Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
rámce pro dobrovolné evropské systémy certifikace kybernetické bezpečnosti pro produkty, služby a procesy informačních a komunikačních technologií (IKT) a řízené bezpečnostní služby.
KLÍČOVÉ BODY
Agentura ENISA má tento mandát:
dosáhnout vysoké společné úrovně kybernetické bezpečnosti v celé EU,
podporovat vnitrostátní orgány a orgány, instituce a jiné subjekty EU, pokud jde o zlepšování kybernetické bezpečnosti,
fungovat jako referenční bod pro vědecké a technické poradenství a odborné znalosti v oblasti kybernetické bezpečnosti pro orgány, instituce a jiné subjekty EU a pro jiné relevantní zúčastněné strany,
postupovat nezávisle, předcházet zdvojování vnitrostátních činností a zohledňovat vnitrostátní odborné znalosti,
rozvíjet vlastní technické a lidské zdroje a dovednosti.
Agentura ENISA má tyto úkoly:
pomáhat tvořit a provádět politiku a právo EU,
podporovat budování kapacit, například prostřednictvím zlepšení prevence, odhalování a analýzy kybernetických hrozeb1 a reakce na ně a prostřednictvím pomoci při rozvoji vnitrostátních týmů pro reakce na počítačové bezpečnostní incidenty (CSIRT) nebo prostřednictvím uspořádání cvičení v oblasti kybernetické bezpečnosti na úrovni EU,
podporovat operativní spolupráci EU mezi všemi zúčastněnými subjekty, včetně Služby kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie (CERT-EU), zejména prostřednictvím výměny know-how a osvědčených postupů, poskytováním příslušných pokynů a obsluhy sítí evropských a vnitrostátních týmů CSIRT,
podporovat a propagovat vývoj a zavádění certifikace kybernetické bezpečnosti EU u produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb jako součást její úlohy při vypracovávání systémů podle nového evropského rámce pro certifikaci kybernetické bezpečnosti,
shromažďovat a analyzovat poznatky a informace o kybernetické bezpečnosti, především pak o nově vznikajících technologiích, kybernetických hrozbách a incidentech, poskytovat informace a poradenství vnitrostátním orgánům, příslušným zúčastněným stranám a prostřednictvím specializovaného portálu i veřejnosti (občanům, organizacím a podnikům),
zvyšovat informovanost veřejnosti o rizicích v oblasti kybernetické bezpečnosti a poskytovat vodítka ohledně osvědčených postupů jednotlivým uživatelům a propagovat informovanost a vzdělávání v oblasti kybernetické bezpečnosti obecně,
poskytovat poradenství ohledně potřeb a priorit výzkumu a přispívat ke strategickému programu pro výzkum a inovace EU v oblasti kybernetické bezpečnosti,
přispívat k úsilí EU zaměřenému na spolupráci s mezinárodními partnery a organizacemi v otázkách týkajících se kybernetické bezpečnosti.
Níže je popsána správní a řídicí struktura agentury ENISA.
Správní rada tvořená jedním zástupcem každého členského státu EU a dvěma členy jmenovanými Evropskou komisí, která stanovuje obecné směry činnosti agentury a zajišťuje, aby agentura prováděla své úkoly v souladu s podmínkami, které jí umožňují fungovat v souladu s nařízením, na jehož základě byla zřízena.
Výkonná rada tvořená 5 členy, kteří připravují rozhodnutí, jež následně učiní správní rada.
Poradní skupina agentury ENISA tvořená uznávanými odborníky příslušných zúčastněných stran, jako je odvětví IKT, poskytovatelé sítí nebo služeb elektronické komunikace, malé a střední podniky, spotřebitelé, členové akademické obce, provozovatelé základních služeb, ale také zástupci příslušných orgánů oznámených podle evropského kodexu pro elektronické komunikace, organizace pro normalizaci, donucovací orgány a orgány dozoru pro ochranu údajů, která se zaměřuje na otázky relevantní pro zúčastněné strany a upozorňuje na ně agenturu ENISA.
Síť národních styčných úředníků tvořená zástupci všech členských států, která usnadňuje výměnu informací mezi agenturou ENISA a členskými státy a podporuje agenturu ENISA při šíření informací o jejích aktivitách, závěrech a doporučeních.
Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti tvořená uznávanými odborníky, kteří mimo jiné radí Komisi ohledně strategických otázek týkajících se rámce EU pro certifikaci kybernetické bezpečnosti a na požádání agentuře ENISA ohledně obecných a strategických otázek týkajících se relevantních úkolů agentury.
