Hozzáférés az európai uniós joghoz
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">Bővebben a kísérleti funkciók rovatáról</a>
Válassza ki azokat a kísérleti funkciókat, amelyeket ki szeretne próbálni
EUR-Lex
Hozzáférés az európai uniós joghoz

Ez a dokumentum az EUR-Lex webhelyről származik.

Ön itt van
Használjon felül nyitó és záró idézőjeleket (""), ha pontos kifejezésre kíván rákeresni. Tegyen a keresett kifejezés végére csillagot (*), ha a kifejezés több változatát is be szeretné foglalni a keresésbe (pl.: szállít*, 32019R*). Használjon kérdőjelet (?), ha a keresőkifejezésben csak egyetlen karaktert szeretne helyettesíteni (pl. a tagállam?t kifejezéssel meg lehet találni a „tagállamát”, „tagállamit” és „tagállamot” szavakat).
Tanácsok a kereséshez
Részletesebb keresési feltételekre van szüksége? Használja a következő keresési felületet: Részletes keresés

Az EU jogszabályainak összefoglalása

Regulamentul UE privind securitatea cibernetică

 

SINTEZĂ PRIVIND:

Regulamentul (UE) 2019/881 privind Agenția Uniunii Europene pentru Securitate Cibernetică și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor (Regulamentul privind securitatea cibernetică)

CARE ESTE ROLUL ACESTUI REGULAMENT?

Acesta urmărește atingerea unui nivel ridicat de securitate cibernetică, rezistență cibernetică și încredere în Uniunea Europeană (UE), prin stabilirea:

ASPECTE-CHEIE

Mandatul ENISA are scopul de a:

  • a asigura un nivel comun ridicat de securitate cibernetică în întreaga UE;
  • a sprijini autoritățile naționale și instituțiile, organele, oficiile și agențiile UE pentru a-și îmbunătăți securitatea cibernetică;
  • a servi drept punct de referință în ceea ce privește consilierea și expertiza în materie de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile UE și pentru alte părți interesate relevante;
  • a contribui la reducerea fragmentării pieței interne;
  • a acționa în mod independent, evitând dublarea activităților statelor membre și ținând seama de expertiza națională;
  • a-și dezvolta propriile resurse și capacități, competențe tehnice și umane.

Atribuțiile ENISA sunt următoarele:

  • contribuie la dezvoltarea și punerea în aplicare a politicii și legislației UE;
  • promovează consolidarea capacității, de exemplu, prin prevenirea, detectarea și analiza îmbunătățită și capacitatea de răspuns la amenințările cibernetice* și prin asistarea la dezvoltarea echipelor naționale de intervenție în caz de incidente de securitate informatică (CSIRT) sau prin organizarea de exerciții de securitate cibernetică la nivelul UE;
  • sprijină cooperarea operațională a UE între toate părțile interesate implicate, inclusiv Serviciul de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile Uniunii (CERT-EU), prin intermediul schimbului de cunoștințe și a celor mai bune practici, furnizarea de orientări relevante și deservirea rețelei naționale a CSIRT și a UE;
  • susține și promovează dezvoltarea și punerea în aplicare a certificării europene de securitate cibernetică a produselor, serviciilor și proceselor TIC, ca parte a rolului în pregătirea sistemelor în cadrul noului cadru european de certificare a securității cibernetice;
  • colectează și analizează cunoștințe și informații privind securitatea cibernetică, cum ar fi în special tehnologiile emergente, amenințările cibernetice și incidentele, pentru a oferi informații și consiliere pentru autoritățile naționale, părțile interesate relevante și, printr-un portal dedicat, publicului (cetățenilor, organizațiilor și întreprinderilor);
  • ridică gradul de conștientizare a publicului cu privire la riscurile pentru securitatea cibernetică, oferă orientări cu privire la bune practici pentru utilizatorii individuali și promovează conștientizarea sensibilizării și educarea în domeniul securității cibernetice în general;
  • oferă consiliere cu privire la nevoile și prioritățile cercetării și contribuie la agenda strategică a UE în domeniul cercetării și inovării în domeniul securității cibernetice;
  • contribuie la eforturile UE de a coopera în domeniul securității cibernetice cu partenerii și organizațiile internaționale.

