Úřední věstník
Evropské unie
CS
Série C
|
|
Úřední věstník |
CS Série C |
|
C/2024/1049 |
9.2.2024 |
Stanovisko Evropského výboru regionů – Akt EU o kybernetické solidaritě a digitální odolnost
(C/2024/1049)
|
I. DOPORUČENÉ POZMĚŇOVACÍ NÁVRHY
COM(2023) 209 final
Pozměňovací návrh 1
1. bod odůvodnění
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Používání informačních a komunikačních technologií a závislost na nich je dnes základním aspektem ve všech odvětvích hospodářské činnosti, neboť naše orgány státní správy, společnosti a občané jsou více než kdykoli předtím vzájemně propojení a závislí, a to napříč odvětvími i hranicemi. |
Používání informačních a komunikačních technologií a závislost na nich je dnes základním aspektem ve všech odvětvích hospodářské činnosti, nicméně také odhalilo zranitelná místa, neboť naše orgány státní správy, společnosti a občané jsou více než kdykoli předtím vzájemně propojení a závislí, a to napříč odvětvími i hranicemi. |
Odůvodnění
Nevyžaduje odůvodnění.
Pozměňovací návrh 2
3. bod odůvodnění
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Je nezbytné posílit konkurenceschopnost odvětví průmyslu a služeb v Unii v rámci celé digitalizované ekonomiky a podpořit jejich digitální transformaci zvýšením úrovně kybernetické bezpečnosti na jednotném digitálním trhu. Jak je doporučeno ve třech různých návrzích konference o budoucnosti Evropy, je nutné zvýšit odolnost občanů, podniků a subjektů provozujících kritické infrastruktury vůči rostoucím kybernetickým bezpečnostním hrozbám, které mohou mít ničivé společenské a hospodářské dopady. […] |
Je nezbytné posílit konkurenceschopnost odvětví průmyslu a služeb v Unii v rámci celé digitalizované ekonomiky a podpořit jejich digitální transformaci zvýšením úrovně kybernetické bezpečnosti na jednotném digitálním trhu. Jak je doporučeno ve třech různých návrzích konference o budoucnosti Evropy, je nutné zvýšit odolnost občanů, podniků , veřejné správy na celostátní, regionální a místní úrovni a subjektů provozujících kritické infrastruktury vůči rostoucím kybernetickým bezpečnostním hrozbám, které mohou mít ničivé společenské a hospodářské dopady. […] |
Odůvodnění
Místní a regionální orgány poskytují jak služby pro občany, tak základní služby pro společnost a jsou jedním z nejdůležitějších aspektů dynamického evropského trhu.
Pozměňovací návrh 3
29. bod odůvodnění
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
V rámci opatření v oblasti připravenosti by měla být v zájmu prosazování jednotného přístupu a posílení bezpečnosti v celé Unii a na jejím vnitřním trhu poskytována podpora pro koordinované testování a posuzování kybernetické bezpečnosti subjektů působících ve vysoce kritických odvětvích určených podle směrnice (EU) 2022/2555. Za tímto účelem by měla Komise s podporou agentury ENISA a ve spolupráci se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací zřízenou směrnicí (EU) 2022/2555 pravidelně určovat příslušná odvětví nebo pododvětví, která by měla být způsobilá pro získání finanční podpory na koordinované testování na úrovni Unie. Odvětví nebo pododvětví by měla být vybrána z přílohy I směrnice (EU) 2022/2555 (dále jen „vysoce kritická odvětví“). Koordinované testování […] |
V rámci opatření v oblasti připravenosti by měla být v zájmu prosazování jednotného přístupu a posílení bezpečnosti v celé Unii a na jejím vnitřním trhu poskytována podpora pro koordinované testování a posuzování kybernetické bezpečnosti subjektů působících ve vysoce kritických odvětvích určených podle směrnice (EU) 2022/2555. Za tímto účelem by měla Komise s podporou agentury ENISA a ve spolupráci se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací zřízenou směrnicí (EU) 2022/2555 pravidelně určovat příslušná odvětví nebo pododvětví, která by měla být způsobilá pro získání finanční podpory na koordinované testování na úrovni Unie. Odvětví nebo pododvětví , včetně subjektů veřejné správy na regionální a místní úrovni bez ohledu na to, zda jsou podle vnitrostátního práva považovány za vysoce kritické, by měla být vybrána z přílohy I směrnice (EU) 2022/2555 (dále jen „vysoce kritická odvětví“). Koordinované testování […] |
Odůvodnění
Vzhledem k tomu, že členské státy mohou vyloučit místní a regionální orgány z provádění směrnice NIS 2 (1), mělo by se zajistit, aby byly namísto toho zmíněny v aktu o kybernetické solidaritě.
