Акт на ЕС за киберсигурността

 

РЕЗЮМЕ НА:

Регламент (ЕС) 2019/881 относно Агенцията на Европейския съюз за киберсигурност и сертифицирането на киберсигурността на информационните и комуникационните технологии (Акт за киберсигурността)

КАКВА Е ЦЕЛТА НА РЕГЛАМЕНТА?

Целта му е да се постигне високо ниво на киберсигурност, киберустойчивост и доверие в Европейския съюз (ЕС) чрез определяне на:

• цели, задачи и организационни въпроси за укрепена и преименувана Агенция на Европейския съюз за киберсигурност (ENISA), с нов, постоянен мандат;
• рамка за доброволни европейски схеми за сертифициране на киберсигурността за продукти, услуги и процеси в областта на информационните и комуникационните технологии (ИКТ).

ОСНОВНИ АСПЕКТИ

Мандатът на ENISA е да:

• постигне високо общо ниво на киберсигурност в целия ЕС;
• подпомогне националните органи и институциите, органите, службите и агенциите на ЕС за подобряване на киберсигурността;
• служи като референтна точка за научни и технически консултации и експертен опит в областта на киберсигурността за институциите, органите, службите и агенциите на ЕС, както и за други съответни заинтересовани страни;
• допринесе за намаляване на фрагментирането на вътрешния пазар;
• действа независимо, да избягва дублиране на национални дейности и да взима предвид националния експертен опит;
• разработва свои собствени ресурси, включително технически и човешки способности и умения.

Задачите на ENISA включват следното:

• подкрепа за разработването и прилагането на политиката и законодателството на ЕС;
• насърчаване на изграждането на възможности, например чрез подобрени предотвратяване, откриване и анализ и отговор на киберзаплахи* и чрез подпомагане на развитието на национални екипи за реагиране при инциденти с компютърната сигурност (CSIRT) или чрез организиране на упражнения в областта киберсигурността на равнище ЕС;
• подкрепа на оперативното сътрудничество в ЕС между всички заинтересовани страни, включително Службата за киберсигурност за институциите, органите, службите и агенциите на Съюза (CERT-EU) в ЕС, по-специално чрез обмен на ноу-хау и най-добри практики, предоставяне на съответни насоки и обслужване на мрежата на ЕС и националните CSIRT мрежи;
• подпомагане и насърчаване на разработването и прилагането на сертифициране на киберсигурността в ЕС на продукти, услуги и процеси в областта на ИКТ като част от ролята в изготвянето на схеми по новата европейска рамка за сертифициране на киберсигурността;
• събиране и анализ на знания и информация в областта на киберсигурността, по-специално за нововъзникващите технологии, киберзаплахите и инцидентите, с цел предоставяне на информация и консултации на националните органи, съответните заинтересовани страни, както и чрез специализиран портал — на обществеността (граждани, организации и предприятия);
• повишаване на обществената осведоменост по отношение на рисковете за киберсигурността, предоставяне на насоки за добри практики за отделните потребители и насърчаване на информираността и образованието в областта на киберсигурността като цяло;
• консултиране относно потребностите и приоритетите в областта на научните изследвания и допринасяне за стратегическата програма на ЕС за научни изследвания и иновации в областта на киберсигурността;
• допринасяне за усилията на ЕС за сътрудничество в областта на киберсигурността с международните му партньори и организации.

ENISA има следната административна и управленска структура:

• Управителен съвет, който се състои се от по един представител от всяка държава — членка на ЕС и двама членове, назначени от Европейската комисия; той определя общата насока на дейността на агенцията и гарантира, че тя изпълнява задачите си при условия, които позволяват да функционира в съответствие с учредителния регламент;
• изпълнителен съвет от петима членове, който изготвя решенията, които трябва да бъдат приети от управителния съвет;
• независим изпълнителен директор, който отговаря пред управителния съвет и докладва на Европейския парламент и на Съвета на Европейския съюз, когато бъде поискано да го направи, и носи отговорност за управлението на агенцията;
• консултативна група на ENISA от признати експерти от съответните заинтересовани страни, като например промишлеността в областта на ИКТ, доставчиците на електронни съобщителни мрежи или услуги, малките и средните предприятия, потребителите, преподавателите, операторите на основни услуги, заедно с представителите на компетентните органи, нотифицирани съгласно Европейския кодекс за електронните съобщения, организациите по стандартизация, органите за правоприлагане и надзор върху защитата на данните, и се фокусира върху въпроси, свързани със заинтересованите страни, и ги довежда до знанието на ENISA;
• мрежа на националните служители за връзка, съставена от представители на всички държави членки, улеснява обмена на информация между ENISA и държавите членки и подпомага ENISA за популяризиране на нейните дейности, констатации и препоръки.

