Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Summaries of EU Legislation

Akt o kybernetickej bezpečnosti EÚ

 

ZHRNUTIE K DOKUMENTU:

Nariadenie (EÚ) 2019/881 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií (akt o kybernetickej bezpečnosti)

AKÝ JE CIEĽ TOHTO NARIADENIA?

Jeho cieľom je dosiahnuť vysokú úroveň kybernetickej bezpečnosti*, kybernetickej odolnosti a dôvery v Európskej únii () stanovením:

  • cieľov, úloh a organizačných aspektov pre posilnenú a premenovanú Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA) s novým trvalým mandátom,
  • rámca pre dobrovoľné európske systémy certifikácie kybernetickej bezpečnosti pre produkty, služby a procesy informačných a komunikačných technológií (IKT).

HLAVNÉ BODY

Mandátom agentúry ENISA je:

  • dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v celej EÚ,
  • podporovať vnútroštátne orgány a inštitúcie, orgány, úrady a agentúry EÚ pri zlepšovaní kybernetickej bezpečnosti,
  • pôsobiť ako referenčné miesto pre vedecké a technické poradenstvo a odborné znalosti v oblasti kybernetickej bezpečnosti pre inštitúcie, orgány, úrady a agentúry EÚ, ako aj pre iné príslušné zainteresované strany,
  • prispievať k zníženiu fragmentácie vnútorného trhu,
  • konať nezávisle, vyhýbať sa zdvojovaniu vnútroštátnych činností a zohľadňovať vnútroštátne odborné znalosti,
  • rozvíjať vlastné technické a ľudské zdroje a zdroje zručností.

ENISA má tieto úlohy:

  • prispievať k tvorbe a vykonávaniu politiky a práva EÚ,
  • podporovať budovanie kapacít, napríklad zlepšovaním prevencie, odhaľovania a analýzy kybernetických hrozieb* a reakcií na ne a pomocou pri rozvoji vnútroštátnych jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) alebo organizovaním kybernetickobezpečnostných cvičení na úrovni EÚ,
  • podporovať operačnú spoluprácu v EÚ medzi všetkými zúčastnenými aktérmi vrátane tímu reakcie na núdzové počítačové situácie EÚ (CERT-EU), a to najmä prostredníctvom výmeny know-how a osvedčených postupov, poskytovaním usmernení a servisom pre sieť CSIRT na úrovni EÚ a jednotlivých krajín,
  • podporovať a presadzovať tvorbu a vykonávanie politiky EÚ v oblasti certifikácie kybernetickej bezpečnosti produktov, služieb a procesov IKT v rámci svojej úlohy pri príprave systémov podľa nového európskeho rámca pre certifikáciu kybernetickej bezpečnosti,
  • zhromažďovať a analyzovať vedomosti a informácie o kybernetickej bezpečnosti, predovšetkým o nových technológiách, kybernetických hrozbách a incidentoch, s cieľom poskytovať informácie a poradenstvo vnútroštátnym orgánom, príslušným zainteresovaným stranám a prostredníctvom vyhradeného portálu aj verejnosti (občanom, organizáciám a podnikom),
  • zvyšovať povedomie verejnosti o kybernetickobezpečnostných rizikách a poskytovať poradenstvo o osvedčených postupoch pre jednotlivých používateľov a podporovať povedomie a vzdelávanie o kybernetickej bezpečnosti všeobecne,
  • radiť o potrebách a prioritách výskumu a prispievať do strategického programu EÚ pre výskum a inováciu v oblasti kybernetickej bezpečnosti,
  • prispievať k úsiliu EÚ o spoluprácu v oblasti kybernetickej bezpečnosti s jej medzinárodnými partnermi a organizáciami.