Pozměňovací návrh 4
30. bod odůvodnění
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Mechanismus pro mimořádné události v kybernetické oblasti by měl navíc nabízet podporu pro další opatření v oblasti připravenosti a podporovat připravenost v jiných odvětvích, na něž se nevztahuje koordinované testování subjektů působících ve vysoce kritických odvětvích. Tato opatření by mohla zahrnovat různé typy činností v oblasti vnitrostátní připravenosti. |
Mechanismus pro mimořádné události v kybernetické oblasti by měl navíc nabízet podporu pro další opatření v oblasti připravenosti a podporovat připravenost v jiných odvětvích, na něž se nevztahuje koordinované testování subjektů působících v kritických odvětvích a ve veřejné správě, bez ohledu na to, zda jsou podle vnitrostátního práva považovány za kritické . Tato opatření by mohla zahrnovat různé typy činností v oblasti vnitrostátní připravenosti. |
Odůvodnění
Místní a regionální orgány by měly mít možnost využívat podporu z mechanismu pro mimořádné události v kybernetické oblasti.
Pozměňovací návrh 5
33. bod odůvodnění
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Postupně by měla být zřízena rezerva pro kybernetickou bezpečnost na úrovni Unie, která by se skládala ze služeb soukromých poskytovatelů řízených bezpečnostních služeb na podporu reakce a okamžité obnovy v případě významných nebo rozsáhlých kybernetických bezpečnostních incidentů. Rezerva EU pro kybernetickou bezpečnost by měla zajistit dostupnost a připravenost služeb. Služby rezervy EU pro kybernetickou bezpečnost by měly sloužit jako podpora vnitrostátním orgánům při poskytování pomoci postiženým subjektům působícím v kritických nebo vysoce kritických odvětvích jako doplněk jejich vlastních opatření na vnitrostátní úrovni. Při žádosti o podporu z rezervy EU pro kybernetickou bezpečnost by členské státy měly upřesnit, jaká podpora byla dotčenému subjektu poskytnuta na vnitrostátní úrovni, a tato podpora by měla být zohledněna při posuzování žádosti členského státu. Služby rezervy EU pro kybernetickou bezpečnost mohou za podobných podmínek sloužit také na podporu orgánů, institucí nebo jiných subjektů Unie. |
Postupně by měla být zřízena rezerva pro kybernetickou bezpečnost na úrovni Unie, která by se skládala ze služeb soukromých poskytovatelů řízených bezpečnostních služeb na podporu reakce a okamžité obnovy v případě významných nebo rozsáhlých kybernetických bezpečnostních incidentů. Rezerva EU pro kybernetickou bezpečnost by měla zajistit dostupnost a připravenost služeb. Služby rezervy EU pro kybernetickou bezpečnost by měly sloužit jako podpora vnitrostátním orgánům při poskytování pomoci postiženým subjektům jako doplněk jejich vlastních opatření na vnitrostátní úrovni. Při žádosti o podporu z rezervy EU pro kybernetickou bezpečnost by členské státy měly upřesnit, jaká podpora byla dotčenému subjektu poskytnuta na vnitrostátní úrovni, a tato podpora by měla být zohledněna při posuzování žádosti členského státu. Služby rezervy EU pro kybernetickou bezpečnost mohou za podobných podmínek sloužit také na podporu orgánů, institucí nebo jiných subjektů Unie. |
Odůvodnění
Podpora z rezervy EU pro kybernetickou bezpečnost by měla být poskytována příslušným subjektům působícím nejen v kritických nebo vysoce kritických odvětvích.
