Akt EU o kybernetické bezpečnosti

PŘEHLED DOKUMENTU:

Nařízení (EU) 2019/881 o Agentuře Evropské unie pro kybernetickou bezpečnost) a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií (akt o kybernetické bezpečnosti)

CO JE CÍLEM NAŘÍZENÍ?

Nařízení má za cíl dosáhnout vysoké úrovně kybernetické bezpečnosti, kybernetické odolnosti a důvěry v Evropské unii (EU) stanovením:

cílů, úkolů a organizačních aspektů pro posílenou a přejmenovanou Agenturu Evropské unie pro kybernetickou bezpečnost (ENISA) s novým trvalým mandátem,
rámce pro dobrovolné evropské systémy certifikace kybernetické bezpečnosti pro produkty, služby a procesy informačních a komunikačních technologií (IKT).

KLÍČOVÉ BODY

Agentura ENISA má tento mandát:

dosáhnout vysoké společné úrovně kybernetické bezpečnosti v celé EU,
podporovat vnitrostátní orgány a orgány, instituce a jiné subjekty EU, pokud jde o zlepšování kybernetické bezpečnosti,
fungovat jako referenční bod pro vědecké a technické poradenství a odborné znalosti v oblasti kybernetické bezpečnosti pro orgány, instituce a jiné subjekty EU a pro jiné relevantní zúčastněné strany,
přispívat ke snížení roztříštěnosti vnitřního trhu,
postupovat nezávisle, předcházet zdvojování vnitrostátních činností a zohledňovat vnitrostátní odborné znalosti,
rozvíjet vlastní technické a lidské zdroje a dovednosti.

Agentura ENISA má tyto úkoly:

pomáhat tvořit a provádět politiku a právo EU,
podporovat budování kapacit, například prostřednictvím zlepšení prevence, odhalování a analýzy kybernetických hrozeb* a reakce na ně a prostřednictvím pomoci při rozvoji vnitrostátníchtýmů pro reakce na počítačové bezpečnostní incidenty (CSIRT) nebo prostřednictvím uspořádání cvičení v oblasti kybernetické bezpečnosti na úrovni EU,
podporovat operativní spolupráci EU mezi všemi zúčastněnými subjekty, včetně Služby kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie (CERT-EU), zejména prostřednictvím výměny know-how a osvědčených postupů, poskytováním příslušných pokynů a obsluhy sítě evropských a vnitrostátních týmů CSIRT,
podporovat a propagovat vývoj a zavádění certifikace kybernetické bezpečnosti EU u produktů, služeb a procesů IKT jako součást její úlohy při vypracovávání systémů podle nového evropského rámce pro certifikaci kybernetické bezpečnosti,
shromažďovat a analyzovat poznatky a informace o kybernetické bezpečnosti, především pak o nově vznikajících technologiích, kybernetických hrozbách a incidentech, poskytovat informace a poradenství vnitrostátním orgánům, příslušným zúčastněným stranám a prostřednictvím specializovaného portálu i veřejnosti (občanům, organizacím a podnikům),
zvyšovat informovanost veřejnosti o rizicích v oblasti kybernetické bezpečnosti a poskytovat vodítka ohledně osvědčených postupů jednotlivým uživatelům a propagovat informovanost a vzdělávání v oblasti kybernetické bezpečnosti obecně,
poskytovat poradenství ohledně potřeb a priorit výzkumu a přispívat ke strategickému programu pro výzkum a inovace EU v oblasti kybernetické bezpečnosti,
přispívat k úsilí EU zaměřenému na spolupráci s mezinárodními partnery a organizacemi v otázkách týkajících se kybernetické bezpečnosti.

Níže je popsána správní a řídicí struktura agentury ENISA:

správní rada tvořená jedním zástupcem každého členského státu EU a dvěma členy jmenovanými Evropskou komisí stanovuje obecné směry činnosti agentury a zajišťuje, aby agentura prováděla své úkoly v souladu s podmínkami, které jí umožňují fungovat v souladu s nařízením, na jehož základě byla zřízena,
výkonná rada tvořená 5 členy, kteří připravují rozhodnutí, jež následně učiní správní rada,
nezávislý výkonný ředitel, který je podřízen správní radě a na vyzvání podává zprávu Evropskému parlamentu a Radě Evropské unie a který je odpovědný za řízení agentury,
poradní skupina agentury ENISA tvořená uznávanými odborníky příslušných zúčastněných stran, jako je odvětví IKT, poskytovatelé sítí nebo služeb elektronické komunikace, malé a střední podniky, spotřebitelé, členové akademické obce, provozovatelé základních služeb, ale také zástupci příslušných orgánů oznámených podle evropského kodexu pro elektronické komunikace, organizace pro normalizaci, donucovací orgány a orgány dozoru pro ochranu údajů, která se zaměřuje na otázky relevantní pro zúčastněné strany a upozorňuje na ně agenturu ENISA,
síť národních styčných úředníků tvořená zástupci všech členských států, která usnadňuje výměnu informací mezi agenturou ENISA a členskými státy a podporuje agenturu ENISA při šíření informací o jejích aktivitách, závěrech a doporučeních.