С регламента се създават, както следва:

• Група на заинтересованите страни в областта на сертифицирането на киберсигурността от признати експерти, която, например, ще консултира Европейската комисия по стратегически въпроси, свързани с рамката на ЕС за сертифициране на киберсигурността, а при поискване и ENISA по общи и стратегически въпроси, свързани със съответните задачи на агенцията;
• Европейска група за сертифициране на киберсигурността (EГСК), съставена от национални представители, които ще консултират и подпомагат Комисията в нейната работа за осигуряване на последователно изпълнение и прилагане на акта, както и ENISA във връзка с изготвянето на проекти на схеми за сертифициране на киберсигурността.

ENISA:

• е създадена за неопределен период, считано от 27 юни 2019 г.;
• функционира съгласно единен програмен документ, съдържащ нейното годишно и многогодишно програмиране;
• спазва правилата за сигурност на Комисията с цел защита на чувствителна, некласифицирана информация и класифицирана информация на ЕС;
• не предоставя на трети страни поверителната информация, която обработва или получава;
• участва пълноценно в мерките на ЕС за борба с измамите, корупцията и други незаконни дейности;
• обработва лични данни в съответствие със съответните правила на ЕС.

С регламента се определя европейска рамка за сертифициране на киберсигурността с цел:

• подобряване на функционирането на вътрешния пазар чрез повишаване на нивото на киберсигурността в ЕС и осигуряване на хармонизиран подход на равнище ЕС към европейските схеми за сертифициране на киберсигурността с оглед създаването на единен цифров пазар за продукти, услуги и процеси в областта на ИКТ;
• създаване на механизъм за изготвяне на схеми за сертифициране, които потвърждават, че продуктите, услугите и процесите в областта на ИКТ, които са оценени в съответствие с такива схеми, отговарят на определени изисквания за сигурност, за да се защитят наличността, автентичността, целостта или поверителността на съхраняваните, предавани или обработвани данни, функции или услуги, предлагани от или достъпни чрез тези продукти, услуги и процеси през целия им жизнен цикъл.

Съгласно рамката:

• Комисията:
  • публикува постоянно обновявана работна програма на ЕС за сертифициране на киберсигурността в Европа, в която се определят стратегическите приоритети и продуктите, услугите и процесите или категориите в областта на ИКТ, които биха могли да се възползват от дадена схема,
  • може да поиска ENISA да изготви проект на схема за сертифициране или да прегледа съществуваща такава.
• ENISA:
  • изготвя подходящи проекти на схеми след искане от Комисията или от Европейската група за сертифициране на киберсигурността,
  • на всеки 5 години оценява всяка приета схема за сертифициране, като взима предвид получените отзиви,
  • поддържа специална интернет страница, на която се предоставя информация за схемите, сертификатите и декларациите за съответствие.

Доброволните европейски схеми за сертифициране на киберсигурността:

• имат за цел да постигнат различни цели в областта на сигурността, като например защита на съхраняваните, предаваните и обработваните данни;
• посочват нивото на сигурност на продуктите, услугите и процесите в областта на ИКТ като „базово“, „съществено“ или „високо“;
• дават възможност на производителите и доставчиците на нискорискови (т.е. „базови“) продукти, услуги и процеси в областта на ИКТ сами да ги оценяват („самооценка на съответствието“);
• трябва да включват определени характеристики, например ясно описание на целта, предмета и обхвата, както и използваните критерии и методи за оценка;
• заменят сходни национални схеми, въпреки че тези сертификати остават валидни до изтичането им.

Производителите и доставчиците на сертифицирани продукти, услуги и процеси в областта на ИКТ трябва да оповестят публично:

• насоки и препоръки, които да помогнат на крайните потребители да инсталират, прилагат и поддържат своите продукти или услуги;
• информация за срока, за който предлагат поддръжка на сигурността;
• информацията за контакт с тях;
• референции към онлайн хранилища с информация за известни проблеми с киберсигурността, засягащи техните продукти или услуги.