Pozměňovací návrh 6
Čl. 1 odst. 2 písm. b)
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
posílit připravenost působících v kritických a vysoce kritických odvětvích v celé Unii a upevnit solidaritu vytvořením společných kapacit pro reakci na významné nebo rozsáhlé kybernetické bezpečnostní incidenty, včetně zpřístupnění podpory Unie při reakci na kybernetické bezpečnostní incidenty třetím zemím přidruženým k programu Digitální Evropa; |
posílit připravenost subjektů působících v kritických a vysoce kritických odvětvích a ve veřejné správě na celostátní a nižší než celostátní úrovni v celé Unii a upevnit solidaritu vytvořením společných kapacit pro reakci na významné nebo rozsáhlé kybernetické bezpečnostní incidenty, včetně zpřístupnění podpory Unie při reakci na kybernetické bezpečnostní incidenty třetím zemím přidruženým k programu Digitální Evropa; |
Odůvodnění
Toto nařízení by se mělo vztahovat i na orgány veřejné správy na nižší než celostátní úrovni.
Pozměňovací návrh 7
Čl. 4. odst. 1 druhý pododstavec
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Má kapacitu působit jako referenční bod a brána pro další veřejné a soukromé organizace na vnitrostátní úrovni, které shromažďují a analyzují informace o kybernetických bezpečnostních hrozbách a incidentech a přispívají k přeshraničnímu bezpečnostnímu operačnímu středisku. […] |
Má kapacitu působit jako referenční bod a brána pro další veřejné a soukromé organizace na celostátní a nižší než celostátní úrovni, které shromažďují a analyzují informace o kybernetických bezpečnostních hrozbách a incidentech a přispívají k přeshraničnímu bezpečnostnímu operačnímu středisku. […] |
Odůvodnění
Národní bezpečnostní operační střediska by měla shromažďovat a analyzovat informace poskytované také regionální a místní úrovní.
Pozměňovací návrh 8
Čl. 5 odst. 2
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Na základě výzvy k vyjádření zájmu vybere centrum ECCC hostitelské konsorcium, které se bude podílet na společném zadávání zakázek týkajících se nástrojů a infrastruktury s centrem ECCC. Centrum ECCC může hostitelskému konsorciu udělit grant na financování provozu těchto nástrojů a infrastruktur. Finanční příspěvek Unie pokrývá až 75 % nákladů na pořízení nástrojů a infrastruktury a až 50 % nákladů na provoz, přičemž zbývající náklady hradí hostitelské konsorcium. Před zahájením řízení za účelem pořízení nástrojů a infrastruktur uzavřou centrum ECCC a hostitelské konsorcium dohodu o hostingu a užívání, která upravuje používání nástrojů a infrastruktur. |
Na základě výzvy k vyjádření zájmu vybere centrum ECCC hostitelské konsorcium, které se bude podílet na společném zadávání zakázek týkajících se nástrojů a infrastruktury s centrem ECCC. Centrum ECCC může hostitelskému konsorciu udělit grant na financování provozu těchto nástrojů a infrastruktur. Finanční příspěvek Unie pokrývá až 75 % nákladů na pořízení nástrojů a infrastruktury a až 50 % nákladů na provoz, přičemž zbývající náklady hradí hostitelské konsorcium z jiných zdrojů, než jsou zdroje uvedené v nařízení (EU) 2021/1060 (nařízení o společných ustanoveních) . Před zahájením řízení za účelem pořízení nástrojů a infrastruktur uzavřou centrum ECCC a hostitelské konsorcium dohodu o hostingu a užívání, která upravuje používání nástrojů a infrastruktur. |
Odůvodnění
Opatření provádění v rámci aktu o kybernetické solidaritě by neměla být financována z programů politiky soudržnosti.
Pozměňovací návrh 9
Čl. 9 odst. 1
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Zřizuje se mechanismus pro mimořádné události v kybernetické oblasti s cílem zlepšit odolnost Unie vůči zásadním hrozbám v oblasti kybernetické bezpečnosti, připravit se na krátkodobé dopady významných a rozsáhlých kybernetických bezpečnostních incidentů nebo krizí a v duchu solidarity je zmírňovat (dále jen „mechanismus“). |
Zřizuje se mechanismus pro mimořádné události v kybernetické oblasti s cílem zlepšit odolnost Unie vůči hrozbám v oblasti kybernetické bezpečnosti, připravit se na krátkodobé dopady významných a rozsáhlých kybernetických bezpečnostních incidentů nebo krizí a v duchu solidarity je zmírňovat (dále jen „mechanismus“). |
Odůvodnění
Mechanismus pro mimořádné události v kybernetické oblasti by měl být připraven na řešení všech typů kybernetických bezpečnostních incidentů a zmírňování jejich krátkodobých dopadů.
