Akt EU o kybernetické bezpečnosti

KLÍČOVÉ BODY

Agentura ENISA má tento mandát:

• dosáhnout vysoké společné úrovně kybernetické bezpečnosti v celé EU,
• podporovat vnitrostátní orgány a orgány, instituce a jiné subjekty EU, pokud jde o zlepšování kybernetické bezpečnosti,
• fungovat jako referenční bod pro vědecké a technické poradenství a odborné znalosti v oblasti kybernetické bezpečnosti pro orgány, instituce a jiné subjekty EU a pro jiné relevantní zúčastněné strany,
• přispívat ke snížení roztříštěnosti vnitřního trhu,
• postupovat nezávisle, předcházet zdvojování vnitrostátních činností a zohledňovat vnitrostátní odborné znalosti,
• rozvíjet vlastní technické a lidské zdroje a dovednosti.

Agentura ENISA má tyto úkoly:

• pomáhat tvořit a provádět politiku a právo EU,
• podporovat budování kapacit, například prostřednictvím zlepšení prevence, odhalování a analýzy kybernetických hrozeb¹ a reakce na ně a prostřednictvím pomoci při rozvoji vnitrostátních týmů pro reakce na počítačové bezpečnostní incidenty (CSIRT) nebo prostřednictvím uspořádání cvičení v oblasti kybernetické bezpečnosti na úrovni EU,
• podporovat operativní spolupráci EU mezi všemi zúčastněnými subjekty, včetně Služby kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie (CERT-EU), zejména prostřednictvím výměny know-how a osvědčených postupů, poskytováním příslušných pokynů a obsluhy sítí evropských a vnitrostátních týmů CSIRT,
• podporovat a propagovat vývoj a zavádění certifikace kybernetické bezpečnosti EU u produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb jako součást její úlohy při vypracovávání systémů podle nového evropského rámce pro certifikaci kybernetické bezpečnosti,
• shromažďovat a analyzovat poznatky a informace o kybernetické bezpečnosti, především pak o nově vznikajících technologiích, kybernetických hrozbách a incidentech, poskytovat informace a poradenství vnitrostátním orgánům, příslušným zúčastněným stranám a prostřednictvím specializovaného portálu i veřejnosti (občanům, organizacím a podnikům),
• zvyšovat informovanost veřejnosti o rizicích v oblasti kybernetické bezpečnosti a poskytovat vodítka ohledně osvědčených postupů jednotlivým uživatelům a propagovat informovanost a vzdělávání v oblasti kybernetické bezpečnosti obecně,
• poskytovat poradenství ohledně potřeb a priorit výzkumu a přispívat ke strategickému programu pro výzkum a inovace EU v oblasti kybernetické bezpečnosti,
• přispívat k úsilí EU zaměřenému na spolupráci s mezinárodními partnery a organizacemi v otázkách týkajících se kybernetické bezpečnosti.

Níže je popsána správní a řídicí struktura agentury ENISA.

• Správní rada tvořená jedním zástupcem každého členského státu EU a dvěma členy jmenovanými Evropskou komisí, která stanovuje obecné směry činnosti agentury a zajišťuje, aby agentura prováděla své úkoly v souladu s podmínkami, které jí umožňují fungovat v souladu s nařízením, na jehož základě byla zřízena.
• Výkonná rada tvořená 5 členy, kteří připravují rozhodnutí, jež následně učiní správní rada.
• Nezávislý výkonný ředitel, který je podřízen správní radě a na vyzvání podává zprávu Evropskému parlamentu a Radě Evropské unie a který je odpovědný za řízení agentury,
• Poradní skupina agentury ENISA tvořená uznávanými odborníky příslušných zúčastněných stran, jako je odvětví IKT, poskytovatelé sítí nebo služeb elektronické komunikace, malé a střední podniky, spotřebitelé, členové akademické obce, provozovatelé základních služeb, ale také zástupci příslušných orgánů oznámených podle evropského kodexu pro elektronické komunikace, organizace pro normalizaci, donucovací orgány a orgány dozoru pro ochranu údajů, která se zaměřuje na otázky relevantní pro zúčastněné strany a upozorňuje na ně agenturu ENISA.
• Síť národních styčných úředníků tvořená zástupci všech členských států, která usnadňuje výměnu informací mezi agenturou ENISA a členskými státy a podporuje agenturu ENISA při šíření informací o jejích aktivitách, závěrech a doporučeních.