Nařízením se zřizuje:

Skupina zúčastněných stran pro certifikaci kybernetické bezpečnosti tvořená uznávanými odborníky, kteří například radí Komisi ohledně strategických otázek týkajících se rámce EU pro certifikaci kybernetické bezpečnosti a na požádání agentuře ENISA ohledně obecných a strategických otázek týkajících se relevantních úkolů agentury,
Evropská skupina pro certifikaci kybernetické bezpečnosti tvořená vnitrostátními zástupci, kteří radí a pomáhají Komisi v její činnosti s cílem zajistit soudržné provádění a uplatňování tohoto aktu a také agentuře ENISA v souvislosti s přípravou návrhu systémů certifikace kybernetické bezpečnosti.

Agentura ENISA:

se zřizuje na dobu neurčitou od 27. června 2019,
vykonává činnost v souladu s jednotným programovým dokumentem obsahujícím její roční a víceletý program,
řídí se bezpečnostními pravidly Komise týkajícími se ochrany citlivých neutajovaných informací a utajovaných informací EU,
nesděluje třetím stranám důvěrné informace, které zpracovává nebo které obdržela,
plně se zapojuje do opatření EU na boj proti podvodům, korupci a jiným nezákonným činnostem,
zpracovává osobní údaje v souladu s příslušnými pravidly EU.

Nařízením se zřizuje evropský rámec pro certifikaci kybernetické bezpečnosti s cílem:

zlepšit fungování vnitřního trhu zvýšením úrovně kybernetické bezpečnosti v EU a umožněním harmonizovaného přístupu k evropským systémům certifikace kybernetické bezpečnosti na úrovni EU, a to s výhledem na vytvoření jednotného digitálního trhu s produkty, službami a procesy IKT,
vytvořit mechanismus pro zřizování systémů certifikace, které osvědčují, že produkty, služby a procesy IKT hodnocené v souladu s takovými systémy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, autentičnosti, integrity nebo důvěrnosti uchovávaných, předávaných či zpracovávaných údajů nebo funkcí či služeb nabízených nebo přístupných prostřednictvím těchto produktů, služeb a procesů během celého jejich životního cyklu.

Podle tohoto rámce:

Komise:
- zveřejňuje průběžný pracovní program EU pro evropskou certifikaci kybernetické bezpečnosti, který určuje strategické priority a produkty, služby a procesy IKT nebo jejich kategorie, které by z takového systému mohly mít prospěch,
- může požádat agenturu ENISA o vypracování návrhu systému certifikace nebo o přezkum stávajícího systému.
Agentura ENISA:
- vypracovává na žádost Komise nebo Evropské skupiny pro certifikaci kybernetické bezpečnosti vhodné návrhy systémů,
- hodnotí každý přijatý systém certifikace vždy jednou za pět let a zohledňuje při hodnocení obdrženou zpětnou vazbu,
- provozuje specializované internetové stránky, jejichž účelem je poskytovat informace o systémech, certifikátech a prohlášeních o shodě.

Dobrovolné evropské systémy certifikace kybernetické bezpečnosti:

mají za cíl dosáhnout různých cílů v oblasti bezpečnosti, jako je ochrana uchovávaných, předávaných a zpracovávaných údajů,
označují úroveň bezpečnosti produktů, služeb a procesů IKT pojmy „základní“, „podstatná“ nebo „vysoká“,
umožňují výrobcům a poskytovatelům produktů, služeb a procesů IKT s nízkým rizikem (tj. úroveň „základní“), aby produkty, služby a procesy posuzovali sami („vlastní posuzování shody“),
musí obsahovat určité prvky, například jasný popis účelu, předmět a rozsah a kritéria hodnocení a použité metody,
nahrazují podobné vnitrostátní systémy, ačkoliv tyto certifikáty platí do data skončení jejich platnosti.

