Revizuirea Cybersecurity Act mută securitatea digitală spre furnizori, lanțuri de aprovizionare și dependențe tehnologice

Atacurile cibernetice din ultimii ani au schimbat întrebarea pe care Europa și-o pune despre tehnologia critică. Nu mai este vorba doar dacă un produs digital este bine proiectat sau dacă o rețea este protejată tehnic, ci și cine controlează furnizorii, ce dependențe apar în lanțurile de aprovizionare și ce se întâmplă dacă un stat sau un actor ostil poate influența componente folosite în sectoare esențiale.

Pe scurt

1. Revizuirea Cybersecurity Act, CSA2, vine după creșterea atacurilor cibernetice și după extinderea rolului ENISA în aplicarea legislației europene de securitate cibernetică.

2. În 2025, principalele sectoare vizate de atacuri cibernetice în Uniunea Europeană au fost administrația publică, transporturile, infrastructura și serviciile digitale, finanțele și industria prelucrătoare.

3. Propunerea CSA2 ar întări rolul ENISA în alertare timpurie, cooperare operațională, ransomware, certificare, raportare a incidentelor și competențe de securitate cibernetică.

4. O parte sensibilă a propunerii privește lanțurile de aprovizionare ICT, unde riscurile pot fi tehnice, dar și geopolitice sau legate de influență străină.

5. Mecanismul propus ar putea permite restricții asupra unor furnizori considerați cu risc ridicat în sectoare critice, dar briefingul arată că această direcție ridică și întrebări privind costurile, proporționalitatea și competențele statelor membre.

Briefingul Serviciului de Cercetare al Parlamentului European privind revizuirea Cybersecurity Act descrie o evoluție clară a riscului digital. Din 2019, când actualul Cybersecurity Act a intrat în vigoare, atacurile cibernetice au crescut, iar peisajul legislativ european s-a aglomerat cu norme noi, de la NIS2 până la Cyber Resilience Act.

În acest context, rolul Agenției Uniunii Europene pentru Securitate Cibernetică, ENISA, s-a extins. Agenția sprijină aplicarea NIS2 prin ghiduri tehnice, schimb de informații și coordonare între statele membre, iar în zona Cyber Resilience Act oferă expertiză tehnică, susține certificarea și contribuie la platforma unică de raportare a vulnerabilităților și incidentelor.

Revizuirea Cybersecurity Act, cunoscută ca CSA2, încearcă să adapteze această arhitectură la un mediu în care atacurile nu mai sunt doar mai frecvente, ci și mai complexe. Potrivit briefingului, propunerea Comisiei Europene din 20 ianuarie 2026 urmărește să clarifice mandatul ENISA, să îmbunătățească cadrul european de certificare în securitate cibernetică și să introducă măsuri noi pentru lanțuri ICT sigure și reziliente.

Miza practică este ușor de înțeles dacă privim spre infrastructurile pe care se bazează viața de zi cu zi: aeroporturi, spitale, servicii publice, transport, cloud, rețele mobile, energie, servicii financiare. Un atac asupra unui singur furnizor important poate produce efecte în lanț asupra multor organizații care folosesc același software, aceleași echipamente sau aceleași servicii.

Briefingul oferă exemplul unui atac ransomware din septembrie 2025 asupra unui furnizor american de software pentru procesarea pasagerilor, care a perturbat sistemele de check-in și îmbarcare în aeroporturi din Regatul Unit, Germania și Belgia. Un astfel de caz arată de ce securitatea cibernetică nu mai poate fi gândită doar la nivelul fiecărei instituții sau companii, ci și la nivelul furnizorilor integrați în servicii critice.

Una dintre schimbările importante din CSA2 privește rolul ENISA. Agenția ar urma să devină un punct de referință pentru cooperare tehnică și operațională la nivelul Uniunii, inclusiv prin colaborarea cu CERT-EU, rețeaua CSIRT și EU CyCLONe, structuri implicate în răspunsul la incidente și crize cibernetice.

Propunerea ar întări și funcția de alertare timpurie. ENISA ar putea furniza informații despre vulnerabilități, indicatori de compromitere și recomandări de atenuare a riscurilor, pentru a îmbunătăți imaginea comună asupra amenințărilor cibernetice din Uniune.

Un alt element vizibil pentru companii și instituții este răspunsul la ransomware. CSA2 ar atribui ENISA un rol în sprijinirea entităților esențiale și importante afectate de astfel de atacuri, inclusiv prin rezerva UE de securitate cibernetică, cooperare cu Europol și centrele naționale CSIRT, ghiduri, suport tehnic și acțiuni coordonate.

Revizuirea atinge și problema raportării incidentelor. ENISA ar urma să opereze un punct unic de intrare pentru raportarea incidentelor și să mențină capacități comune de gestionare a vulnerabilităților. Pentru administrații și companii, această direcție ar putea însemna mai multă coerență în raportare, dar și noi cerințe de coordonare.

O altă zonă importantă este certificarea cibernetică europeană. Actualul cadru de certificare a avut o implementare lentă: până acum a fost adoptată doar o schemă europeană, EUCC, pentru produse ICT. Alte scheme, precum cele pentru cloud, 5G, portofele digitale de identitate și servicii de securitate gestionate, sunt încă în dezvoltare.

CSA2 încearcă să facă certificarea mai previzibilă și mai utilă pentru piața unică. Propunerea prevede o procedură mai clară, în care Comisia cere o schemă, ENISA o elaborează într-un termen standard de 12 luni, iar Comisia o poate adopta prin acte de punere în aplicare, după consultări și avize. Figura din briefingul EPRS privind procedura revizuită a cadrului european de certificare arată această succesiune de pași, de la consultare și cererea de elaborare până la proiectul de schemă, opinia grupului european de certificare și adoptarea finală.

