Regulamentul UE privind securitatea cibernetică

ASPECTE-CHEIE

Mandatul ENISA are scopul de a:

• a asigura un nivel comun ridicat de securitate cibernetică în întreaga UE;
• a sprijini autoritățile naționale și instituțiile, organele, oficiile și agențiile UE pentru a-și îmbunătăți securitatea cibernetică;
• a servi drept punct de referință în ceea ce privește consilierea și expertiza în materie de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile UE și pentru alte părți interesate relevante;
• a contribui la reducerea fragmentării pieței interne;
• a acționa în mod independent, evitând dublarea activităților statelor membre și ținând seama de expertiza națională;
• a-și dezvolta propriile resurse și capacități, competențe tehnice și umane.

Atribuțiile ENISA sunt următoarele:

• contribuie la dezvoltarea și punerea în aplicare a politicii și legislației UE;
• promovează consolidarea capacității, de exemplu, prin prevenirea, detectarea și analiza îmbunătățită și capacitatea de răspuns la amenințările cibernetice¹ și prin sprijinirea dezvoltării echipelor naționale de intervenție în caz de incidente de securitate informatică (CSIRT) sau prin organizarea de exerciții de securitate cibernetică la nivelul UE;
• sprijină cooperarea operațională a UE între toate părțile interesate implicate, inclusiv Serviciul de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile Uniunii (CERT-EU), prin intermediul schimbului de cunoștințe și a celor mai bune practici, furnizarea de orientări relevante și deservirea rețelelor naționale ale CSIRT și ale UE;
• susține și promovează dezvoltarea și punerea în aplicare a certificării europene de securitate cibernetică a produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate, ca parte a rolului în pregătirea sistemelor în cadrul noului cadru european de certificare a securității cibernetice;
• colectează și analizează cunoștințe și informații privind securitatea cibernetică, cum ar fi în special tehnologiile emergente, amenințările cibernetice și incidentele, pentru a oferi informații și consiliere pentru autoritățile naționale, părțile interesate relevante și, printr-un portal dedicat, publicului (cetățenilor, organizațiilor și întreprinderilor);
• ridică gradul de conștientizare a publicului cu privire la riscurile pentru securitatea cibernetică, oferă orientări cu privire la bune practici pentru utilizatorii individuali și promovează conștientizarea sensibilizării și educarea în domeniul securității cibernetice în general;
• oferă consiliere cu privire la nevoile și prioritățile cercetării și contribuie la agenda strategică a UE în domeniul cercetării și inovării în domeniul securității cibernetice;
• contribuie la eforturile UE de a coopera în domeniul securității cibernetice cu partenerii și organizațiile internaționale.

ENISA are următoarea structură administrativă și de management.

• Consiliul de administrație, cu un reprezentant din fiecare stat membru al UE și doi membri desemnați de Comisia Europeană, care stabilește direcția generală a activităților agenției și se asigură că agenția își îndeplinește sarcinile în condiții care îi permit să acționeze în conformitate cu regulamentul de instituire;
• Comitetul executiv format din cinci membri, care pregătește deciziile care urmează să fie adoptate de consiliul de administrație;
• Un director executiv independent, care răspunde în fața consiliului de administrație și raportează Parlamentului European și Consiliului Uniunii Europene, atunci când i se solicită și care este responsabil de gestionarea agenției;
• Grupul consultativ al ENISA format din experți recunoscuți din partea părților interesate relevante, cum ar fi industria TIC, furnizorii de rețele de comunicații electronice sau de servicii destinate publicului, întreprinderi mici și mijlocii, consumatori, cadre universitare, operatori de servicii esențiale, precum și reprezentanți ai autorităților competente notificate în conformitate cu Codul european al comunicațiilor electronice, organizațiile de standardizare, autoritățile de aplicare a legii și a protecției datelor, se concentrează asupra problemelor relevante pentru părțile interesate și le aduce în atenția ENISA.
• Rețeaua ofițerilor naționali de legătură formată din reprezentanți ai tuturor statelor membre, care facilitează schimbul de informații între ENISA și statele membre și sprijină ENISA în diseminarea activităților, constatărilor și recomandărilor sale bine cunoscute.

Regulamentul creează următoarele.

