Πράξη της ΕΕ για την κυβερνοασφάλεια
ΣΥΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:
Κανονισμός (ΕΕ) 2019/881 σχετικά με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια και την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών (πράξη για την κυβερνοασφάλεια)
ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΟΥ ΚΑΝΟΝΙΣΜΟΥ;
Στοχεύει στην επίτευξη υψηλού επιπέδου ασφάλειας στον κυβερνοχώρο, ανθεκτικότητας στον κυβερνοχώρο και εμπιστοσύνης στην Ευρωπαϊκή Ένωση (ΕΕ) με τον καθορισμό:
- στόχων, καθηκόντων και οργανωτικών θεμάτων για έναν ενισχυμένο και μετονομασμένο Οργανισμό της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο (ENISA), με νέα μόνιμη εντολή·
- πλαισίου για εθελοντικά ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας για προϊόντα, υπηρεσίες και διαδικασίες τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ).
ΒΑΣΙΚΑ ΣΗΜΕΙΑ
Η εντολή του ENISA είναι:
- να προσφέρει ένα υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την ΕΕ·
- να υποστηρίζει τις εθνικές αρχές και τα θεσμικά όργανα, τους οργανισμούς, τις υπηρεσίες και τους φορείς της ΕΕ στη βελτίωση της ασφάλειας στον κυβερνοχώρο·
- να χρησιμεύει ως σημείο αναφοράς για επιστημονικές και τεχνικές συμβουλές και εμπειρογνωμοσύνη σχετικά με την ασφάλεια στον κυβερνοχώρο για τα θεσμικά όργανα, τους φορείς, τις υπηρεσίες και τους οργανισμούς της ΕΕ, καθώς και για άλλους ενδιαφερόμενους φορείς·
- να συμβάλει στη μείωση του κατακερματισμού της εσωτερικής αγοράς·
- να ενεργεί ανεξάρτητα, να αποφεύγει τις αλληλεπικαλύψεις εθνικών δραστηριοτήτων και να λαμβάνει υπόψη την εθνική εμπειρογνωσία·
- να αναπτύσσει τους δικούς του τεχνικούς και ανθρώπινους πόρους, και πόρους που αφορούν την ανάπτυξη ικανοτήτων.
Στα καθήκοντα του ENISA περιλαμβάνονται τα ακόλουθα:
- να συμβάλλει στη χάραξη και την εφαρμογή της πολιτικής και του δικαίου της ΕΕ·
- να προάγει την ανάπτυξη ικανοτήτων, για παράδειγμα μέσω της βελτίωσης της πρόληψης, ανίχνευσης και ανάλυσης των κυβερνοαπειλών και της αντίδρασης σε αυτές* και με τη συνδρομή στην ανάπτυξη εθνικών ομάδων παρέμβασης για συμβάντα που αφορούν την ασφάλεια των υπολογιστών (CSIRT) ή με τη διοργάνωση ασκήσεων κυβερνοασφάλειας σε επίπεδο ΕΕ·
- να υποστηρίζει την επιχειρησιακή συνεργασία της ΕΕ μεταξύ όλων των εμπλεκόμενων φορέων, συμπεριλαμβανομένης της Υπηρεσίας Κυβερνοασφάλειας της ΕΕ για τα θεσμικά όργανα, τους οργανισμούς, τα γραφεία και τις υπηρεσίες της Ένωσης (CERT-EU), ιδίως μέσω της ανταλλαγής τεχνογνωσίας και βέλτιστων πρακτικών, της παροχής σχετικών κατευθυντήριων γραμμών και της εξυπηρέτησης του ενωσιακού και εθνικού δικτύου CSIRT·
- να υποστηρίζει και να προωθεί την ανάπτυξη και την εφαρμογή της πιστοποίησης της κυβερνοασφάλειας της ΕΕ για προϊόντα, υπηρεσίες και διαδικασίες ΤΠΕ, στο πλαίσιο του ρόλου του στην προετοιμασία συστημάτων βάσει του νέου ευρωπαϊκού πλαισίου πιστοποίησης της κυβερνοασφάλειας·
- να συλλέγει και να αναλύει γνώσεις και πληροφορίες σχετικά με την κυβερνοασφάλεια, ιδίως σχετικά με τις αναδυόμενες τεχνολογίες, τις απειλές και τα περιστατικά στον κυβερνοχώρο, ώστε να παρέχει πληροφορίες και συμβουλές στις εθνικές αρχές, στους ενδιαφερόμενους φορείς και, μέσω ειδικής πύλης, στο κοινό (πολίτες, οργανώσεις και επιχειρήσεις)·
- να εγείρει την ευαισθητοποίηση του κοινού σχετικά με τους κινδύνους για την ασφάλεια στον κυβερνοχώρο, να παρέχει καθοδήγηση σχετικά με τις ορθές πρακτικές για μεμονωμένους χρήστες και να προωθεί την ευαισθητοποίηση και την εκπαίδευση στον κυβερνοχώρο γενικότερα·
- να παρέχει συμβουλές σχετικά με ερευνητικές ανάγκες και προτεραιότητες και να συνεισφέρει στο στρατηγικό θεματολόγιο της ΕΕ για την έρευνα και την καινοτομία όσον αφορά την κυβερνοασφάλεια·
- να συμβάλλει στις προσπάθειες της ΕΕ για συνεργασία με διεθνείς εταίρους και οργανισμούς στον τομέα της κυβερνοασφάλειας.