Pentru firme, partea relevantă este că certificarea ar putea funcționa ca punte între mai multe acte legislative europene. Un produs, serviciu, proces, serviciu de securitate gestionat sau chiar postura cibernetică a unei entități ar putea beneficia de prezumția de conformitate cu anumite cerințe europene, dacă este certificat în cadrul unei scheme recunoscute.

Partea cea mai sensibilă politic privește însă lanțurile de aprovizionare ICT. Briefingul explică faptul că propunerea CSA2 nu se limitează la riscuri tehnice, ci introduce un cadru pentru riscuri non-tehnice, inclusiv dependențe structurale de furnizori, influență străină, obligații legale din țări terțe privind transmiterea datelor sau lipsa unor căi judiciare eficiente.

Acest lucru nu înseamnă că o instituție europeană a decis deja interzicerea unor companii anume. Înseamnă că propunerea ar crea un mecanism prin care Comisia ar putea desemna țări terțe care prezintă riscuri serioase și structurale, ar putea identifica active ICT-cheie și ar putea lista furnizori cu risc ridicat stabiliți, deținuți sau controlați de astfel de țări.

Măsurile posibile ar merge de la diversificarea furnizorilor și audituri tehnice până la restricții privind transferurile de date sau interdicții pentru anumite entități de a folosi componente de la furnizori cu risc ridicat în active ICT-cheie. Sectoarele vizate sunt cele acoperite de NIS2, precum energia, transporturile, sănătatea și cloud computing.

Pentru rețelele de comunicații electronice, propunerea este și mai directă. În cazul rețelelor mobile, fixe și satelitare, componentele provenite de la furnizori desemnați cu risc ridicat ar trebui eliminate din activele-cheie ale rețelelor. Pentru rețelele mobile, briefingul menționează o perioadă obligatorie de eliminare de trei ani după desemnarea unui furnizor.

Această direcție se înscrie într-o dezbatere mai largă despre suveranitate tehnologică. Briefingul menționează exemple internaționale privind vehicule conectate, invertoare energetice și echipamente 5G, unde mai multe state au introdus sau analizat restricții pentru furnizori asociați cu riscuri de influență străină, spionaj sau interferență de la distanță.

În Uniunea Europeană, Comisia a recomandat deja excluderea Huawei și ZTE din infrastructura de telecomunicații a Uniunii, potrivit briefingului EPRS. În același timp, textul CSA2 propus nu se rezumă la o companie sau la o țară, ci creează un cadru orizontal pentru evaluarea riscurilor din lanțurile ICT critice.

Briefingul arată și de ce dosarul este controversat. Operatorii telecom și asociațiile din industrie avertizează că eliminarea unor furnizori poate costa foarte mult și poate consuma resurse necesare modernizării rețelelor. Comisia a estimat că eliminarea furnizorilor cu risc ridicat din rețelele mobile 5G ar costa între 3,4 și 4,3 miliarde de euro pe an pe durata unei tranziții de trei ani.

În același timp, alte analize citate de EPRS susțin că impactul financiar ar putea fi mai redus, pentru că aproximativ 70% din echipamentele 5G instalate în Uniunea Europeană provin deja de la furnizori considerați de încredere, iar multe stații de bază 5G ar ajunge natural la finalul ciclului de viață până la aplicarea măsurilor.

Disputa reală nu este doar despre bani, ci despre cine decide și pe ce criterii. Unii actori susțin că riscurile non-tehnice trebuie luate în calcul pentru a preveni influența străină în infrastructuri critice. Alții avertizează că astfel de criterii pot deveni prea politice, pot afecta comerțul și pot muta competențe sensibile de securitate națională către nivelul european.

Briefingul EPRS menționează și întrebări constituționale ridicate de experți: propunerea folosește articolul 114 din Tratatul privind funcționarea Uniunii Europene, baza juridică a pieței interne, pentru a crea mecanisme care ating indirect teme de securitate națională și geopolitică. Statele membre își păstrează rolul prin comitologie și prin posibilitatea de a exercita presiune politică, dar mecanismul ar da Comisiei un rol central în desemnarea riscurilor.

Pentru cititorul obișnuit, miza poate fi rezumată simplu: Europa încearcă să afle dacă tehnologia folosită în infrastructuri critice este nu doar funcțională și sigură tehnic, ci și lipsită de dependențe care ar putea fi exploatate politic sau strategic. Această întrebare privește rețele mobile, cloud, energie, transporturi, servicii publice, spitale și alte sisteme fără de care economia și administrația nu pot funcționa.

În Parlamentul European, dosarul a fost atribuit Comisiei pentru industrie, cercetare și energie, ITRE, iar Markéta Gregorová, eurodeputată Greens/EFA din Cehia, a fost numită raportoare. Următoarea etapă este dezbaterea legislativă în Parlament și Consiliu, unde se va vedea cât de departe va merge Uniunea în combinarea securității cibernetice tehnice cu evaluarea dependențelor geopolitice din lanțurile de aprovizionare.

Cybersecurity Act a intrat în vigoare în 2019 și a dat ENISA un mandat permanent, precum și un cadru european voluntar de certificare pentru produse, servicii și procese ICT. Revizuirea CSA2 vine după evaluarea obligatorie a legislației și după apariția unor noi acte europene, precum NIS2 și Cyber Resilience Act, care au extins obligațiile și rolurile instituționale în securitatea cibernetică.