Pozměňovací návrh 10
Čl. 10 odst. 2 (nový)
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
|
2. Komise vypracuje každý rok zprávu, v níž zhodnotí fungování mechanismu a případnou nutnost dalších požadavků týkajících se spolupráce nebo školení. |
Odůvodnění
Komise by měla předkládat pravidelné zprávy, neboť oblast kybernetické bezpečnosti se neustále vyvíjí a požadavky je třeba rychle přizpůsobovat realitě.
Pozměňovací návrh 11
Čl. 11 odst. 1
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Za účelem podpory koordinovaného testování připravenosti subjektů uvedených v čl. 10 odst. 1 písm. a) v celé Unii určí Komise po konzultaci se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací a agenturou ENISA dotčená odvětví nebo pododvětví z vysoce kritických odvětví vyjmenovaných v příloze I směrnice (EU) 2022/2555, v nichž mohou být subjekty podrobeny koordinovanému testování připravenosti, přičemž zohlední stávající a plánovaná koordinovaná posouzení rizik a testování odolnosti na úrovni Unie. |
Za účelem podpory koordinovaného testování připravenosti subjektů uvedených v čl. 10 odst. 1 písm. a) v celé Unii určí Komise po konzultaci se skupinou pro spolupráci v oblasti bezpečnosti sítí a informací a agenturou ENISA dotčená odvětví nebo pododvětví z vysoce kritických odvětví vyjmenovaných v příloze I směrnice (EU) 2022/2555 , včetně subjektů veřejné správy na místní úrovni , v nichž mohou být subjekty podrobeny koordinovanému testování připravenosti, přičemž zohlední stávající a plánovaná koordinovaná posouzení rizik a testování odolnosti na úrovni Unie. |
Odůvodnění
Využívat mechanismus pro mimořádné události v oblasti kybernetické bezpečnosti by měly mít i místní a regionální orgány. Pozměňovací návrh zohledňuje požadavek zpravodaje uvedený v pozměňovacím návrhu 3 (k 30. bodu odůvodnění) přímo v článcích.
Pozměňovací návrh 12
Čl. 14 odst. 2 písm. b)
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
druh dotčeného subjektu, přičemž vyšší přednost mají incidenty, které mají vliv na základní subjekty ve smyslu čl. 3 odst. 1 směrnice (EU) 2022/2555; |
druh dotčeného subjektu, včetně subjektů veřejné správy na regionální a místní úrovni, přičemž vyšší přednost mají incidenty, které mají vliv na základní subjekty ve smyslu čl. 3 odst. 1 směrnice (EU) 2022/2555; |
Odůvodnění
Slouží k upřesnění oblasti působnosti doplněním subjektů na nižší než celostátní úrovni.
Pozměňovací návrh 13
Čl. 18 odst. 1
|
Text navržený Komisí |
Pozměňovací návrh VR |
|
Na žádost Komise, sítě EU-CyCLONe nebo sítě CSIRT agentura ENISA přezkoumá a posoudí hrozby, zranitelná místa a opatření ke zmírnění dopadů v souvislosti s konkrétním významným nebo rozsáhlým kybernetickým bezpečnostním incidentem. Po dokončení přezkumu a posouzení incidentu předá agentura ENISA síti CSIRT, síti EU-CyCLONe a Komisi zprávu o přezkumu incidentu, aby je podpořila při plnění jejich úkolů, zejména s ohledem na úkoly stanovené v článcích 15 a 16 směrnice (EU) 2022/2555. V případě potřeby Komise sdílí zprávu s vysokým představitelem. |
Na žádost Komise, sítě EU-CyCLONe nebo sítě CSIRT agentura ENISA přezkoumá a posoudí hrozby, zranitelná místa a opatření ke zmírnění dopadů v souvislosti s konkrétním významným nebo rozsáhlým kybernetickým bezpečnostním incidentem. Po dokončení přezkumu a posouzení incidentu předá agentura ENISA síti CSIRT, síti EU-CyCLONe a Komisi zprávu o přezkumu incidentu, aby je podpořila při plnění jejich úkolů, zejména s ohledem na úkoly stanovené v článcích 15 a 16 směrnice (EU) 2022/2555. Je-li to možné, předá síť CSIRT zprávu orgánům veřejné správy na nižší než celostátní úrovni. V případě potřeby Komise sdílí zprávu s vysokým představitelem. |
Odůvodnění
Slouží k upřesnění oblasti působnosti doplněním subjektů na nižší než celostátní úrovni.