Administratívnu a riadiacu štruktúru agentúry ENISA tvoria:

  • správna rada. S jedným členom z každej krajiny EÚ a dvomi členmi vymenovanými Komisiou; správna rada stanovuje všeobecné smerovanie činností agentúry a zabezpečuje, aby agentúra vykonávala svoje úlohy v podmienkach, ktoré jej umožňujú slúžiť v súlade s nariadením o jej zriadení,
  • výkonná rada s piatimi členmi, ktorá pripravuje rozhodnutia prijímané správnou radou,
  • nezávislý výkonný riaditeľ, ktorý sa zodpovedá správnej rade a na vyzvanie podáva správy Európskemu parlamentu a Rade, je zodpovedný za riadenie agentúry,
  • poradná skupina agentúry ENISA zložená z uznávaných expertov z príslušných zainteresovaných strán, ako sú odvetvie IKT, poskytovatelia elektronických komunikačných sietí alebo služieb, MSP, spotrebitelia, akademici, prevádzkovatelia základných služieb aj zástupcovia príslušných orgánov, voči ktorým sa plní oznamovacia povinnosť podľa európskeho kódexu elektronických komunikácií, normalizačné organizácie, orgány presadzovania práva a dozorné orgány v oblasti ochrany údajov, sa zameriava na otázky dôležité pre zainteresované strany a upriamuje pozornosť agentúry ENISA na ne,
  • sieť národných styčných úradníkov zložená zo zástupcov všetkých krajín EÚ uľahčuje výmenu informácií medzi agentúrou ENISA a krajinami EÚ a podporuje agentúru ENISA pri rozširovaní informácií o jej činnosti, zisteniach a odporúčaniach.

Nariadením sa vytvárajú tieto subjekty:

  • skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti zložená z uznávaných expertov, ktorá napríklad radí Európskej komisii o strategických otázkach, pokiaľ ide o rámec EÚ pre certifikáciu kybernetickej bezpečnosti, a na požiadanie radí agentúre ENISA o všeobecných a strategických otázkach týkajúcich sa príslušných úloh agentúry ENISA,
  • európska skupina pre certifikáciu kybernetickej bezpečnosti (ECCG) zložená z vnútroštátnych zástupcov, ktorá radí a pomáha Komisii v jej úsilí o zabezpečenie konzistentného vykonávania a uplatňovania tohto aktu a agentúre ENISA v súvislosti s vypracúvaním kandidátskych certifikačných systémov.

ENISA:

  • sa zriaďuje na dobu neurčitú od 27. júna 2019,
  • vykonáva činnosť podľa jednotného programového dokumentu, ktorý obsahuje jej ročné a viacročné plánovanie,
  • riadi sa bezpečnostnými predpismi Komisie na ochranu citlivých neutajovaných skutočností a utajovaných skutočností EÚ,
  • nevyzradzuje tretím stranám dôverné informácie, ktoré spracúva alebo získava,
  • v plnej miere sa zúčastňuje na opatreniach EÚ na boj proti podvodom, korupcii a iným nezákonným činnostiam,
  • spracúva osobné údaje v súlade s príslušnými pravidlami EÚ.

Nariadením sa ustanovuje európsky rámec certifikácie kybernetickej bezpečnosti s cieľom:

  • zlepšiť fungovanie vnútorného trhu zvýšením úrovne kybernetickej bezpečnosti v EÚ a umožnením harmonizovaného prístupu k európskym systémom certifikácie kybernetickej bezpečnosti na úrovni EÚ s cieľom vytvoriť digitálny jednotný trh pre produkty, služby a procesy IKT,
  • vytvoriť mechanizmus zavádzania systémov certifikácie, ktoré potvrdzujú, že produkty, služby a procesy IKT vyhodnotené v súlade s týmito systémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas celého ich životného cyklu.

V tomto rámci:

  • Komisia:
    • uverejňuje priebežný pracovný program EÚ pre európsku certifikáciu kybernetickej bezpečnosti, v ktorom sa určia strategické priority a produkty, služby a procesy alebo kategórie IKT, ktoré by mohli mať zo systému prospech,
    • môže požiadať agentúru ENISA, aby vypracovala kandidátsky systém certifikácie alebo preskúmala existujúci systém.
  • ENISA:
    • vypracúva na základe žiadosti Komisie alebo ECCG vhodné návrhy systémov,
    • každých päť rokov preskúmava každý prijatý systém certifikácie, pričom berie do úvahy poskytnutú spätnú väzbu,
    • udržiava vyhradené webové sídlo, ktoré poskytuje informácie o systémoch, certifikátoch a vyhláseniach o zhode.

