Akt EU o kibernetski varnosti

KLJUČNE TOČKE

Agencija ENISA ima mandat za:

• doseganje visoke skupne ravni kibernetske varnosti v vsej EU,
• podpiranje nacionalnih organov ter institucij, organov, uradov in agencij EU za izboljšanje kibernetske varnosti,
• delovanje kot referenčna točka za znanstveno in tehnično svetovanje ter strokovno znanje v zvezi s kibernetsko varnostjo za institucije, organe, urade in agencije EU ter druge ustrezne deležnike,
• prispevanje k zmanjšanju razdrobljenosti notranjega trga,
• neodvisno delovanje, izogibanje podvajanju nacionalnih dejavnosti in upoštevanje nacionalnega strokovnega znanja,
• razvoj lastnih tehničnih in človeških virov ter veščin.

Naloge agencije ENISA so:

• oblikovati in izvajati politike in pravo EU,
• podpirati krepitev zmogljivosti, na primer z izboljšanim preprečevanjem, odkrivanjem in analiziranjem kibernetskih groženj¹ ter odzivanjem nanje in s pomočjo pri oblikovanju nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT) ali z organiziranjem vaj na področju kibernetske varnosti na ravni EU;
• podpirati operativno sodelovanje v EU med vsemi vključenimi akterji, vključno s storitvijo kibernetske varnosti EU za institucije, organe, urade in agencije Unije (CERT-EU), zlasti z izmenjavo strokovnega znanja in najboljših praks, zagotavljanjem ustreznih smernic ter delovanjem mrež skupin CSIRT na nacionalni ravni in ravni EU;
• podpirati in spodbujati razvoj in izvajanje certificiranja kibernetske varnosti proizvodov, storitev in postopkov IKT na ravni EU in upravljanih varnostnih storitev kot del vloge pri pripravi shem na podlagi novega evropskega certifikacijskega okvira za kibernetsko varnost,
• zbirati in analizirati znanje in informacije o kibernetski varnosti, na primer zlasti v zvezi z nastajajočimi tehnologijami, kibernetskimi grožnjami in incidenti, zaradi zagotavljanja informacij in svetovanja nacionalnim organom, ustreznim deležnikom in javnosti (državljanom, organizacijam in podjetjem) prek namenskega portala,
• ozaveščati javnost o tveganjih na področju kibernetske varnosti, zagotavljati smernice o dobrih praksah za posamezne uporabnike in spodbujati ozaveščenost in izobraževanje o kibernetski varnosti na splošno,
• svetovati o potrebah po raziskavah in prispevati k strateškemu načrtu raziskav in inovacij EU na področju kibernetske varnosti,
• prispevati k prizadevanjem EU za sodelovanje na področju kibernetske varnosti z mednarodnimi partnerji in organizacijami.

Agencija ENISA ima naslednjo upravno in vodstveno strukturo.

• Upravni odbor, ki ima po enega predstavnika iz vsake države članice EU in dva člana, ki ju imenuje Evropska komisija. Določa splošno usmeritev dejavnosti agencije in zagotavlja, da agencija izvaja svoje naloge na podlagi pogojev, ki ji omogočajo, da deluje v skladu z uredbo o ustanovitvi.
• Izvršni odbor s petimi člani, ki pripravlja odločitve, ki jih sprejme upravni odbor.
• Neodvisni izvršni direktor, ki odgovarja upravnemu odboru in na poziv poroča Evropskemu parlamentu in Svetu Evropske unije, ki je odgovoren za upravljanje agencije.
• Svetovalna skupina agencije ENISA, ki jo sestavljajo priznani strokovnjaki, ki predstavljajo ustrezne deležnike, kot so industrija IKT, ponudniki elektronskih komunikacijskih omrežij ali storitev, mala in srednje velika podjetja, potrošniki, akademiki, izvajalci osnovnih storitev in predstavniki pristojnih organov, priglašenih na podlagi Evropskega zakonika o elektronskih komunikacijah, organizacije za standardizacijo, organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter organi za varstvo podatkov, ki se osredotoča na vprašanja, pomembna za deležnike, in z njimi seznanja agencijo ENISA.
• Mreža nacionalnih uradnikov za zvezo, ki jo sestavljajo predstavniki vseh držav članic in ki omogoča lažjo izmenjavo informacij med agencijo ENISA in državami članicami ter podpira agencijo ENISA pri razširjanju njenih dejavnosti, ugotovitev in priporočil.