II. POLITICKÁ DOPORUČENÍ
EVROPSKÝ VÝBOR REGIONŮ
vítá návrh nařízení o posílení spolupráce v oblasti kybernetické bezpečnosti v Evropě, který předložila Komise. Členské státy EU jsou v současné době navzájem velmi úzce provázány a digitálně propojeny, což se bude v nadcházejících letech ještě zintenzivňovat. Výbor proto vítá iniciativu Komise spočívající v přijímání společných opatření proti kybernetickým bezpečnostním hrozbám, které jsou důsledkem naší přibývající digitalizace. V návrhu se upozorňuje na skutečnost, že počet kybernetických incidentů roste – mimo jiné v oblastech, které spadají do působnosti obcí a regionů – a že je nutné, aby byly kritické oblasti společnosti na incidenty připraveny a byly s to je řešit a poučit se z nich. VR konstatuje, že návrh Komise může přispět ke zvýšení digitální odolnosti v Unii.
|
1. |
K dosažení cíle digitálně odolné Evropy je třeba, aby politici i občané uznali význam mobilizace úsilí v oblasti kybernetické bezpečnosti. VR proto vyzývá členské státy, Komise a všechny místní orgány, aby spolupracovaly na zvyšování povědomí o nutnosti jednat, včetně nutnosti navýšit investice do digitální odolnosti, a to zejména na místní a regionální úrovni, a aby zvážily vytvoření ochranných politických nástrojů zaměřených na finanční ransomwarové útoky. To vyžaduje odpovídající finanční a technická opatření a zvyšování kvalifikace. |
|
2. |
Výbor konstatuje, že návrh v mnoha ohledech odkazuje na směrnici NIS 2 a opírá se o ni. Při provádění směrnice NIS 2 v členských státech je na každém z nich, aby rozhodl, zda budou místní orgány spadat do oblasti její působnosti (2). Vzhledem k tomu, že se každý členský stát může rozhodnout, zda bude při provádění směrnice NIS 2 definovat obce jako základní nebo důležité subjekty, budou mít případné rozdíly mezi jednotlivými zeměmi vliv na to, jaký přístup země zaujmou k aktu o kybernetické solidaritě v jeho stávající navrhované podobě. Má-li se zabránit tomu, že budou místní orgány odpovědné za základní služby v některých členských státech z oblasti působnosti aktu o kybernetické solidaritě vyňaty, mělo by být v textu aktu jasně uvedeno, že se tyto orgány považují za zahrnuté bez ohledu na to, zda se na ně směrnice NIS 2 vztahuje či nikoli. |
|
3. |
Vzhledem k tomu, že kybernetická bezpečnost je základním pilířem digitální interoperability, je nezbytné, aby úsilí o posílení interoperability napříč regiony podpořila spolehlivá opatření v oblasti kybernetické bezpečnosti, a tak bylo zajištěno, že kybernetické hrozby nebudou bránit interoperabilitě regionů v celé Evropě. |
|
4. |
Obce a regiony potřebují konkrétní podporu od struktur, které je třeba vybudovat, nikoliv mít pouze povinnost jim podávat zprávy. Výbor proto požaduje, aby bylo vyjasněno, jakým způsobem bude tato podpora regionům poskytována, mj. s cílem zvýšit úroveň kybernetické bezpečnosti v malých obcích. |
Připomínky k oblastem činnosti uvedeným v návrhu
Evropský kybernetický štít
Zavedení celoevropské infrastruktury bezpečnostních operačních středisek s cílem vybudovat a posílit společné schopnosti, což umožní odhalovat, analyzovat a zpracovávat údaje o kybernetických hrozbách a incidentech.