Η δομή διοίκησης και διαχείρισης του ENISA συγκροτείται από:
- Το διοικητικό συμβούλιο, με έναν εκπρόσωπο από κάθε κράτος μέλος της ΕΕ και δύο μέλη που διορίζονται από την Ευρωπαϊκή Επιτροπή, καθορίζει τη γενική κατεύθυνση των δραστηριοτήτων του οργανισμού και διασφαλίζει ότι ο οργανισμός εκτελεί τα καθήκοντά του υπό συνθήκες που του επιτρέπουν να υπηρετεί σύμφωνα με τον ιδρυτικό κανονισμό·
- το πενταμελές Εκτελεστικό Συμβούλιο, το οποίο προετοιμάζει τις αποφάσεις που εκδίδονται από το Διοικητικό Συμβούλιο·
- έναν ανεξάρτητο εκτελεστικό διευθυντή, ο οποίος λογοδοτεί στο διοικητικό συμβούλιο και υποβάλλει εκθέσεις στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο της Ευρωπαϊκής Ένωσης όταν του ζητηθεί, που είναι υπεύθυνος για τη διαχείριση του οργανισμού·
- μια συμβουλευτική ομάδα του ENISA, η οποία αποτελείται από αναγνωρισμένους εμπειρογνώμονες από τους σχετικούς ενδιαφερόμενους φορείς, όπως η βιομηχανία ΤΠΕ, οι πάροχοι δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών, οι μικρομεσαίες επιχειρήσεις, οι καταναλωτές, οι ακαδημαϊκοί και οι φορείς εκμετάλλευσης βασικών υπηρεσιών, καθώς και εκπρόσωποι των αρμόδιων αρχών που έχουν κοινοποιηθεί βάσει του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών, οργανισμοί τυποποίησης, αρχές επιβολής του νόμου και εποπτικές αρχές προστασίας δεδομένων, και η οποία επικεντρώνεται σε θέματα που αφορούν τους ενδιαφερόμενους φορείς και τα θέτει υπόψη του ENISA·
- ένα δίκτυο εθνικών-υπαλλήλων συνδέσμων, αποτελούμενο από εκπροσώπους όλων των κρατών μελών, που διευκολύνει την ανταλλαγή πληροφοριών μεταξύ του ENISA και των κρατών μελών και υποστηρίζει τον ENISA στην ευρεία γνωστοποίηση των δραστηριοτήτων, των πορισμάτων και των συστάσεών του.
Ο κανονισμός συγκροτεί:
- Μια ομάδα συμφεροντούχων για την πιστοποίηση της κυβερνοασφάλειας, η οποία θα συμβουλεύει, για παράδειγμα, την Επιτροπή για στρατηγικά θέματα σχετικά με το πλαίσιο πιστοποίησης της ασφάλειας στον κυβερνοχώρο της ΕΕ και, κατόπιν αιτήματος, τον ENISA για γενικά και στρατηγικά θέματα που αφορούν τα σχετικά καθήκοντα του οργανισμού·
- μια ευρωπαϊκή ομάδα πιστοποίησης κυβερνοασφάλειας (ΕΟΠΙΚ) αποτελούμενη από εθνικούς εκπροσώπους για να συμβουλεύει και να συνδράμει την Επιτροπή στο έργο της για τη διασφάλιση της συνεπούς υλοποίησης και εφαρμογής της πράξης και τον ENISA σε σχέση με την προετοιμασία των υποψήφιων συστημάτων πιστοποίησης κυβερνοασφάλειας.