Dobrovoľné európske systémy certifikácie kybernetickej bezpečnosti:

  • majú za cieľ dosiahnuť rôzne ciele bezpečnosti, ako sú napríklad ochrana uchovávaných, prenášaných a spracúvaných údajov,
  • označujú stupeň bezpečnosti produktov, služieb a procesov IKT ako „základný“, „pokročilý“ alebo „vysoký“,
  • umožňujú výrobcom a poskytovateľom produktov, služieb a procesov IKT s nízkym rizikom (t. j. „základných“), aby ich sami posudzovali („vlastné posúdenie zhody“),
  • musia zahŕňať určité prvky, ako sú jasné opisy účelu, predmetu a rozsahu pôsobnosti a používaných hodnotiacich kritérií a metód,
  • nahrádzajú podobné vnútroštátne certifikáty, avšak tieto certifikáty platia naďalej až do konca doby ich platnosti.

Výrobcovia a poskytovatelia certifikovaných produktov, služieb a procesov IKT musia zverejniť:

  • poradenstvo a odporúčania s cieľom pomôcť koncovým používateľom inštalovať, uplatňovať a udržiavať ich produkty alebo služby,
  • obdobie, počas ktorého poskytujú bezpečnostnú podporu,
  • svoje kontaktné údaje,
  • odkazy na online registre s informáciami o známych záležitostiach v oblasti kybernetickej bezpečnosti, ktoré sa dotýkajú ich produktov alebo služieb.

Krajiny EÚ vymenujú jeden alebo viac vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti s dostatočnými zdrojmi a právomocami na sledovanie a vymáhanie pravidiel európskych systémov certifikácie a dohľad nad nimi.

Komisia:

  • pravidelne posudzuje účinnosť a používanie prijatých systémov certifikácie a zvažuje, či by niektorý systém mal byť povinný,
  • dokončí prvé podrobné posúdenie do 31. decembra 2023 a ďalšie každé dva roky,
  • vyhodnotí vplyv, účinnosť a efektívnosť agentúry ENISA do 28. júna 2024 a následne každých päť rokov.

Fyzické a právnické osoby majú právo podať sťažnosť vydavateľovi európskeho certifikátu kybernetickej bezpečnosti a žiadať účinnú súdnu nápravu.

Nariadením nie je dotknutá zodpovednosť krajín EÚ za verejnú bezpečnosť, obranu, národnú bezpečnosť a trestné právo.

Nariadením sa zrušuje nariadenie (EÚ) č. 526/2013, a to s účinnosťou od 27. júna 2019.

ODKEDY SA NARIADENIE UPLATŇUJE?

Nariadenie sa uplatňuje od 27. júna 2019.

Články o vymenovaní vnútroštátnych orgánov pre kybernetickú bezpečnosť, akreditácii a oznamovaní orgánov posudzovania zhody, práve podávať sťažnosti vydavateľom európskych certifikátov kybernetickej bezpečnosti a práve na súdny prostriedok nápravy, ako aj o sankciách, sa uplatňujú od 28. júna 2021.

KONTEXT

Agentúra ENISA so sídlom v Aténach a s pobočkou v Heraklione prispieva k sieťovej a informačnej bezpečnosti EÚ od roku 2004. Ďalšie informácie:

HLAVNÉ POJMY

Kybernetická bezpečnosť: činnosti potrebné na ochranu sietí a informačných systémov, ich používateľov a iných osôb dotknutých kybernetickými hrozbami.
Kybernetická hrozba: potenciálna okolnosť, udalosť alebo činnosť, ktorá by mohla poškodiť, narušiť alebo negatívne ovplyvniť siete a informačné systémy, ich používateľov a iné osoby.

HLAVNÝ DOKUMENT

Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15 – 69)

SÚVISIACE DOKUMENTY

Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39 – 98)

Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1 – 30)

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88)

Následné zmeny nariadenia (EÚ) 2016/679 boli zapracované do pôvodného textu. Toto konsolidované znenie slúži len na dokumentačné účely.

Posledná aktualizácia 10.03.2020

Top