|
5. |
K získání úplného obrazu o aktuální situaci, pokud jde o kybernetickou bezpečnost v EU, je třeba agregovat informace, posuzování rizik, hrozby a incidenty také od místních a celostátních poskytovatelů systému. Podle VR hrozí nedostatek jasných pobídek a postupů v souvislosti s tím, jak mohou být obce a regiony aktivní při zvyšování digitální odolnosti. Zapojení místní a regionální úrovně má rozhodující význam, neboť právě zde jsou často k dispozici digitální řešení, jež jsou vystavena útokům. Proto musí být vytvořeno prostředí, v němž by obce a regiony mohly a měly být zapojeny do zvyšování kybernetické bezpečnosti Unie a aktivně se na něm podílet. |
|
6. |
Výbor při průzkumech zjistil, že mezi jednotlivými zeměmi panují velké rozdíly v úrovni vyspělosti, pokud jde o ochranu a přijatá bezpečnostní opatření. I uvnitř zemí existují velké rozdíly například mezi státními orgány a menšími místními orgány, a to jak ve schopnostech, tak v ambicích v oblasti kybernetické bezpečnosti. Proto považuje VR za důležité, aby cílem nařízení bylo tyto rozdíly snížit a zajistit, že všechny zainteresované subjekty budou mít relativně stejné schopnosti a ambice. |
|
7. |
Výbor konstatuje, že u nové sítě národních a přeshraničních bezpečnostních operačních středisek hrozí překrývání s úkoly, jimiž je pověřena síť CSIRT (3). Pokud jsou národní bezpečnostní operační střediska zřizována paralelně k týmům CSIRT, musí být naprosto zřejmé, jak bude v případě, že dojde k incidentu, fungovat spolupráce a jakou odpovědnost ponese národní bezpečnostní operační středisko a jakou týmy CSIRT. |
|
8. |
Výbor vítá konkrétní cíle stanovené v návrhu nařízení i doporučená opatření. Zároveň vyjadřuje politování nad tím, že v návrhu nejsou dostatečně zohledněny místní a regionální orgány, a to navzdory rostoucímu počtu kybernetických útoků. Proto navrhuje provést řadu legislativních změn, aby byl tento nedostatek napraven. |
|
9. |
V současné době obce a regiony nemají k dispozici data ani jasné body měření incidentů, hrozeb a rizik. V rámci evropského štítu kybernetické bezpečnosti by měly být vypracovány ukazatele pro sledování toho, jak se s přijetím nařízení zvýší vývoj a úroveň vyspělosti. V dlouhodobém horizontu mohou být ukazatele využívány k mapování rizik na základě dat a ukazovat, kde je nejnutnější přijmout opatření. |
Mechanismus pro mimořádné události v kybernetické oblasti
Cílem je posílit připravenost, testovat připravenost odvětví považovaných za kritická, posílit schopnosti obnovy po incidentech a zřídit rezervu pro kybernetickou bezpečnost.
