Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Summaries of EU Legislation

Akt EU o kybernetické bezpečnosti

Date of last review:
18/06/2024
Author:
Úřad pro publikace Evropské unie
Responsible entity(ies):
Generální ředitelství pro komunikační sítě, obsah a technologie
Summarised document(s):

Akt EU o kybernetické bezpečnosti

 

PŘEHLED DOKUMENTU:

Nařízení (EU) 2019/881 o Agentuře Evropské unie pro kybernetickou bezpečnost) a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií (akt o kybernetické bezpečnosti)

CO JE CÍLEM NAŘÍZENÍ?

Nařízení má za cíl dosáhnout vysoké úrovně kybernetické bezpečnosti, kybernetické odolnosti a důvěry v Evropské unii (EU) stanovením:

  • cílů, úkolů a organizačních aspektů pro posílenou a přejmenovanou Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA) s novým trvalým mandátem,
  • rámce pro dobrovolné evropské systémy certifikace kybernetické bezpečnosti pro produkty, služby a procesy informačních a komunikačních technologií (IKT).

KLÍČOVÉ BODY

Agentura ENISA má tento mandát:

  • dosáhnout vysoké společné úrovně kybernetické bezpečnosti v celé EU,
  • podporovat vnitrostátní orgány a orgány, instituce a jiné subjekty EU, pokud jde o zlepšování kybernetické bezpečnosti,
  • fungovat jako referenční bod pro vědecké a technické poradenství a odborné znalosti v oblasti kybernetické bezpečnosti pro orgány, instituce a jiné subjekty EU a pro jiné relevantní zúčastněné strany,
  • přispívat ke snížení roztříštěnosti vnitřního trhu,
  • postupovat nezávisle, předcházet zdvojování vnitrostátních činností a zohledňovat vnitrostátní odborné znalosti,
  • rozvíjet vlastní technické a lidské zdroje a dovednosti.

Agentura ENISA má tyto úkoly:

  • pomáhat tvořit a provádět politiku a právo EU,
  • podporovat budování kapacit, například prostřednictvím zlepšení prevence, odhalování a analýzy kybernetických hrozeb* a reakce na ně a prostřednictvím pomoci při rozvoji vnitrostátníchtýmů pro reakce na počítačové bezpečnostní incidenty (CSIRT) nebo prostřednictvím uspořádání cvičení v oblasti kybernetické bezpečnosti na úrovni EU,
  • podporovat operativní spolupráci EU mezi všemi zúčastněnými subjekty, včetně Služby kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie (CERT-EU), zejména prostřednictvím výměny know-how a osvědčených postupů, poskytováním příslušných pokynů a obsluhy sítě evropských a vnitrostátních týmů CSIRT,
  • podporovat a propagovat vývoj a zavádění certifikace kybernetické bezpečnosti EU u produktů, služeb a procesů IKT jako součást její úlohy při vypracovávání systémů podle nového evropského rámce pro certifikaci kybernetické bezpečnosti,
  • shromažďovat a analyzovat poznatky a informace o kybernetické bezpečnosti, především pak o nově vznikajících technologiích, kybernetických hrozbách a incidentech, poskytovat informace a poradenství vnitrostátním orgánům, příslušným zúčastněným stranám a prostřednictvím specializovaného portálu i veřejnosti (občanům, organizacím a podnikům),
  • zvyšovat informovanost veřejnosti o rizicích v oblasti kybernetické bezpečnosti a poskytovat vodítka ohledně osvědčených postupů jednotlivým uživatelům a propagovat informovanost a vzdělávání v oblasti kybernetické bezpečnosti obecně,
  • poskytovat poradenství ohledně potřeb a priorit výzkumu a přispívat ke strategickému programu pro výzkum a inovace EU v oblasti kybernetické bezpečnosti,
  • přispívat k úsilí EU zaměřenému na spolupráci s mezinárodními partnery a organizacemi v otázkách týkajících se kybernetické bezpečnosti.

