Cyberbezpieczeństwo w Przemyśle 4.0

Cyberbezpieczeństwo zostało uznane za jeden z pięciu filarów programu Cyfrowa Europa i od kilku lat jest przedmiotem intensywnych działań legislacyjnych na poziomie UE. Pierwszym kompleksowym aktem prawnym z obszaru cyberbezpieczeństwa jest przyjęta w 2016 r. dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. dyrektywa NIS. Drugi akt to Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych, tzw. Akt o cyberbezpieczeństwie.

Bezpieczeństwo systemów informacyjnych

Dyrektywa NIS została zaimplementowana do polskiego prawa w ramach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, popularnie zwanej „cyberustawą”. Obok dostawców usług cyfrowych i podmiotów publicznych cyberustawa wyróżnia operatorów usług kluczowych i nakłada na nich szereg obowiązków związanych z zachowaniem bezpieczeństwa systemów informacyjnych. Wprawdzie systemy informacyjne objęte ustawą są szeroko zdefiniowane i obejmują również systemy OT (Operational Technology), jednak jako operatorzy usług kluczowych mogą zostać wyznaczone jedynie podmioty wskazane w rozporządzeniu do ustawy, pochodzące m.in. z sektora energetycznego i transportu. Tym samym znajduje ona zastosowanie do branży przemysłowej jedynie w ograniczonym zakresie.

Status operatora usługi kluczowej uzyskuje się na podstawie decyzji wydanej przez właściwego ministra. Operatorzy usług kluczowych są zobowiązani do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej wraz z odpowiednią dokumentacją. W ramach systemu operatorzy dokonują obsługi i zgłaszania incydentów, a system powinien być co najmniej raz na dwa lata poddawany audytom.

W celu realizacji obowiązków wynikających z ustawy operator usługi kluczowej powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, który powinien spełniać szczegółowe wymogi wskazane w rozporządzeniu wykonawczym do ustawy. Europejskie certyfikacje

Akt o cyberbezpieczeństwie określa kompetencje Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz zawiera przepisy dotyczące europejskich certyfikacji w zakresie cyberbezpieczeństwa. Certyfikacją zostały objęte produkty, usługi i procesy ICT. Akt określa trzy poziomy bezpieczeństwa, w zależności od poziomu ryzyka związanego z użyciem danego produktu, usługi lub procesu: poziom podstawowy, poziom istotny i poziom wysoki. Na poziomie podstawowym możliwa będzie ocena zgodności przez stronę pierwszą, czyli producenta.

Aktualnie trwają prace nad europejskimi programami certyfikacyjnymi. Przy ich opracowaniu, zgodnie z wytycznymi Aktu, będą brane pod uwagę aktualnie istniejące europejskie standardy z zakresu cyberbezpieczeństwa. Dla Przemysłu 4.0 będą to np. normy IEC 62443, dotyczące bezpieczeństwa w systemach sterowania i automatyki przemysłowej. Punktem wyjścia będą zapewne również opracowania dotyczące cyberbezpieczeństwa w Przemyśle 4.0, które już dziś można znaleźć na stronie internetowej ENISA (np. Good Practices for Security of Internet of Things in the Context of Smart Manufacturing, Industry 4.0 Cybersecurity: Challenges & Recommendations). Certyfikacja będzie miała na razie charakter dobrowolny, co przez niektórych uczestników rynku wskazywane jest jako słaby punkt tworzonego europejskiego systemu cyberbezpieczeństwa.

source: Automatyka 1-2/2020