Unijny akt o cyberbezpieczeństwie

KLUCZOWE ZAGADNIENIA

W ramach udzielonego mandatu ENISA ma:

• zmierzać do osiągnięcia wysokiego wspólnego poziomu cyberbezpieczeństwa w UE,
• wspierać organy krajowe oraz unijne instytucje, organy, agencje i jednostki organizacyjne w poprawie cyberbezpieczeństwa,
• działać jako punkt odniesienia w zakresie doradztwa naukowego i technicznego oraz wiedzy fachowej z zakresu cyberbezpieczeństwa na potrzeby instytucji, organów i jednostek organizacyjnych UE, a także na potrzeby innych odpowiednich interesariuszy;
• przyczyniać się do zmniejszenia rozdrobnienia rynku wewnętrznego;
• działać niezależnie, unikając powielania działań na szczeblu krajowym i uwzględniając wiedzę fachową na szczeblu krajowym,
• tworzyć własne zasoby, w tym zdolności techniczne i w zakresie zasobów ludzkich oraz umiejętności.

Zadania ENISA są następujące:

• udzielanie pomocy przy wdrażaniu polityki i prawa UE;
• wspieranie budowy potencjału, na przykład w drodze lepszego zapobiegania cyberzagrożeniom, ich wykrywania i analizowania oraz reagowania na cyberzagrożenia1 pomagania w tworzeniu krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (zespołów CSIRT) lub organizowania ćwiczeń w dziedzinie cyberbezpieczeństwa na szczeblu UE;
• wspieranie na szczeblu UE współpracy operacyjnej pomiędzy wszystkimi zaangażowanymi interesariuszami, do których zalicza się między innymi unijny zespół reagowania na incydenty komputerowe w instytucjach, organach i agencjach UE (CERT-UE), zwłaszcza w drodze wymiany know-how i najlepszych praktyk, przekazywania stosowanych wytycznych i wspierania zespołów CSIRT państw UE i CERT-UE w związku z zadaniami sieci CSIRT;
• wspieranie i propagowanie opracowywania i realizowania polityki UE w zakresie certyfikacji cyberbezpieczeństwa produktów, usług i procesów TIK, a także zarządzanych usług bezpieczeństwa, w tym przez przygotowywanie systemów wchodzących w skład nowych europejskich ram certyfikacji cyberbezpieczeństwa;
• gromadzenie i analizowanie wiedzy i informacji w dziedzinie cyberbezpieczeństwa, w tym na temat powstających technologii, cyberzagrożeń i incydentów, przekazywanie informacji i porad organom krajowym, odpowiednim interesariuszom oraz – za pośrednictwem specjalnego portalu – ogółowi społeczeństwa (obywatelom, organizacjom i przedsiębiorstwom);
• działanie na rzecz promowania wiedzy na temat rodzajów ryzyka w cyberprzestrzeni, zapewnianie porad w zakresie dobrych praktyk dla użytkowników indywidualnych oraz propagowanie wiedzy na temat cyberbezpieczeństwa i edukacji w tej dziedzinie w ujęciu ogólnym;
• doradzanie w zakresie potrzeb badawczych i priorytetów, a także wnoszenie wkładu do unijnego programu strategicznych badań i innowacji w dziedzinie cyberbezpieczeństwa;
• wnoszenie wkładu w starania UE na rzecz współpracy z jej partnerami międzynarodowymi i organizacjami międzynarodowymi w kwestiach związanych z cyberbezpieczeństwem.