Níže je popsána správní a řídicí struktura agentury ENISA:

  • správní rada tvořená jedním zástupcem každého členského státu EU a dvěma členy jmenovanými Evropskou komisí stanovuje obecné směry činnosti agentury a zajišťuje, aby agentura prováděla své úkoly v souladu s podmínkami, které jí umožňují fungovat v souladu s nařízením, na jehož základě byla zřízena,
  • výkonná rada tvořená 5 členy, kteří připravují rozhodnutí, jež následně učiní správní rada,
  • nezávislý výkonný ředitel, který je podřízen správní radě a na vyzvání podává zprávu Evropskému parlamentuRadě Evropské unie a který je odpovědný za řízení agentury,
  • poradní skupina agentury ENISA tvořená uznávanými odborníky příslušných zúčastněných stran, jako je odvětví IKT, poskytovatelé sítí nebo služeb elektronické komunikace, malé a střední podniky, spotřebitelé, členové akademické obce, provozovatelé základních služeb, ale také zástupci příslušných orgánů oznámených podle evropského kodexu pro elektronické komunikace, organizace pro normalizaci, donucovací orgány a orgány dozoru pro ochranu údajů, která se zaměřuje na otázky relevantní pro zúčastněné strany a upozorňuje na ně agenturu ENISA,
  • síť národních styčných úředníků tvořená zástupci všech členských států, která usnadňuje výměnu informací mezi agenturou ENISA a členskými státy a podporuje agenturu ENISA při šíření informací o jejích aktivitách, závěrech a doporučeních.

Nařízením se zřizuje:

  • Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti tvořená uznávanými odborníky, kteří například radí Komisi ohledně strategických otázek týkajících se rámce EU pro certifikaci kybernetické bezpečnosti a na požádání agentuře ENISA ohledně obecných a strategických otázek týkajících se relevantních úkolů agentury,
  • Evropská skupina pro certifikaci kybernetické bezpečnosti tvořená vnitrostátními zástupci, kteří radí a pomáhají Komisi v její činnosti s cílem zajistit soudržné provádění a uplatňování tohoto aktu a také agentuře ENISA v souvislosti s přípravou návrhu systémů certifikace kybernetické bezpečnosti.

Agentura ENISA:

  • se zřizuje na dobu neurčitou od 27. června 2019,
  • vykonává činnost v souladu s jednotným programovým dokumentem obsahujícím její roční a víceletý program,
  • řídí se bezpečnostními pravidly Komise týkajícími se ochrany citlivých neutajovaných informací a utajovaných informací EU,
  • nesděluje třetím stranám důvěrné informace, které zpracovává nebo které obdržela,
  • plně se zapojuje do opatření EU na boj proti podvodům, korupci a jiným nezákonným činnostem,
  • zpracovává osobní údaje v souladu s příslušnými pravidly EU.

Nařízením se zřizuje evropský rámec pro certifikaci kybernetické bezpečnosti s cílem:

  • zlepšit fungování vnitřního trhu zvýšením úrovně kybernetické bezpečnosti v EU a umožněním harmonizovaného přístupu k evropským systémům certifikace kybernetické bezpečnosti na úrovni EU, a to s výhledem na vytvoření jednotného digitálního trhu s produkty, službami a procesy IKT,
  • vytvořit mechanismus pro zřizování systémů certifikace, které osvědčují, že produkty, služby a procesy IKT hodnocené v souladu s takovými systémy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, autentičnosti, integrity nebo důvěrnosti uchovávaných, předávaných či zpracovávaných údajů nebo funkcí či služeb nabízených nebo přístupných prostřednictvím těchto produktů, služeb a procesů během celého jejich životního cyklu.

Podle tohoto rámce:

  • Komise:
    • zveřejňuje průběžný pracovní program EU pro evropskou certifikaci kybernetické bezpečnosti, který určuje strategické priority a produkty, služby a procesy IKT nebo jejich kategorie, které by z takového systému mohly mít prospěch,
    • může požádat agenturu ENISA o vypracování návrhu systému certifikace nebo o přezkum stávajícího systému.
  • Agentura ENISA:
    • vypracovává na žádost Komise nebo Evropské skupiny pro certifikaci kybernetické bezpečnosti vhodné návrhy systémů,
    • hodnotí každý přijatý systém certifikace vždy jednou za pět let a zohledňuje při hodnocení obdrženou zpětnou vazbu,
    • provozuje specializované internetové stránky, jejichž účelem je poskytovat informace o systémech, certifikátech a prohlášeních o shodě.

Dobrovolné evropské systémy certifikace kybernetické bezpečnosti:

  • mají za cíl dosáhnout různých cílů v oblasti bezpečnosti, jako je ochrana uchovávaných, předávaných a zpracovávaných údajů,
  • označují úroveň bezpečnosti produktů, služeb a procesů IKT pojmy „základní“, „podstatná“ nebo „vysoká“,
  • umožňují výrobcům a poskytovatelům produktů, služeb a procesů IKT s nízkým rizikem (tj. úroveň „základní“), aby produkty, služby a procesy posuzovali sami („vlastní posuzování shody“),
  • musí obsahovat určité prvky, například jasný popis účelu, předmět a rozsah a kritéria hodnocení a použité metody,
  • nahrazují podobné vnitrostátní systémy, ačkoliv tyto certifikáty platí do data skončení jejich platnosti.