|
10. |
Události na místní úrovni se mohou změnit v rozsáhlé incidenty a v návrhu musí být jasně popsáno, jak mohou bezpečnostní operační střediska a rezerva pro kybernetickou bezpečnost podchytit závažná místní narušení, a nikoli pouze významné a rozsáhlé incidenty, k nimž již došlo. Sdílení informací by nemělo být omezeno na rozsáhlé incidenty, ale mělo by zahrnovat i potenciální rizika. |
|
11. |
Informace o bezpečnostních incidentech jsou často velmi citlivé povahy a v jejich rámci může být nutné sdělovat i technické podrobnosti nebo dokonce osobní údaje, které v současné době nelze poskytnout bez toho, že by partneři uzavřeli smlouvy nebo dohody. Sdílení informací na celostátní úrovni je v současné době obtížné, takže otázka, jak je sdílet přes hranice států, je velmi složitá. Aby mechanismus pro mimořádné události v kybernetické oblasti fungoval, musí Komise zajistit, aby všechny zainteresované strany – veřejné i soukromé subjekty v rámci rezervy pro kybernetickou bezpečnost – měly právní a technické prostředky ke sdílení a přijímání informací. Výbor se domnívá, že hlavním důvodem k šíření informací je řešení incidentů, tedy jak se napadené subjekty v praxi nejlépe vypořádají se závažným incidentem. |
|
12. |
VR vítá skutečnost, že budou kladeny vysoké požadavky na poskytovatele služeb ze soukromého sektoru, kteří budou zapojeni do navrhované rezervy pro kybernetickou bezpečnosti. Z výčtu těchto požadavků však nesmí být vynechány specifické dovednosti nebo znalosti systému jako reakce na skutečnost, že by požadavky kladené na poskytovatele bezpečnostních služeb byla schopna splnit jen hrstka velmi velkých subjektů. Aby byla EU co nejodolnější, musí být její činnost v oblasti bezpečnosti rozmanitá. |
|
13. |
Podle návrhu má rezerva pro kybernetickou bezpečnost spočívat v seznamu důvěryhodných poskytovatelů, kteří budou certifikováni v souladu s aktem o kybernetické bezpečnosti (4). Odpovědnost za to, že budou produkty a služby splňovat stanovené požadavky na kybernetickou bezpečnost, ponese Agentura Evropské unie pro kybernetickou bezpečnost (ENISA). VR by rád zdůraznil, že je důležité, aby agentura ENISA rychle vypracovala systém certifikace, a poskytovatelé tak mohli být certifikováni na základě aktuálních technologií (5). |
|
14. |
V souvislosti s rezervou pro kybernetickou bezpečnost je rovněž důležité, aby její vytvoření nenarušilo hospodářskou soutěž nebo nevyloučilo subjekty působící pouze v některých částech EU. Proces vytváření rezervy a certifikace kybernetické bezpečnosti musí být rychlý a transparentní, aby bylo možné nalézt nejschopnější a nejvhodnější subjekty v tomto ohledu. |
|
15. |
VR se domnívá, že je třeba určit národní poskytovatele technologií a služeb pro kritické systémy a vložit jejich soupis do znalostní databáze. Tyto informace mohou být velmi cenné v souvislosti s opatřeními, která vyžadují nezbytnou mobilizaci místních subjektů, a lze je využít i pro činnost Akademie kybernetické bezpečnosti. |
|
16. |
Když dojde k incidentu, závisí účinnost protiopatření na tom, jak rychle byla přijata. Zveřejňované komplexní informace o incidentech a rizicích se musí dostat během krátké doby ke správným cílovým skupinám. Podle současné podoby návrhu bude vytvořena nová organizace a struktura pro sdílení informací. VR by však rád zdůraznil, že je při zřizování národních a přeshraničních bezpečnostních operačních středisek důležité využívat a zdokonalovat stávající informační kanály, jako jsou CyCLONe (6) a CSIRT. |
Mechanismus přezkumu kybernetických bezpečnostních incidentů
Mechanismus sloužící k přezkumu kybernetických bezpečnostních incidentů, zejména incidentů, které měly významný dopad.
|
17. |
Potřeba odborností v oblasti kybernetické bezpečnosti a souvisejícího financování roste stejně rychlým tempem, jakým se rozvíjí digitalizace. VR vítá, že Komise zřídila Akademii kybernetické bezpečnosti, a požaduje jasnou strategii, jejímž cílem by bylo posílit konkrétně menší obce a regiony s nedostatečnými zdroji, neboť v EU je nedostatek kvalifikovaných pracovníků. |
|
18. |
Poukazuje na skutečnost, že silná digitální odolnost vyžaduje spolupráci různých subjektů, v jejímž rámci přispívají veřejné i soukromé instituce svými odbornými znalostmi, zkušenostmi a personálem. Upozorňuje na úlohu, kterou při budování digitální odolnosti hrají místní a regionální orgány, neboť se prostřednictvím osvětových kampaní, výměny osvědčených postupů a sdílení odborných poznatků mohou navzájem podporovat. Zdůrazňuje, že čím více společnosti investují do své digitální odolnosti, tím více rostou jejich protivníkům náklady na provádění útoků, což by také mohlo sloužit jako odstrašující prostředek. |
|
19. |
Evropské obce a regiony v současné době samy nesou náklady na udržování vysoké úrovně kybernetické bezpečnosti i náklady, které vznikají v souvislosti s incidenty. Podle VR hrozí, že v důsledku nařízení se zvýší objem práce, která bude vyžadovat další, již beztak nedostatečné zdroje. Proto se musí zajistit, aby nařízení nezpůsobilo zátěž, ale aby naopak zvýšilo kapacity všech organizací tím, že poskytne konkrétní nástroje, metody a podporu. |
|
20. |
VR si klade otázku, proč nelze sdílet zprávy o přezkumu v rámci sítě národních a přeshraničních bezpečnostních operačních středisek – podle návrhu mají národní bezpečnostní operační střediska přístup pouze k veřejným informacím. Ponaučení z incidentů patří k nejdůležitějším nástrojům, díky nimž mohou subjekty zvyšovat a budovat svou kybernetickou bezpečnost. Tyto informace by proto měly být v plném rozsahu zpřístupněny všem členům sítě. |
|
21. |
V dokumentu se navrhuje financování na příliš obecné úrovni. VR by uvítal mnohem jasnější popis toho, jak mají být finanční prostředky vynakládány a jak velká část z nich je určena přímo regionům a obcím. |
|
22. |
Na závěr zdůrazňuje, že návrh je v souladu se zásadou subsidiarity a proporcionality. |
V Bruselu dne 30. listopadu 2023.