Evropská skupina pro certifikaci kybernetické bezpečnosti tvořená vnitrostátními zástupci, kteří radí a pomáhají Komisi v její činnosti s cílem zajistit soudržné provádění a uplatňování tohoto aktu a také agentuře ENISA v souvislosti s přípravou návrhu systémů certifikace kybernetické bezpečnosti.
Agentura ENISA:
se zřizuje na dobu neurčitou od ,
vykonává činnost v souladu s jednotným programovým dokumentem obsahujícím její roční a víceletý program,
řídí se bezpečnostními pravidly Komise týkajícími se ochrany citlivých neutajovaných informací a utajovaných informací EU,
nesděluje třetím stranám důvěrné informace, které zpracovává nebo které obdržela,
plně se zapojuje do opatření EU na boj proti podvodům, korupci a jiným nezákonným činnostem,
zpracovává osobní údaje v souladu s příslušnými pravidly EU.
zlepšit fungování vnitřního trhu zvýšením úrovně kybernetické bezpečnosti v EU a umožněním harmonizovaného přístupu k evropským systémům certifikace kybernetické bezpečnosti na úrovni EU, a to s výhledem na vytvoření jednotného digitálního trhu pro produkty IKT, služby IKT, procesy IKT a řízené bezpečnostní služby,
vytvořit mechanismus pro zřizování systémů certifikace, které osvědčují, že produkty IKT, služby IKT, procesy IKT a řízené bezpečnostní služby hodnocené v souladu s takovými systémy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, autentičnosti, integrity nebo důvěrnosti uchovávaných, předávaných či zpracovávaných údajů nebo funkcí či služeb nabízených nebo přístupných prostřednictvím těchto produktů, služeb a procesů během celého jejich životního cyklu.
Podle tohoto rámce:
Komise:
zveřejňuje průběžný pracovní program EU pro evropskou certifikaci kybernetické bezpečnosti, který určuje strategické priority a produkty IKT, služby IKT, procesy IKT a řízené bezpečnostní služby nebo jejich kategorie, které by z takového systému mohly mít prospěch,
může požádat agenturu ENISA o vypracování návrhu systému certifikace nebo o přezkum stávajícího systému,
Agentura ENISA:
vypracovává na žádost Komise nebo Evropské skupiny pro certifikaci kybernetické bezpečnosti vhodné návrhy systémů,
hodnotí každý přijatý systém certifikace vždy jednou za pět let a zohledňuje při hodnocení obdrženou zpětnou vazbu,
provozuje specializované internetové stránky, jejichž účelem je poskytovat informace o systémech, certifikátech a prohlášeních o shodě.
Dobrovolné evropské systémy certifikace kybernetické bezpečnosti:
mají za cíl dosáhnout různých cílů v oblasti bezpečnosti, jako je ochrana uchovávaných, předávaných a zpracovávaných údajů,
označují úroveň bezpečnosti produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb pojmy „základní“, „podstatná“ nebo „vysoká“,
umožňují výrobcům a poskytovatelům produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb s nízkým rizikem (tj. úroveň „základní“), aby produkty, služby a procesy posuzovali sami („vlastní posuzování shody“),
musí obsahovat určité prvky, například jasný popis účelu, předmět a rozsah a kritéria hodnocení a použité metody,
nahrazují podobné vnitrostátní systémy, ačkoliv tyto certifikáty platí do data skončení jejich platnosti.
Výrobci a poskytovatelé certifikovaných produktů IKT, služeb IKT, procesů IKT a řízených bezpečnostních služeb musejí veřejně zpřístupnit:
pokyny a doporučení, jež koncovým uživatelům pomohou s instalací, používání a údržbou jejich produktů či služeb,
informace o době, po kterou nabízejí bezpečnostní podporu,
kontaktní údaje,
odkazy na internetová úložiště obsahující informace o známých problémech v oblasti kybernetické bezpečnosti, které souvisejí s jejich produkty či službami.
Členské státy jmenují jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti, který disponuje dostatečnými zdroji a pravomocemi k monitorování evropských systémů certifikace kybernetické bezpečnosti, dohledu nad nimi a prosazování souvisejících pravidel.
Komise:
pravidelně hodnotí účinnost a využití přijatých systémů certifikace a posuzuje, zda by se některý systém měl stát povinným,
byla povinna vypracovat své první podrobné hodnocení do a každé dva roky je pak povinna vypracovávat následná hodnocení,
byla povinna vyhodnotit dopad, efektivitu a účinnost agentury ENISA do a poté toto vyhodnocení provést znovu každých pět let.
Jednotlivci a právnické osoby mají právo podat stížnost u vydavatele evropského certifikátu kybernetické bezpečnosti a usilovat o účinnou soudní nápravu.