Výrobci a poskytovatelé certifikovaných produktů, služeb a procesů IKT musejí veřejně zpřístupnit:

  • pokyny a doporučení, jež koncovým uživatelům pomohou s instalací, používání a údržbou jejich produktů či služeb,
  • informace o době, po kterou nabízejí bezpečnostní podporu,
  • kontaktní údaje,
  • odkazy na internetová úložiště obsahující informace o známých problémech v oblasti kybernetické bezpečnosti, které souvisejí s jejich produkty či službami.

Členské státy jmenují jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti, který disponuje dostatečnými zdroji a pravomocemi k monitorování evropských systémů certifikace kybernetické bezpečnosti, dohledu nad nimi a prosazování souvisejících pravidel.

Komise:

  • pravidelně hodnotí účinnost a využití přijatých systémů certifikace a posuzuje, zda by se některý systém měl stát povinným,
  • byla povinna vypracovat své první podrobné hodnocení do 31. prosince 2023 a každé dva roky je pak povinna vypracovávat následná hodnocení,
  • byla povinna vyhodnotit dopad, efektivitu a účinnost agentury ENISA do 28. června 2024 a poté toto vyhodnocení provést znovu každých pět let.

Jednotlivci a právnické osoby mají právo podat stížnost u vydavatele evropského certifikátu kybernetické bezpečnosti a usilovat o účinnou soudní nápravu.

Prováděcí akt

V lednu 2024 přijala Komise prováděcí nařízení (EU) 2024/482 (viz shrnutí). Tento akt stanovuje pravidla pro uplatňování nařízení (EU) 2019/881, pokud jde o přijetí dobrovolného společného evropského systému certifikace kybernetické bezpečnosti založeného na kritériích (EUCC). Jedná se o první systém na úrovni EU, který se týká certifikátů na úrovni záruky „podstatná“ nebo „vysoká“ pro produkty IKT, jako je hardware a software, včetně komponent, jako jsou čipy a čipové karty. Nařízení zahrnuje podrobná pravidla týkající se aspektů jako:

  • normy a požadavky na hodnocení, vydávání, obnovování a odebírání osvědčení EUCC pro výrobky a profily ochrany,
  • orgány posuzování shody akreditované k vydávání certifikátů nebo provádění hodnotících činností,
  • sledování shody, neshody a nesouladu,
  • postupy pro správu a zveřejňování zranitelností,
  • uchovávání záznamů, zveřejňování a ochrana informací,
  • dohody o vzájemném uznávání se zeměmi, které nejsou členy EU,
  • vzájemné hodnocení certifikačních orgánů,
  • udržování systému a
  • vnitrostátní systémy certifikace kybernetické bezpečnosti, na které se vztahuje EUCC.

Nařízení provádějící EUCC se použije od 27. února 2025.

Nařízení (EU) 2019/881 a související prováděcí nařízení se nedotýká odpovědnosti členských států za veřejnou bezpečnost, obranu, národní bezpečnost a trestní právo.

Nařízení zrušuje nařízení (EU) č. 526/2013 ode dne 27. června 2019.http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=celex:32013R0526

ODKDY JE NAŘÍZENÍ V PLATNOSTI?

Nařízení platí ode dne 27. června 2019.

Články pojednávající o určení vnitrostátních orgánů kybernetické bezpečnosti, akreditaci a oznamování subjektů posuzování shody, právu podat stížnost vydavateli evropského certifikátu kybernetické bezpečnosti a právu na soudní nápravu a o sankcích se použijí ode dne 28. června 2021.

KONTEXT

Agentura ENISA sídlící v Aténách s pobočkou v Heraklionu přispívá k bezpečnosti sítí a informací EU od roku 2004. Další informace viz:

KLÍČOVÉ POJMY

Kybernetická hrozba. Potenciální okolnost, událost nebo čin, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a další osoby.

HLAVNÍ DOKUMENT

Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15–69).

SOUVISEJÍCÍ DOKUMENTY

Prováděcí nařízení Komise (EU) 2024/482 ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) (Úř. věst. L 2024/482, 7.2.2024).

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39–98).

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1–30).

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1–88).

Následné opravy nařízení (EU) 2016/679 byly začleněny do původního znění. Toto konsolidované znění má pouze dokumentární hodnotu.

Poslední aktualizace 18.06.2024

Top