ENISA ma następującą strukturę administracyjną i kierowniczą:

• Zarząd, w którego skład wchodzi po jednym przedstawicielu z każdego państwa członkowskiego UE i dwóch członków powoływanych przez Komisję Europejską. Zarząd określa ogólny kierunek działalności ENISA i zapewnia, aby działała ona zgodnie z przepisami zawartymi w rozporządzeniu ustanawiającym.
• Rada Wykonawcza, w której skład wchodzi pięciu członków. Rada Wykonawcza przygotowuje decyzje, które są następnie przyjmowane przez Zarząd;
• Niezależny Dyrektor Wykonawczy, który odpowiada przed Zarządem oraz – na wezwanie Parlamentu Europejskiego i Rady Unii Europejskiej – informuje Parlament i Radę o wykonywaniu swoich obowiązków. Dyrektor Wykonawczy odpowiada za kierowanie ENISA;
• Grupa Doradcza ENISA. W jej skład wchodzą uznani eksperci reprezentujący odpowiednich interesariuszy, takich jak sektor TIK, dostawcy sieci lub usług łączności elektronicznej, mali i średni przedsiębiorcy, konsumenci, eksperci akademiccy, operatorzy usług kluczowych, a także przedstawiciele właściwych organów będących przedmiotem powiadomienia zgodnie z Europejskim kodeksem łączności elektronicznej, organizacje normalizacyjne, organy ścigania i organy nadzorcze ds. ochrony danych. W swoich pracach Grupa Doradcza ENISA skupia się na kwestiach istotnych dla interesariuszy oraz zwraca na nie uwagę ENISA.
• Sieć Krajowych Urzędników Łącznikowych, obejmująca przedstawicieli wszystkich państw członkowskich, której zadaniem jest ułatwianie wymiany informacji pomiędzy ENISA a państwami UE oraz wspieranie ENISA w rozpowszechnianiu jej działalności, ustaleń i zaleceń.

Na mocy rozporządzenia tworzone są:

• Grupa Interesariuszy ds. Certyfikacji Cyberbezpieczeństwa, w której skład wchodzą uznani eksperci, a jej celem jest między innymi doradzanie Komisji Europejskiej w sprawie strategicznych kwestii dotyczących europejskich ram certyfikacji cyberbezpieczeństwa oraz – na wniosek – doradzanie ENISA w kwestiach ogólnych i strategicznych dotyczących zadań ENISA.
• Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa (ECCG), w której skład wchodzą przedstawiciele delegowani na szczeblu krajowym. Jej zadaniem jest doradzanie i pomaganie Komisji przy pracach służących zapewnieniu spójnego wprowadzania i stosowania aktu, a także doradzanie i pomaganie ENISA w związku z przygotowywaniem propozycji programów certyfikacji cyberbezpieczeństwa.

ENISA:

• jest ustanawiana na czas nieokreślony od dnia 27 czerwca 2019 roku;
• działa zgodnie z jednolitym dokumentem programowym obejmującym jej programowanie roczne i wieloletnie;
• po konsultacji z Komisją stosuje zasady bezpieczeństwa dotyczące ochrony szczególnie chronionych informacji jawnych i informacji niejawnych UE,
• nie ujawnia stronom trzecim przetwarzanych lub otrzymywanych informacji poufnych,
• w pełni uczestniczy w podejmowanych przez UE staraniach mających na celu zwalczanie nadużyć finansowych, korupcji i innych niezgodnych z prawem działań,
• przetwarza dane osobowe zgodnie z odpowiednimi przepisami UE.

Na mocy rozporządzenia ustanawia się europejskie ramy certyfikacji cyberbezpieczeństwa, które mają na celu:

• poprawienie funkcjonowania rynku wewnętrznego przez zwiększenie poziomu cyberbezpieczeństwa w UE oraz umożliwienie zharmonizowanego podejścia na poziomie UE do europejskich programów certyfikacji cyberbezpieczeństwa z myślą o stworzeniu jednolitego rynku cyfrowego w zakresie produktów TIK, usług TIK, procesów TIK oraz zarządzanych usług bezpieczeństwa;
• określenie mechanizmu ustanawiania programów certyfikacji i potwierdzania, że produkty, usługi i procesy TIK oraz zarządzane usługi bezpieczeństwa, które oceniono zgodnie z tymi programami, są zgodne z określonymi wymogami bezpieczeństwa służącymi zabezpieczeniu dostępności, autentyczności, integralności lub poufności przechowywanych, przekazywanych lub przetwarzanych danych bądź funkcji lub usług oferowanych lub dostępnych za pośrednictwem tych produktów, usług i procesów w trakcie ich całego cyklu życia.