• Un grup al părților interesate pentru certificarea securității cibernetice format din experți recunoscuți cu scopul, printre altele, de a acorda consiliere Comisiei cu privire la problemele strategice privind cadrul de certificare a securității cibernetice a UE și, la cerere, ENISA cu privire la problemele generale și strategice referitoare la sarcinile relevante ale agenției.
• Un grup european pentru certificarea securității cibernetice (ECCG) alcătuit din reprezentanți naționali pentru a sfătui și ajuta Comisia în activitatea sa de a asigura implementarea și aplicarea consecventă a Legii și ENISA în legătură cu pregătirea sistemelor de certificare a securității cibernetice.

ENISA:

• este stabilită pentru o perioadă nedeterminată începând cu 27 iunie 2019;
• operează în conformitate cu un singur document de programare care conține programarea sa anuală și multianuală;
• respectă regulile de securitate ale Comisiei pentru a proteja informațiile sensibile neclasificate și informațiile clasificate ale UE;
• nu divulgă terților informații confidențiale pe care le prelucrează sau le primește;
• participă pe deplin la măsurile UE de combatere a fraudei, a corupției și a altor activități ilegale;
• prelucrează datele cu caracter personal în conformitate cu normele UE respective.

Regulamentul stabilește un cadru european de certificare a securității cibernetice pentru:

• îmbunătățirea funcționării pieței interne prin creșterea nivelului de securitate cibernetică în UE și facilitarea unei abordări armonizate la nivelul UE a sistemelor europene de certificare a securității cibernetice în vederea creării unei piețe unice digitale pentru produse TIC, servicii TIC, procese TIC și servicii de securitate gestionate;
• crearea unui mecanism pentru instituirea unor sisteme de certificare care atestă că produsele TIC, serviciile TIC, procesele TIC și serviciile de securitate gestionate care au fost evaluate în conformitate cu sistemele respective sunt conforme cu cerințele de securitate specificate, cu scopul de a proteja disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise ori procesate oferite sau accesate prin intermediul acestor produse, servicii și procese sau accesibile prin intermediul acestora pe întregul lor ciclu de viață.

Conform cadrului:

• Comisia:
  • publică un program de lucru continuu al UE pentru certificarea europeană de securitate cibernetică identificând priorități strategice și produse TIC, servicii TIC, procese TIC și servicii de securitate gestionate care ar putea beneficia de un sistem;
  • poate solicita ENISA pregătirea unui sistem de certificare a candidatului sau revizuirea unuia existent;
• ENISA:
  • pregătește sisteme de proiecte adecvate, în urma unei solicitări a Comisiei sau a grupului european pentru certificarea securității cibernetice;
  • evaluează fiecare sistem de certificare adoptat, la fiecare cinci ani, ținând cont de feedbackul primit;
  • menține un site web dedicat care oferă informații despre sisteme, certificate și declarații de conformitate.

Sistemele europene voluntare de certificare a securității cibernetice:

• urmăresc atingerea diverselor obiective de securitate, cum ar fi protejarea datelor stocate, transmise și procesate;
• denotă nivelul de securitate al produselor TIC, serviciilor TIC, proceselor TIC și serviciilor de securitate gestionate ca fiind de bază, substanțial sau ridicat;
• permit producătorilor și furnizorilor de produse TIC, servicii TIC, procese TIC și servicii de securitate gestionate cu risc scăzut (de exemplu, de bază) să le evalueze singuri (autoevaluarea conformității);
• trebuie să includă anumite caracteristici, cum ar fi descrieri clare ale scopului, obiectului și domeniului de aplicare și criteriile și metodele de evaluare utilizate;
• le înlocuiesc pe cele naționale similare, deși aceste certificate rămân valabile până la data de expirare.

Producătorii și furnizorii de produse TIC, servicii TIC, procese TIC și servicii de securitate gestionate certificate trebuie să pună la dispoziția publicului:

• orientări și recomandări care să le servească utilizatorilor finali la configurarea, aplicarea și întreținerea produselor sau serviciilor lor;
• Informații privind perioada în timpul căreia se oferă asistență în materie de securitate;
• coordonatele lor;
• trimitere la registrele online care conțin informații despre problemele de securitate cibernetică cunoscute care afectează produsele sau serviciile lor.