Uredba vzpostavlja:

• Certifikacijsko skupino deležnikov za kibernetsko varnost, ki jo sestavljajo priznani strokovnjaki, da bi med drugim svetovala Evropski komisiji o strateških vprašanjih v zvezi s certifikacijskim okvirom EU za kibernetsko varnost, agenciji ENISA na njeno zahtevo pa o splošnih in strateških vprašanjih, povezanih z ustreznimi nalogami agencije.
• Evropsko certifikacijsko skupino za kibernetsko varnost, ki jo sestavljajo nacionalni predstavniki, da bi svetovala in pomagala Komisiji pri zagotavljanju doslednega izvajanja in uporabe akta, agenciji ENISA pa pri pripravi predlog za certifikacijske sheme za kibernetsko varnost.

Agencija ENISA:

• se ustanovi za nedoločeno obdobje od 27. junija 2019;
• deluje v skladu z enotnim programskim dokumentom, ki vsebuje njen letni in večletni program dejavnosti;
• upošteva varnostne predpise Komisije za varovanje občutljivih netajnih podatkov in tajnih podatkov EU,
• tretjim stranem ne razkriva zaupnih podatkov, ki jih obdeluje ali prejme,
• v celoti sodeluje pri ukrepih EU za boj proti goljufijam, korupciji in drugim nezakonitim dejavnostim,
• obdeluje osebne podatke v skladu z ustreznimi predpisi EU.

Uredba vzpostavlja evropski certifikacijski okvir za kibernetsko varnost, da bi:

• izboljšala delovanje notranjega trga z zvišanjem ravni kibernetske varnosti v EU in omogočanjem harmoniziranega pristopa na ravni EU glede evropskih certifikacijskih shem za kibernetsko varnost, da bi se oblikoval enotni digitalni trg za proizvode IKT, storitve IKT in postopke IKT, in upravljanih varnostnih storitev;
• zagotovila mehanizem za vzpostavitev certifikacijskih shem, ki potrjujejo, da so bili proizvodi IKT, storitve IKT, postopki IKT in upravljane varnostne storitve ocenjeni v skladu s takimi shemami, da izpolnjujejo določene varnostne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali funkcij ali storitev, ki jih ti proizvodi, storitve in postopki ponujajo ali so prek njih dostopni v celotnem življenjskem ciklu.

Na podlagi okvira:

• Komisija:
  • objavi tekoči delovni program EU za evropsko certificiranje kibernetske varnosti, v katerem so opredeljene strateške prednostne naloge ter proizvodi IKT, storitve IKT, postopki IKT in upravljane varnostne storitve ali kategorije, ki jim lahko shema prinese koristi,
  • lahko zahteva, da agencija ENISA pripravi predlogo sheme certificiranja ali pregleda obstoječo shemo.
• Agencija ENISA:
  • pripravi primerne osnutke shem na zahtevo Komisije ali evropske certifikacijske skupine za kibernetsko varnost,
  • vsakih pet let oceni vsako sprejeto certifikacijsko shemo ob upoštevanju prejetih povratnih informacij,
  • vzdržuje namensko spletišče, na katerem zagotavlja informacije o shemah, certifikatih in izjavah o skladnosti.

Prostovoljne evropske certifikacijske sheme za kibernetsko varnost:

• želijo doseči različne varnostne cilje, kot je zaščita shranjenih, prenesenih ali obdelanih podatkov,
• označijo varnostno stopnjo proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev, in sicer kot osnovno, znatno ali visoko,
• omogočajo proizvajalcem in ponudnikom proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev z nizkim tveganjem (tj. »osnovnih«), da te sami ocenijo (»samoocenjevanje skladnosti«),
• morajo vključevati nekatere elemente, kot so jasni opisi namena, predmet urejanja in področje uporabe ter merila in metode za ocenjevanje,
• nadomeščajo podobne nacionalne sheme, čeprav ti certifikati ostanejo veljavni do datuma izteka veljavnosti.

Proizvajalci in ponudniki certificiranih proizvodov IKT, storitev IKT, postopkov IKT in upravljanih varnostnih storitev morajo objaviti:

• smernice in priporočila, ki pomagajo končnim uporabnikom namestiti, uporabljati in vzdrževati njihove proizvode ali storitve,
• informacije o trajanju, za katerega ponujajo varnostno podporo,
• svoje podatke za stik,
• informacije o spletnih seznamih znanih pomanjkljivosti na področju kibernetske varnosti, ki vplivajo na njihove proizvode ali storitve.

