosti sa v máji 2018 začalo uplatňovať európske všeobecné nariadenie o ochrane údajov (GDPR). S možnými pokutami organizácie tieto právne predpisy prinútili prehodnotiť riziká vyplývajúce zo spracovania osobných údajov.  Kedy je však technológia použitá na spracovanie týchto údajov „dostatočne bezpečná“? Mnoho spoločností sa snaží nájsť objektívne normy na určenie úrovne bezpečnosti výrobkov, služieb alebo procesov v oblasti informačných a komunikačných technológií (IKT) – normy, ktoré opodstatnia ich použitie technológie v prípade, že sa niečo pokazí. Táto neistota je jedným z problémov, ktoré Európska únia chcela vyriešiť zákonom o kybernetickej bezpečnosti. Tieto právne predpisy, ktoré nadobudli účinnosť a ktoré sú priamo uplatniteľné vo všetkých členských štátoch EÚ, vytvárajú celoeurópsky systém certifikácie kybernetickej bezpečnosti pre výrobky, služby a procesy IKT. 

Okrem toho obnovuje a posilňuje mandát Európskej agentúry pre bezpečnosť sietí a informácií ENISA a určuje jej osobitnú úlohu. Rámec certifikácie kybernetickej bezpečnosti je v súlade so stratégiou Európskej únie v oblasti kybernetickej bezpečnosti a digitálnou agendou Komisie. Ich cieľom je harmonizácia digitálneho ekosystému EÚ s cieľom lepšie využívať potenciál IKT s cieľom podporovať inteligentné, udržateľné a inkluzívne inovácie, hospodársky rast a pokrok v Európe.

Návrhári a výrobcovia IKT majú príležitosť využívať certifikáciu kybernetickej bezpečnosti v celej EÚ, ktorá by mohla výrazne zvýšiť dôveru v ich výrobky, služby a procesy. Certifikácia je dobrovoľná, pokiaľ právne predpisy EÚ alebo členského štátu neustanovujú inak, a výslovne sa ustanovuje, že Európska komisia by mala aspoň každé dva roky posúdiť, či by sa konkrétna certifikácia mala stať povinnou (s 31. decembrom 2023 ako konečným termínom).

Zákon EÚ o kybernetickej bezpečnosti zavádza tri úrovne istoty: základné, podstatné alebo vysoké. Tieto úrovne odrážajú riziko spojené s plánovaným použitím produktovej služby alebo procesu IKT z hľadiska pravdepodobnosti a dopadu incidentu. 

Výrobcovia alebo poskytovatelia produktov, služieb a procesov IKT, ktorí predstavujú nízke riziko, ktoré zodpovedá „základnej“ úrovni istoty, môžu vydať vyhlásenie o zhode na základe samohodnotenia. Ak takéto sebahodnotenie neexistuje alebo ak je úroveň istoty „podstatná“ alebo „vysoká“, certifikačný postup vykonáva nezávislá tretia strana. V certifikačnej schéme by sa malo uviesť, či by táto tretia strana mala byť súkromným alebo verejným orgánom posudzovania alebo vnútroštátnym certifikačným orgánom pre kybernetickú bezpečnosť.