Statele membre numesc una sau mai multe autorități naționale de certificare a securității cibernetice cu resurse și competențe suficiente pentru monitorizarea, supravegherea și aplicarea normelor sistemelor europene de certificare a securității cibernetice.

Comisia:

• evaluează în mod regulat eficiența și utilizarea sistemelor de certificare adoptate și consideră dacă vreun sistem ar trebui să fie obligatoriu;
• a trebuit să completeze prima sa evaluare detaliată până la 31 decembrie 2023, iar celelalte la fiecare doi ani;
• a trebuit să evalueze impactul, eficacitatea și eficiența ENISA până la 28 iunie 2024 și, ulterior, la fiecare cinci ani.

Persoanele fizice și juridice au dreptul de a depune o plângere la emitentul unui certificat european de securitate cibernetică și de a solicita o soluție judiciară eficientă.

Modificare – servicii de securitate gestionate

În decembrie 2024, a fost adoptat Regulamentul (UE) 2025/37 de modificare a regulamentului în ceea ce privește serviciile de securitate gestionate. Această modificare specifică introduce definiția serviciilor de securitate gestionate și extinde domeniul de aplicare al cadrului european de certificare a securității cibernetice prin includerea serviciilor de securitate gestionate. În consecință, acesta extinde, de asemenea, mandatul și sarcinile ENISA în ceea ce privește serviciile de securitate gestionate.

Regulamentul (UE) 2025/37 a fost publicat în Jurnalul Oficial la 15 ianuarie 2025 și se aplică de la 4 februarie 2025.

Notificări ale organismelor de evaluare a conformității

În decembrie 2024, Comisia a adoptat Regulamentul de punere în aplicare (UE) 2024/3143 privind notificările în temeiul articolului 61 alineatul (5) din Regulamentul privind securitatea cibernetică. Actul de punere în aplicare stabilește circumstanțele, formatele și procedurile de notificare a organismelor de evaluare a conformității din cadrul sistemelor europene de certificare în domeniul securității cibernetice prin intermediul sistemului de informații „organisme notificate și desemnate în conformitate cu noua abordare” (NANDO). De asemenea, clarifică circumstanțele în care ar trebui să se aducă modificări notificării și pe baza cărora ar putea fi contestată competența organismelor de evaluare a conformității notificate.

Regulamentul de punere în aplicare (UE) 2024/3143 a fost publicat în Jurnalul Oficial la 19 decembrie 2024 și se aplică de la 8 ianuarie 2025.

Sistemul european de certificare a securității cibernetice bazat pe criterii comune (EUCC)

În ianuarie 2024, Comisia a adoptat Regulamentul de punere în aplicare (UE) 2024/482 (a se vedea sinteza). Acest act stabilește normele de aplicare a Regulamentului (UE) 2019/881 în ceea ce privește adoptarea sistemului european de certificare a securității cibernetice bazat pe criterii comune (EUCC). Acesta este primul sistem la nivelul UE și se referă la certificate la niveluri de asigurare „substanțiale” sau „ridicate” pentru produse TIC, cum ar fi hardware și software, inclusiv componente precum cipuri și carduri inteligente. Regulamentul include norme detaliate privind aspecte precum:

• standardele și cerințele pentru evaluarea și eliberarea, reînnoirea și retragerea certificatelor EUCC pentru produse și profiluri de protecție;
• organismele de evaluare a conformității acreditate să elibereze certificate sau să efectueze activități de evaluare;
• monitorizarea conformității, neconformitatea și nerespectarea;
• proceduri de gestionare și divulgare a vulnerabilităților;
• păstrarea evidențelor, divulgarea și protecția informațiilor;
• acorduri de recunoaștere reciprocă cu țări din afara UE;
• evaluarea inter pares a organismelor de certificare;
• întreținerea sistemului; și
• sistemele naționale de certificare a securității cibernetice reglementate de EUCC.

Regulamentul de punere în aplicare EUCC se aplică de la 27 februarie 2025.

Regulamentul (UE) 2019/881 și regulamentul de punere în aplicare aferent nu afectează responsabilitățile statelor membre în materie de securitate publică, apărare, securitate națională sau drept penal.

Regulamentul abrogă Regulamentul (UE) nr. 526/2013 de la 27 iunie 2019.