Държавите членки назначават един или повече национални органи за сертифициране на киберсигурността с достатъчно ресурси и правомощия за наблюдение, надзор и прилагане на правилата на европейските схеми за сертифициране.

Комисията:

• оценява редовно ефективността и използването на приетите схеми за сертифициране и преценява дали някоя схема трябва да стане задължителна;
• трябваше да приключи първата си подробна оценка до 31 декември 2023 г. и да представя следващи на всеки 2 години след това;
• трябваше да оцени въздействието, ефективността и ефикасността на ENISA до 28 юни 2024 г. и на всеки 5 години след това.

Физическите и юридическите лица имат право да подадат жалба до издателя на европейски сертификат за киберсигурност и да потърсят ефективна съдебна защита.

Акт за изпълнение

През януари 2024 г. Комисията прие Регламент за изпълнение (ЕС) 2024/482 (вж. резюмето). С този акт се определят правилата за прилагане на Регламент (ЕС) 2019/881 по отношение на приемането на доброволната европейската схема за сертифициране на киберсигурността, основана на общи критерии (ЕССК). Това е първата схема на равнище ЕС и се отнася до сертификати на ниво „съществена“ или „висока“ степен на сигурност за продукти на ИКТ, като например хардуер и софтуер, включително компоненти, като например чипове и смарт карти. Регламентът включва подробни правила за аспектите, които включват:

• стандартите и изискванията за оценяване и издаване, подновяване и отнемане на EССК сертификати за продукти и профили за защита;
• органите за оценяване на съответствието, акредитирани да издават сертификати или да извършват дейности по оценяване;
• мониторинг на съответствието, несъответствие и неспазване;
• процедури за управление и разкриване на уязвимости;
• съхранението на документи, разкриване и защита на информация;
• споразумения за взаимно признаване с държави извън ЕС;
• партньорска оценка на сертифициращите органи;
• поддържане на схемата; и
• националните схеми за сертифициране на киберсигурността, обхванати от EССК.

Регламентът за изпълнение на EССК ще се прилага от 27 февруари 2025 г.

Регламент (ЕС) 2019/881 и свързаният с него регламент за изпълнение не засягат отговорностите на държавите членки в областта на обществената сигурност, отбраната, националната сигурност и наказателното право.

С регламента се отменя Регламент (ЕС) № 526/2013, считано от 27 юни 2019 г.

ОТКОГА СЕ ПРИЛАГА РЕГЛАМЕНТЪТ?

Регламентът се прилага от 27 юни 2019 г.

Членовете относно определянето на националните органи за киберсигурност, акредитацията и уведомяването на органите за оценка на съответствието, правото на подаване на жалби до издателите на европейски сертификати за киберсигурност, правото на съдебна защита, и санкциите се прилагат от 28 юни 2021 г.

ОБЩА ИНФОРМАЦИЯ

ENISA, установена в Атина, с клон в Ираклион, допринася за мрежовата и информационната сигурност в ЕС от 2004 г. За допълнителна информация вж.:

• За ENISA — Агенцията на Европейския съюз за киберсигурност (ENISA)
• Сертифициране на киберсигурността в ЕС (ENISA)
• Политики в областта на киберсигурността (Европейска комисия).

ОСНОВНИ ПОНЯТИЯ

ОСНОВЕН ДОКУМЕНТ

Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 година относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (ОВ L 151, 7.6.2019 г., стр. 15—69).

СВЪРЗАНИ ДОКУМЕНТИ

Регламент за изпълнение (ЕС) 2024/482 на Комисията от 31 януари 2024 година за определяне на правила за прилагането на Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета по отношение на приемането на европейската схема за сертифициране на киберсигурността, основана на общи критерии (ЕССК) (OВ L, 2024/482, 7.2.2024 г.).

Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39—98).

Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ L 194, 19.7.2016 г., стр. 1—30).

Регламент (EС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1—88).

Последващите изменения на Регламент (ЕС) 2016/679 са включени в основния текст. Тази консолидирана версия е само за документална справка.

последно актуализация 18.06.2024