Na mocy tych ram:

• Komisja:
  • publikuje unijny kroczący program prac na rzecz europejskich programów certyfikacji cyberbezpieczeństwa, wskazujący strategiczne priorytety oraz produkty TIK, usługi TIK i procesy TIK oraz zarządzane usługi bezpieczeństwa lub ich kategorie, które mogą skorzystać z włączenia w zakres stosowania programu,
  • może się zwrócić do ENISA o przygotowanie propozycji programu certyfikacji lub o przegląd istniejącego programu;
• ENISA:
  • przygotowuje – na wniosek Komisji lub Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa – odpowiednie projekty programów;
  • co pięć lat dokonuje oceny każdego przyjętego programu certyfikacji, biorąc pod uwagę otrzymane informacje zwrotne;
  • prowadzi specjalną stronę internetową, na której publikuje informacje o programach, certyfikatach i deklaracjach zgodności.

Dobrowolne europejskie programy certyfikacji cyberbezpieczeństwa:

• służą osiągnięciu różnych celów bezpieczeństwa, takich jak ochrona przechowywanych, przekazywanych i przetwarzanych danych,
• przewidują następujące poziomy uzasadnienia zaufania produktów TIK, usług TIK i procesów TIK oraz zarządzanych usług bezpieczeństwa – podstawowy, istotny lub wysoki;
• umożliwiają producentom i usługodawcom oferującym produkty TIK, usługi TIK i procesy TIK oraz zarządzane usługi bezpieczeństwa stwarzające niskie ryzyko (tj. odpowiadające poziomowi podstawowemu) samodzielne dokonanie ich oceny (ocena zgodności przez stronę pierwszą);
• obejmują pewne określone elementy, takie jak jasny opis celu, przedmiotu i zakresu programu oraz wykorzystywane kryteria oceny i metody,
• zastępują podobne programy krajowe, przy czym certyfikaty wydane w ramach takich programów krajowych zachowują ważność do końca ich terminu ważności.

Producenci i usługodawcy oferujący certyfikowane produkty, usługi lub procesy TIK oraz zarządzane usługi bezpieczeństwa podają do wiadomości publicznej:

• porady i zalecenia pomagające użytkownikom końcowym zainstalować, uruchomić i utrzymywać ich produkty lub usługi,
• informacje na temat czasu trwania wsparcia w zakresie bezpieczeństwa;
• dane kontaktowe,
• odesłania do repozytoriów internetowych zawierających informacje o znanych podatnościach związanych z cyberbezpieczeństwem w odniesieniu do ich produktów lub usług.

Państwa członkowskie wyznaczają przynajmniej jeden krajowy organ ds. certyfikacji cyberbezpieczeństwa, który dysponuje wystarczającymi zasobami i uprawnieniami, aby móc monitorować wykonywanie obowiązków oraz nadzorować i egzekwować stosowanie zasad zawartych w europejskich programach certyfikacji cyberbezpieczeństwa.

Komisja:

• regularnie ocenia wydajność i użyteczność przyjętych programów certyfikacji oraz to, czy dany program należy uczynić obowiązkowym;
• była zobowiązana do przeprowadzenia pierwszej szczegółowej oceny do dnia 31 grudnia 2023 roku. Kolejne oceny muszą być przeprowadzane co dwa lata;
• do dnia 28 czerwca 2024 roku musiała ocenić wpływ, skuteczność i efektywność ENISA. Kolejne oceny muszą być przeprowadzane co pięć lat.