předseda Evropského výboru regionů
Vasco ALVES CORDEIRO
(1) Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2) (Úř. věst. L 333, 27.12.2022, s. 80).
(2) Čl. 2 odst. 5 směrnice NIS 2: „Členské státy mohou stanovit, že se tato směrnice vztahuje na: a) subjekty veřejné správy na místní úrovni; (…).“
(3) V souladu s čl. 11 odst. 3 směrnice NIS 2 mají týmy CSIRT tyto úkoly:
|
a) |
monitorovat a analyzovat kybernetické hrozby, zranitelnosti a incidenty na vnitrostátní úrovni a na žádost poskytovat pomoc dotčeným základním a důležitým subjektům s monitorováním jejich sítí a informačních systémů v reálném čase nebo v téměř reálném čase; |
|
b) |
poskytovat včasná varování a upozornění, oznamovat a šířit informace o kybernetických hrozbách, zranitelnostech a incidentech určené dotčeným základním a důležitým subjektům, příslušným orgánům a dalším příslušným zúčastněným stranám, pokud možno v téměř reálném čase; |
|
c) |
reagovat na incidenty a případně poskytovat pomoc dotčeným základním a důležitým subjektům; |
|
d) |
shromažďovat a analyzovat forenzní data a poskytovat dynamické analýzy rizik a incidentů a přehled o situaci v oblasti kybernetické bezpečnosti; |
|
e) |
provádět proaktivní skenování sítí a informačních systémů základního nebo důležitého subjektu, který o to požádal, s cílem odhalit zranitelnosti s potenciálním významným dopadem; |
|
f) |
podílet se na síti CSIRT a poskytovat v rámci svých kapacit a pravomocí vzájemnou pomoc dalším členům sítě CSIRT na jejich žádost; |
|
g) |
v příslušných případech působit jakožto koordinátor pro účely koordinovaného zveřejňování zranitelností podle čl. 12 odst. 1; |
|
h) |
podporovat zavádění bezpečných nástrojů pro sdílení informací podle čl. 10 odst. 3. |
(4) Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) (Úř. věst. L 151, 7.6.2019, s. 15).
(5) Agentura ENISA v současné době pracuje na třech certifikacích, které zatím nebyly dokončeny. Týkají se IKT, 5G a služeb cloud computingu. https://www.enisa.europa.eu/topics/standards/certification/eu-cybersecurity-certification-faq.
(6) Čl. 16 odst. 1 a 3 směrnice NIS 2:
Evropská síť styčných organizací pro řešení kybernetických krizí (EU-CyCLONe)
|
1. |
Za účelem podpory koordinovaného řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí na operativní úrovni a pro zajištění pravidelné výměny relevantních informací mezi členskými státy a orgány, institucemi a jinými subjekty Unie se zřizuje síť EU-CyCLONe. |
|
3. |
Síť EU-CyCLONe má tyto úkoly:
|
ELI: http://data.europa.eu/eli/C/2024/1049/oj
ISSN 1977-0863 (electronic edition)