Države članice imenujejo enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost z zadostnimi sredstvi in pooblastili za spremljanje, nadzor in izvrševanje pravil iz evropskih certifikacijskih shem za kibernetsko varnost.

Komisija:

• redno ocenjuje učinkovitost in uporabo sprejetih certifikacijskih shem in preučuje možnosti za njihovo obvezno uporabo;
• je morala zaključiti prvo podrobno oceno do 31. decembra 2023, druge ocene pa pripravi vsaki dve leti;
• je morala oceniti učinek, uspešnost in učinkovitost agencije ENISA do 28. junija 2024 in nato vsakih pet let.

Posamezniki in pravni subjekti imajo pravico do vložitve pritožbe pri izdajatelju evropskega certifikata kibernetske varnosti in do učinkovitega sodnega pravnega sredstva.

Sprememba – upravljane varnostne storitve

Decembra 2024 je bila sprejeta Uredba (EU) 2025/37 o spremembi uredbe v zvezi z upravljanimi varnostnimi storitvami. Ta ciljno usmerjena sprememba uvaja opredelitev upravljanih varnostnih storitev in razširja področje uporabe evropskega okvira za certificiranje kibernetske varnosti z vključitvijo upravljanih varnostnih storitev. Posledično ustrezno razširja tudi mandat in naloge agencije ENISA glede upravljanih varnostnih storitev.

Uredba (EU) 2025/37 je bila objavljena v Uradnem listu 15. januarja 2025 in se uporablja od 4. februarja 2025.

Priglasitve organov za ugotavljanje skladnosti

Decembra 2024 je Komisija sprejela Izvedbeno uredbo (EU) 2024/3143 za priglasitve v skladu s členom 61(5) Zakona o kibernetski varnosti. Izvedbeni akt določa okoliščine, oblike in postopke za priglasitve organov za ugotavljanje skladnosti v evropskih shemah certificiranja kibernetske varnosti prek informacijskega sistema »novega pristopa priglašenih in imenovanih organizacij« (NANDO). Pojasnjuje tudi okoliščine, v katerih je treba spremeniti priglasitev in na podlagi katerih se lahko izpodbija usposobljenost priglašenih organov za ugotavljanje skladnosti.

Izvedbena uredba 2024/3143 je bila objavljena v Uradnem listu 19. decembra 2024 in se uporablja od 8. januarja 2025.

Evropska certifikacijska shema za kibernetsko varnost na podlagi skupnih meril (EUCC)

Komisija je januarja 2024 sprejela Izvedbeno uredbo (EU) 2024/482 (glej povzetek). Ta akt določa pravila za uporabo Uredbe (EU) 2019/881 v zvezi s sprejetjem prostovoljne evropske certifikacijske sheme kibernetske varnosti na podlagi skupnih meril (EUCC). To je prva shema na ravni EU in zadeva certifikate na „znatni“ ali „visoki“ ravni zanesljivosti za izdelke IKT, kot sta strojna in programska oprema, vključno s komponentami, kot so čipi in pametne kartice. Uredba vključuje podrobna pravila o vidikih, vključno z:

• standardi in zahtevami za vrednotenje ter izdajo, podaljšanje in odvzem certifikatov evropske certifikacijske sheme kibernetske varnosti na podlagi skupnih meril za izdelke in zaščitne profile;
• organi za ugotavljanje skladnosti, akreditirani za izdajanje certifikatov ali opravljanje dejavnosti ocenjevanja;
• spremljanjem skladnosti, neusklajenosti in neskladnosti;
• upravljanjem ranljivosti in postopki razkritja;
• hrambo evidenc, razkritjem in varovanjem informacij;
• sporazumi o medsebojnem priznavanju z državami, ki niso članice EU;
• medsebojnim strokovnim ocenjevanjem certifikacijskih organov;
• vzdrževanjem sheme; in
• nacionalnimi certifikacijskimi shemami za kibernetsko varnost, ki jih pokriva EUCC.

Izvedbena uredba evropske certifikacijske sheme kibernetske varnosti na podlagi skupnih meril se uporablja od 27. februarja 2025.

Uredba (EU) 2019/881 in z njo povezana izvedbena uredba ne vplivata na odgovornosti držav članic za javno varnost, obrambo, nacionalno varnost ali kazensko pravo.

Uredba razveljavlja Uredbo (EU) št. 526/2013 od 27. junija 2019.