Nařízením se zřizuje následující.

• Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti tvořená uznávanými odborníky, kteří mimo jiné radí Komisi ohledně strategických otázek týkajících se rámce EU pro certifikaci kybernetické bezpečnosti a na požádání agentuře ENISA ohledně obecných a strategických otázek týkajících se relevantních úkolů agentury.
• Evropská skupina pro certifikaci kybernetické bezpečnosti tvořená vnitrostátními zástupci, kteří radí a pomáhají Komisi v její činnosti s cílem zajistit soudržné provádění a uplatňování tohoto aktu a také agentuře ENISA v souvislosti s přípravou návrhu systémů certifikace kybernetické bezpečnosti.

Agentura ENISA:

• se zřizuje na dobu neurčitou od 27. června 2019,
• vykonává činnost v souladu s jednotným programovým dokumentem obsahujícím její roční a víceletý program,
• řídí se bezpečnostními pravidly Komise týkajícími se ochrany citlivých neutajovaných informací a utajovaných informací EU,
• nesděluje třetím stranám důvěrné informace, které zpracovává nebo které obdržela,
• plně se zapojuje do opatření EU na boj proti podvodům, korupci a jiným nezákonným činnostem,
• zpracovává osobní údaje v souladu s příslušnými pravidly EU.

Nařízením se zřizuje evropský rámec pro certifikaci kybernetické bezpečnosti s cílem:

• zlepšit fungování vnitřního trhu zvýšením úrovně kybernetické bezpečnosti v EU a umožněním harmonizovaného přístupu k evropským systémům certifikace kybernetické bezpečnosti na úrovni EU, a to s výhledem na vytvoření jednotného digitálního trhu pro produkty IKT, služby IKT, procesy IKT a řízené bezpečnostní služby,
• vytvořit mechanismus pro zřizování systémů certifikace, které osvědčují, že produkty IKT, služby IKT, procesy IKT a řízené bezpečnostní služby hodnocené v souladu s takovými systémy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, autentičnosti, integrity nebo důvěrnosti uchovávaných, předávaných či zpracovávaných údajů nebo funkcí či služeb nabízených nebo přístupných prostřednictvím těchto produktů, služeb a procesů během celého jejich životního cyklu.

Podle tohoto rámce:

• Komise:
  • zveřejňuje průběžný pracovní program EU pro evropskou certifikaci kybernetické bezpečnosti, který určuje strategické priority a produkty IKT, služby IKT, procesy IKT a řízené bezpečnostní služby nebo jejich kategorie, které by z takového systému mohly mít prospěch,
  • může požádat agenturu ENISA o vypracování návrhu systému certifikace nebo o přezkum stávajícího systému,
• Agentura ENISA:
  • vypracovává na žádost Komise nebo Evropské skupiny pro certifikaci kybernetické bezpečnosti vhodné návrhy systémů,
  • hodnotí každý přijatý systém certifikace vždy jednou za pět let a zohledňuje při hodnocení obdrženou zpětnou vazbu,
  • provozuje specializované internetové stránky, jejichž účelem je poskytovat informace o systémech, certifikátech a prohlášeních o shodě.

Dobrovolné evropské systémy certifikace kybernetické bezpečnosti:

• mají za cíl dosáhnout různých cílů v oblasti bezpečnosti, jako je ochrana uchovávaných, předávaných a zpracovávaných údajů,
• označují úroveň bezpečnosti produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb pojmy „základní“, „podstatná“ nebo „vysoká“,
• umožňují výrobcům a poskytovatelům produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb s nízkým rizikem (tj. úroveň „základní“), aby produkty, služby a procesy posuzovali sami („vlastní posuzování shody“),
• musí obsahovat určité prvky, například jasný popis účelu, předmět a rozsah a kritéria hodnocení a použité metody,
• nahrazují podobné vnitrostátní systémy, ačkoliv tyto certifikáty platí do data skončení jejich platnosti.

Výrobci a poskytovatelé certifikovaných produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb musejí veřejně zpřístupnit:

• pokyny a doporučení, jež koncovým uživatelům pomohou s instalací, používání a údržbou jejich produktů či služeb,
• informace o době, po kterou nabízejí bezpečnostní podporu,
• kontaktní údaje,
• odkazy na internetová úložiště obsahující informace o známých problémech v oblasti kybernetické bezpečnosti, které souvisejí s jejich produkty či službami.