Výrobci a poskytovatelé certifikovaných produktů, služeb a procesů IKT musejí veřejně zpřístupnit:

pokyny a doporučení, jež koncovým uživatelům pomohou s instalací, používání a údržbou jejich produktů či služeb,
informace o době, po kterou nabízejí bezpečnostní podporu,
kontaktní údaje,
odkazy na internetová úložiště obsahující informace o známých problémech v oblasti kybernetické bezpečnosti, které souvisejí s jejich produkty či službami.

Členské státy jmenují jeden nebo více vnitrostátních orgánů certifikace kybernetické bezpečnosti, který disponuje dostatečnými zdroji a pravomocemi k monitorování evropských systémů certifikace kybernetické bezpečnosti, dohledu nad nimi a prosazování souvisejících pravidel.

Komise:

pravidelně hodnotí účinnost a využití přijatých systémů certifikace a posuzuje, zda by se některý systém měl stát povinným,
byla povinna vypracovat své první podrobné hodnocení do 31. prosince 2023 a každé dva roky je pak povinna vypracovávat následná hodnocení,
byla povinna vyhodnotit dopad, efektivitu a účinnost agentury ENISA do 28. června 2024 a poté toto vyhodnocení provést znovu každých pět let.

Jednotlivci a právnické osoby mají právo podat stížnost u vydavatele evropského certifikátu kybernetické bezpečnosti a usilovat o účinnou soudní nápravu.

Prováděcí akt

V lednu 2024 přijala Komise prováděcí nařízení (EU) 2024/482 (viz shrnutí). Tento akt stanovuje pravidla pro uplatňování nařízení (EU) 2019/881, pokud jde o přijetí dobrovolného společného evropského systému certifikace kybernetické bezpečnosti založeného na kritériích (EUCC). Jedná se o první systém na úrovni EU, který se týká certifikátů na úrovni záruky „podstatná“ nebo „vysoká“ pro produkty IKT, jako je hardware a software, včetně komponent, jako jsou čipy a čipové karty. Nařízení zahrnuje podrobná pravidla týkající se aspektů jako:

normy a požadavky na hodnocení, vydávání, obnovování a odebírání osvědčení EUCC pro výrobky a profily ochrany,
orgány posuzování shody akreditované k vydávání certifikátů nebo provádění hodnotících činností,
sledování shody, neshody a nesouladu,
postupy pro správu a zveřejňování zranitelností,
uchovávání záznamů, zveřejňování a ochrana informací,
dohody o vzájemném uznávání se zeměmi, které nejsou členy EU,
vzájemné hodnocení certifikačních orgánů,
udržování systému a
vnitrostátní systémy certifikace kybernetické bezpečnosti, na které se vztahuje EUCC.

Nařízení provádějící EUCC se použije od 27. února 2025.

Nařízení (EU) 2019/881 a související prováděcí nařízení se nedotýká odpovědnosti členských států za veřejnou bezpečnost, obranu, národní bezpečnost a trestní právo.

Nařízení zrušuje nařízení (EU) č. 526/2013 ode dne 27. června 2019.

ODKDY JE NAŘÍZENÍ V PLATNOSTI?

Nařízení platí ode dne 27. června 2019.

Články pojednávající o určení vnitrostátních orgánů kybernetické bezpečnosti, akreditaci a oznamování subjektů posuzování shody, právu podat stížnost vydavateli evropského certifikátu kybernetické bezpečnosti a právu na soudní nápravu a o sankcích se použijí ode dne 28. června 2021.

KONTEXT

Agentura ENISA sídlící v Aténách s pobočkou v Heraklionu přispívá k bezpečnosti sítí a informací EU od roku 2004. Další informace viz:

ENISA – Agentura Evropské unie pro kybernetickou bezpečnost (ENISA)
Certifikace kybernetické bezpečnosti EU (ENISA)
Politiky kybernetické bezpečnosti – (Evropská komise).

KLÍČOVÉ POJMY

Kybernetická hrozba. Potenciální okolnost, událost nebo čin, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a další osoby.

HLAVNÍ DOKUMENT

Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15–69).

SOUVISEJÍCÍ DOKUMENTY

Prováděcí nařízení Komise (EU) 2024/482 ze dne 31. ledna 2024, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2019/881, pokud jde o přijetí evropského systému certifikace kybernetické bezpečnosti založeného na společných kritériích (EUCC) (Úř. věst. L 2024/482, 7.2.2024).

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39–98).

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (Úř. věst. L 194, 19.7.2016, s. 1–30).

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1–88).

Následné opravy nařízení (EU) 2016/679 byly začleněny do původního znění. Toto konsolidované znění má pouze dokumentární hodnotu.

Poslední aktualizace 18.06.2024