Osoby fizyczne i prawne mają prawo do wniesienia skargi do podmiotu, który wydał europejski certyfikat cyberbezpieczeństwa, a także prawo do skutecznego środka prawnego przed sądem.

Zmiana – zarządzane usługi bezpieczeństwa

W grudniu 2024 roku przyjęto rozporządzenie (UE) 2025/37 zmieniające rozporządzenie w odniesieniu do zarządzanych usług bezpieczeństwa. Ta ukierunkowana zmiana wprowadza definicję zarządzanych usług bezpieczeństwa i rozszerza zakres europejskich ram certyfikacji cyberbezpieczeństwa o zarządzane usługi bezpieczeństwa. W związku z tym odpowiednio rozszerza również mandat i zadania ENISA w zakresie zarządzanych usług bezpieczeństwa.

Rozporządzenie (UE) 2025/37 zostało opublikowane w Dzienniku Urzędowym w dniu 15 stycznia 2025 roku i jest stosowane od dnia 4 lutego 2025 roku.

Zgłoszenia do organów oceny zgodności

W grudniu 2024 roku Komisja przyjęła rozporządzenie wykonawcze (UE) 2024/3143 dotyczące powiadomień zgodnie z art. 61 ust. 5 aktu o cyberbezpieczeństwie. Akt wykonawczy ustanawia okoliczności, formaty i procedury powiadomienia jednostek oceniających zgodność w europejskich programach certyfikacji cyberbezpieczeństwa za pośrednictwem systemu informacyjnego „notyfikowanych i wyznaczonych organizacji nowego podejścia” (NANDO). Wyjaśnia również okoliczności, w których należy dokonać zmian w notyfikacji i na podstawie których można zakwestionować kompetencje notyfikowanych jednostek oceniających zgodność.

Rozporządzenie wykonawcze (UE) 2024/3143 zostało opublikowane w Dzienniku Urzędowym w dniu 19 grudnia 2024 roku i jest stosowane od dnia 8 stycznia 2025 roku.

Europejski programu certyfikacji cyberbezpieczeństwa oparty na wspólnych kryteriach (EUCC)

W styczniu 2024 roku Komisja przyjęła rozporządzenie wykonawcze (UE) 2024/482 (zob. streszczenie). vAkt ten ustanawia zasady stosowania rozporządzenia (UE) 2019/881 w odniesieniu do przyjęcia dobrowolnego europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC). Jest to pierwszy program na poziomie UE dotyczący certyfikatów „istotnego” lub „wysokiego” poziomu cyberbezpieczeństwa dla produktów TIK, takich jak sprzęt i oprogramowanie, w tym komponentów, takich jak układy scalone i karty inteligentne. Rozporządzenie zawiera szczegółowe przepisy dotyczące między innymi:

• norm i wymogów dotyczących oceny oraz wydawania, odnawiania i cofania certyfikatów EUCC dla produktów i profili ochronnych;
• jednostek oceniających zgodność akredytowanych do wydawania certyfikatów lub przeprowadzania oceny;
• monitorowania zgodności, niezgodności i braku zgodności;
• zarządzania podatnościami i procedur ujawniania informacji;
• przechowywania dokumentacji, ujawniania i ochrony informacji;
• umów o wzajemnym uznawaniu z państwami nienależącymi do UE;
• wzajemnej oceny jednostek certyfikujących;
• utrzymania programu; oraz
• krajowych programów certyfikacji cyberbezpieczeństwa objętych EUCC.

Rozporządzenie wykonawcze EUCC ma zastosowanie od 27 lutego 2025 roku.

Rozporządzenie (UE) 2019/881 i powiązane z nim rozporządzenie wykonawcze nie mają wpływu na obowiązki państw członkowskich w zakresie bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego.

Rozporządzenie uchyla rozporządzenie (UE) nr 526/2013 z dniem 27 czerwca 2019 roku.