ENISA are următoarea structură administrativă și de management:

  • un consiliu de administrație, cu un reprezentant din fiecare stat membru al UE și doi membri desemnați de Comisia Europeană, acesta stabilește direcția generală a activităților agenției și se asigură că agenția își îndeplinește sarcinile în condiții care îi permit să acționeze în conformitate cu regulamentul de instituire;
  • un comitet executiv format din cinci membri, care pregătește deciziile care urmează să fie adoptate de consiliul de administrație;
  • un director executiv independent, responsabil consiliului de administrație și raportând Parlamentului European și Consiliului Uniunii Europene, atunci când i se solicită, este responsabil de gestionarea agenției;
  • un grup consultativ al ENISA format din experți recunoscuți din partea părților interesate relevante, cum ar fi industria TIC, furnizorii de rețele de comunicații electronice sau de servicii destinate publicului, întreprinderi mici și mijlocii, consumatori, cadre universitare, operatori de servicii esențiale, precum și reprezentanți ai autorităților competente notificate în conformitate cu Codul european al comunicațiilor electronice, organizațiile de standardizare, autoritățile de aplicare a legii și a protecției datelor, se concentrează asupra problemelor relevante pentru părțile interesate și le aduce în atenția ENISA;
  • o rețea națională a ofițerilor naționali de legătură formată din reprezentanți ai tuturor statelor membre, facilitează schimbul de informații între ENISA și statele membre și sprijină ENISA în diseminarea activităților, constatărilor și recomandărilor sale bine cunoscute.

Regulamentul creează:

  • un grup al părților interesate pentru certificarea securității cibernetice format din experți recunoscuți cu scopul, de exemplu, de a acorda consiliere Comisiei cu privire la problemele strategice privind cadrul de certificare a securității cibernetice a UE și, la cerere, ENISA cu privire la problemele generale și strategice referitoare la sarcinile relevante ale agenției;
  • un grup european pentru certificarea securității cibernetice (ECCG) alcătuit din reprezentanți naționali pentru a sfătui și ajuta Comisia în activitatea sa de a asigura implementarea și aplicarea consecventă a Legii și ENISA în legătură cu pregătirea sistemelor de certificare a securității cibernetice.

ENISA:

  • este stabilită pentru o perioadă nedeterminată începând cu 27 iunie 2019;
  • operează conform unui singur document de programare care conține programarea sa anuală și multianuală;
  • respectă regulile de securitate ale Comisiei pentru a proteja informațiile sensibile neclasificate și informațiile clasificate ale UE;
  • nu divulgă terților informații confidențiale pe care le prelucrează sau le primește;
  • participă pe deplin la măsurile UE de combatere a fraudei, a corupției și a altor activități ilegale;
  • prelucrează datele cu caracter personal în conformitate cu normele UE respective.

Regulamentul stabilește un cadru european de certificare a securității cibernetice pentru:

  • îmbunătățirea funcționării pieței interne prin creșterea nivelului de securitate cibernetică în UE și permițarea unei abordări armonizate la nivelul UE a sistemelor europene de certificare a securității cibernetice în vederea creării unei piețe unice digitale pentru produse, servicii și procese TIC;
  • crearea unui mecanism pentru instituirea unor sisteme de certificare care atestă că produsele, serviciile și procesele TIC care au fost evaluate în conformitate cu sistemele respective sunt conforme cu cerințele de securitate specificate, cu scopul de a proteja disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise ori procesate oferite sau accesate prin intermediul acestor produse, servicii și procese sau accesibile prin intermediul acestora pe întregul lor ciclu de viață.

Conform cadrului:

  • Comisia:
    • publică un program de lucru continuu al UE pentru certificarea europeană de securitate cibernetică identificând priorități strategice și produse, servicii și procese sau categorii TIC care ar putea beneficia de un sistem;
    • poate solicita agenției ENISA pregătirea unui sistem de certificare a candidatului sau revizuirea unuia existent;
  • ENISA:
    • pregătește sisteme de proiecte adecvate, în urma unei solicitări a Comisiei sau a grupului european pentru certificarea securității cibernetice;
    • evaluează fiecare sistem de certificare adoptat, la fiecare cinci ani, ținând cont de feedbackul primit;
    • menține un site web dedicat care oferă informații despre sisteme, certificate și declarații de conformitate.

Sistemele europene voluntare de certificare a securității cibernetice:

  • urmăresc atingerea diverselor obiective de securitate, cum ar fi protejarea datelor stocate, transmise și procesate;
  • denotă nivelul de securitate al produselor, serviciilor și proceselor TIC ca fiind „de bază”, „substanțial” sau „ridicat”;
  • permit producătorilor și furnizorilor de produse, servicii și procese TIC cu risc scăzut (de exemplu „de bază”) să le evalueze singuri („autoevaluarea conformității”);
  • trebuie să includă anumite caracteristici, cum ar fi descrieri clare ale scopului, obiectului și domeniului de aplicare și criteriile și metodele de evaluare utilizate;
  • le înlocuiesc pe cele naționale similare, deși aceste certificate rămân valabile până la data de expirare.