Změna – řízené bezpečnostní služby
V prosinci 2024 bylo přijato nařízení (EU) 2025/37, kterým se mění nařízení, pokud jde o řízené bezpečnostní služby. Tato cílená změna zavádí definici řízených bezpečnostních služeb a rozšiřuje oblast působnostievropského rámce certifikace kybernetické bezpečnosti o řízené bezpečnostní služby. V důsledku toho také odpovídajícím způsobem rozšiřuje mandát a úkoly agentury ENISA, pokud jde o řízené bezpečnostní služby.
Nařízení (EU) 2025/37 bylo zveřejněno v Úředním věstníku dne a platí od .
Oznámení subjektů posuzování shody
V prosinci 2024 přijala Komise prováděcí nařízení (EU) 2024/3143 pro oznámení podle čl. 61 odst. 5 aktu o kybernetické bezpečnosti. Prováděcí akt stanoví okolnosti, formáty a postupy pro oznámení subjektů posuzování shody v rámci evropských systémů certifikace kybernetické bezpečnosti prostřednictvím informačního systému „nového přístupu k oznámeným a určeným organizacím“ (new approach notified and designated organisations, NANDO). Rovněž objasňuje okolnosti, za kterých by měly být provedeny změny v oznámení a na jejichž základě by mohla být zpochybněna způsobilost oznámených subjektů posuzování shody.
Prováděcí nařízení 2024/3143 bylo zveřejněno v Úředním věstníku dne a platí od .
Evropský systém certifikace kybernetické bezpečnosti založený na společných kritériích (EUCC)
V lednu 2024 přijala Komise prováděcí nařízení (EU) 2024/482 (viz shrnutí). Tento akt stanovuje pravidla pro uplatňování nařízení (EU) 2019/881, pokud jde o přijetí dobrovolného společného evropského systému certifikace kybernetické bezpečnosti založeného na kritériích (EUCC). Jedná se o první systém na úrovni EU, který se týká certifikátů na úrovni záruky „podstatná“ nebo „vysoká“ pro produkty IKT, jako je hardware a software, včetně komponent, jako jsou čipy a čipové karty. Nařízení zahrnuje podrobná pravidla týkající se aspektů jako:
normy a požadavky na hodnocení, vydávání, obnovování a odebírání osvědčení EUCC pro výrobky a profily ochrany,
orgány posuzování shody akreditované k vydávání certifikátů nebo provádění hodnotících činností,
sledování shody, neshody a nesouladu,
postupy pro správu a zveřejňování zranitelností,
uchovávání záznamů, zveřejňování a ochrana informací,
dohody o vzájemném uznávání se zeměmi, které nejsou členy EU,
vzájemné hodnocení certifikačních orgánů,
udržování systému a
vnitrostátní systémy certifikace kybernetické bezpečnosti, na které se vztahuje EUCC.
Prováděcí nařízení o EUCC platí ode dne .
Nařízení (EU) 2019/881 a související prováděcí nařízení se nedotýkají odpovědnosti členských států za veřejnou bezpečnost, obranu, národní bezpečnost nebo trestní právo.
Nařízení zrušuje nařízení (EU) č. 526/2013 ode dne .
ODKDY JE NAŘÍZENÍ V PLATNOSTI?
Nařízení platí ode dne .
Články pojednávající o určení vnitrostátních orgánů kybernetické bezpečnosti, akreditaci a oznamování subjektů posuzování shody, právu podat stížnost vydavateli evropského certifikátu kybernetické bezpečnosti a právu na soudní nápravu a o sankcích se použijí ode dne .
KONTEXT
Agentura ENISA sídlící v Aténách s pobočkou v Heraklionu přispívá k bezpečnosti sítí a informací EU od roku 2004.
Kybernetická hrozba. Potenciální okolnost, událost nebo čin, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a další osoby.
HLAVNÍ DOKUMENT
Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, , s. 15–69).
Postupné změny nařízení (EU) 2019/881 byly začleněny do původního znění. Toto konsolidované znění má pouze dokumentární hodnotu.
SOUVISEJÍCÍ DOKUMENTY
Nařízení Evropského parlamentu a Rady (EU) 2025/37 ze dne , kterým se mění nařízení (EU) 2019/881, pokud jde o řízené bezpečnostní služby (Úř. věst. L, 2025/37, ).
Prováděcí nařízení Komise (EU) 2024/3143 ze dne , kterým se stanoví okolnosti, formáty a postupy pro oznámení podle čl. 61 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/881 o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost) a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií (Úř. věst. L, 2024/3143, ).
Prováděcí nařízení Komise (EU) 2024/482 ze dne , kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) (Úř. věst. L, 2024/482, ).
Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, , s. 39–98).
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, , s. 1–88).