Členské státy jmenují jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti, který disponuje dostatečnými zdroji a pravomocemi k monitorování evropských systémů certifikace kybernetické bezpečnosti, dohledu nad nimi a prosazování souvisejících pravidel.

Komise:

• pravidelně hodnotí účinnost a využití přijatých systémů certifikace a posuzuje, zda by se některý systém měl stát povinným,
• byla povinna vypracovat své první podrobné hodnocení do 31. prosince 2023 a každé dva roky je pak povinna vypracovávat následná hodnocení,
• byla povinna vyhodnotit dopad, efektivitu a účinnost agentury ENISA do 28. června 2024 a poté toto vyhodnocení provést znovu každých pět let.

Jednotlivci a právnické osoby mají právo podat stížnost u vydavatele evropského certifikátu kybernetické bezpečnosti a usilovat o účinnou soudní nápravu.

Změna – řízené bezpečnostní služby

V prosinci 2024 bylo přijato nařízení (EU) 2025/37, kterým se mění nařízení, pokud jde o řízené bezpečnostní služby. Tato cílená změna zavádí definici řízených bezpečnostních služeb a rozšiřuje oblast působnosti evropského rámce certifikace kybernetické bezpečnosti o řízené bezpečnostní služby. V důsledku toho také odpovídajícím způsobem rozšiřuje mandát a úkoly agentury ENISA, pokud jde o řízené bezpečnostní služby.

Nařízení (EU) 2025/37 bylo zveřejněno v Úředním věstníku dne 15. ledna 2025 a platí od 4. února 2025.

Oznámení subjektů posuzování shody

V prosinci 2024 přijala Komise prováděcí nařízení (EU) 2024/3143 pro oznámení podle čl. 61 odst. 5 aktu o kybernetické bezpečnosti. Prováděcí akt stanoví okolnosti, formáty a postupy pro oznámení subjektů posuzování shody v rámci evropských systémů certifikace kybernetické bezpečnosti prostřednictvím informačního systému „nového přístupu k oznámeným a určeným organizacím“ (new approach notified and designated organisations, NANDO). Rovněž objasňuje okolnosti, za kterých by měly být provedeny změny v oznámení a na jejichž základě by mohla být zpochybněna způsobilost oznámených subjektů posuzování shody.

Prováděcí nařízení 2024/3143 bylo zveřejněno v Úředním věstníku dne 19. prosince 2024 a platí od 8. ledna 2025.

Evropský systém certifikace kybernetické bezpečnosti založený na společných kritériích (EUCC)

V lednu 2024 přijala Komise prováděcí nařízení (EU) 2024/482 (viz shrnutí). Tento akt stanovuje pravidla pro uplatňování nařízení (EU) 2019/881, pokud jde o přijetí dobrovolného společného evropského systému certifikace kybernetické bezpečnosti založeného na kritériích (EUCC). Jedná se o první systém na úrovni EU, který se týká certifikátů na úrovni záruky „podstatná“ nebo „vysoká“ pro produkty IKT, jako je hardware a software, včetně komponent, jako jsou čipy a čipové karty. Nařízení zahrnuje podrobná pravidla týkající se aspektů jako:

• normy a požadavky na hodnocení, vydávání, obnovování a odebírání osvědčení EUCC pro výrobky a profily ochrany,
• orgány posuzování shody akreditované k vydávání certifikátů nebo provádění hodnotících činností,
• sledování shody, neshody a nesouladu,
• postupy pro správu a zveřejňování zranitelností,
• uchovávání záznamů, zveřejňování a ochrana informací,
• dohody o vzájemném uznávání se zeměmi, které nejsou členy EU,
• vzájemné hodnocení certifikačních orgánů,
• udržování systému a
• vnitrostátní systémy certifikace kybernetické bezpečnosti, na které se vztahuje EUCC.

Prováděcí nařízení o EUCC platí ode dne 27. února 2025.

Nařízení (EU) 2019/881 a související prováděcí nařízení se nedotýkají odpovědnosti členských států za veřejnou bezpečnost, obranu, národní bezpečnost nebo trestní právo.

Nařízení zrušuje nařízení (EU) č. 526/2013 ode dne 27. června 2019.