Producătorii și furnizorii de produse, servicii sau procese TIC certificate trebuie să pună la dispoziția publicului:

  • orientări și recomandări care să le servească utilizatorilor finali la configurarea, aplicarea și întreținerea produselor sau serviciilor lor;
  • Informații privind perioada în timpul căreia se oferă asistență în materie de securitate;
  • coordonatele lor;
  • trimitere la registrele online care conțin informații despre problemele de securitate cibernetică cunoscute care afectează produsele sau serviciile lor.

Statele membre numesc una sau mai multe autorități naționale de certificare a securității cibernetice cu resurse și competențe suficiente pentru monitorizarea, supravegherea și aplicarea normelor sistemelor europene de certificare a securității cibernetice.

Comisia:

  • evaluează în mod regulat eficiența și utilizarea sistemelor de certificare adoptate și consideră dacă vreun sistem ar trebui să fie obligatoriu;
  • a trebuit să completeze prima sa evaluare detaliată până la 31 decembrie 2023, iar celelalte la fiecare doi ani;
  • a trebuit să evalueze impactul, eficacitatea și eficiența ENISA până la 28 iunie 2024 și, ulterior, la fiecare cinci ani.

Persoanele fizice și juridice au dreptul de a depune o plângere la emitentul unui certificat european de securitate cibernetică și de a solicita o soluție judiciară eficientă.

Act de punere în aplicare

În ianuarie 2024, Comisia a adoptat Regulamentul de punere în aplicare (UE) 2024/482 (a se vedea sinteza). Acest act stabilește normele de aplicare a Regulamentului (UE) 2019/881 în ceea ce privește adoptarea sistemului european de certificare a securității cibernetice bazat pe criterii comune (EUCC). Acesta este primul sistem la nivelul UE și se referă la certificate la niveluri de asigurare „substanțiale” sau „ridicate” pentru produse TIC, cum ar fi hardware și software, inclusiv componente precum cipuri și carduri inteligente. Regulamentul include norme detaliate privind aspecte precum:

  • standardele și cerințele pentru evaluarea și eliberarea, reînnoirea și retragerea certificatelor EUCC pentru produse și profiluri de protecție;
  • organismele de evaluare a conformității acreditate să elibereze certificate sau să efectueze activități de evaluare;
  • monitorizarea conformității, neconformitatea și nerespectarea;
  • proceduri de gestionare și divulgare a vulnerabilităților;
  • păstrarea evidențelor, divulgarea și protecția informațiilor;
  • acorduri de recunoaștere reciprocă cu țări din afara UE;
  • evaluarea inter pares a organismelor de certificare;
  • întreținerea sistemului; și
  • sistemele naționale de certificare a securității cibernetice reglementate de EUCC.

Regulamentul de punere în aplicare a EUCC se va aplica de la 27 februarie 2025.

Regulamentul (UE) 2019/881 și regulamentul de punere în aplicare aferent nu afectează responsabilitățile statelor membre în materie de securitate publică, apărare, securitate națională și drept penal.

Regulamentul abrogă Regulamentul (UE) nr. 526/2013 de la 27 iunie 2019.

DE CÂND SE APLICĂ REGULAMENTUL?

Regulamentul se aplică de la 27 iunie 2019.

Articolele cu privire la desemnarea autorităților naționale de securitate cibernetică, cu privire la acreditarea și notificarea organismelor de evaluare a conformității, a dreptului de a depune plângeri către emitenții de certificate europene de securitate cibernetică și dreptul la o cale de atac judiciar, și asupra sancțiunilor, se aplică începând cu 28 iunie 2021.

CONTEXT

ENISA, cu sediul la Atena, cu o filială la Heraklion, contribuie la securitatea rețelei UE și a securității sistemelor informatice din 2004. Pentru informații suplimentare, consultați:

TERMENI-CHEIE

Amenințare cibernetică. O circumstanță, un eveniment sau o acțiune potențială care ar putea cauza daune, perturba sau afecta negativ rețelele și sistemele informatice, utilizatorii acestora și alte persoane.

DOCUMENTUL PRINCIPAL

Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, pp. 15-69).

DOCUMENTE CONEXE

Regulamentul de punere în aplicare (UE) 2024/482 al Comisiei din 31 ianuarie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) 2019/881 al Parlamentului European și al Consiliului în ceea ce privește adoptarea sistemului european de certificare a securității cibernetice bazat pe criterii comune (EUCC) (JO L, 2024/482, 7.2.2024).

Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, pp. 39-98).

Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, pp. 1-30).

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, pp. 1-88).

Corecțiile succesive aduse Regulamentului (UE) 2016/679 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

Data ultimei actualizări: 18.06.2024

Az oldal tetejére