Ο ENISA:
- συστάθηκε για αόριστο χρονικό διάστημα από τις 27 Ιουνίου 2019·
- λειτουργεί σύμφωνα με το ενιαίο έγγραφο προγραμματισμού που περιέχει το ετήσιο και πολυετές πρόγραμμά του·
- τηρεί τους κανόνες ασφαλείας της Επιτροπής για την προστασία ευαίσθητων μη διαβαθμισμένων πληροφοριών και διαβαθμισμένων πληροφοριών της ΕΕ·
- δεν αποκαλύπτει σε τρίτους εμπιστευτικές πληροφορίες που επεξεργάζεται ή λαμβάνει·
- συμμετέχει πλήρως στην εφαρμογή των μέτρων της ΕΕ για την καταπολέμηση της απάτης, της διαφθοράς και άλλων παράνομων πράξεων·
- επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με τους αντίστοιχους κανόνες της ΕΕ.
Ο κανονισμός θεσπίζει ένα ευρωπαϊκό πλαίσιο πιστοποίησης της κυβερνοασφάλειας για:
- να βελτιώσει τη λειτουργία της εσωτερικής αγοράς αυξάνοντας το επίπεδο της κυβερνοασφάλειας στην ΕΕ και επιτρέποντας μια εναρμονισμένη προσέγγιση σε επίπεδο ΕΕ για τα ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας με σκοπό τη δημιουργία μιας ψηφιακής ενιαίας αγοράς για προϊόντα, υπηρεσίες και διαδικασίες ΤΠΕ·
- να συσταθεί μηχανισμός μέσω του οποίου θα θεσπίζονται συστήματα πιστοποίησης που θα βεβαιώνουν ότι τα προϊόντα, οι υπηρεσίες και οι διαδικασίες ΤΠΕ που έχουν αξιολογηθεί σύμφωνα με τα συγκεκριμένα συστήματα συμμορφώνονται με συγκεκριμένες απαιτήσεις ασφάλειας ώστε να διαφυλάσσεται η διαθεσιμότητα, η γνησιότητα, η ακεραιότητα και η εμπιστευτικότητα αποθηκευμένων, διαβιβαζόμενων ή επεξεργασμένων δεδομένων ή των σχετικών λειτουργιών ή υπηρεσιών που παρέχονται ή είναι προσβάσιμες μέσω αυτών των προϊόντων, υπηρεσιών και διαδικασιών σε όλη τη διάρκεια του κύκλου ζωής τους.
Σύμφωνα με το πλαίσιο:
- η Επιτροπή:
- δημοσιεύει ένα κυλιόμενο πρόγραμμα εργασίας της ΕΕ για την ευρωπαϊκή πιστοποίηση της κυβερνοασφάλειας, προσδιορίζοντας τις στρατηγικές προτεραιότητες και τα προϊόντα, τις υπηρεσίες και τις διαδικασίες ή κατηγορίες ΤΠΕ που θα μπορούσαν να επωφεληθούν από ένα σύστημα·
- μπορεί να ζητήσει από τον ENISA να προετοιμάσει ένα υποψήφιο σύστημα πιστοποίησης ή να επανεξετάσει ένα υφιστάμενο·
- Ο ENISA:
- προετοιμάζει κατάλληλα σχέδια συστημάτων, κατόπιν αιτήματος της Επιτροπής ή της Ευρωπαϊκής Ομάδας Πιστοποίησης Κυβερνοασφάλειας,
- αξιολογεί κάθε εγκεκριμένο σύστημα πιστοποίησης κάθε 5 χρόνια, λαμβάνοντας υπόψη την ανατροφοδότηση που λαμβάνει,
- διατηρεί ειδικό δικτυακό τόπο που παρέχει πληροφορίες σχετικά με τα συστήματα, τα πιστοποιητικά και τις δηλώσεις συμμόρφωσης.
Τα προαιρετικά ευρωπαϊκά συστήματα πιστοποίησης της κυβερνοασφάλειας:
- αποσκοπούν στην επίτευξη διάφορων στόχων ασφάλειας, όπως είναι η προστασία δεδομένων που έχουν αποθηκευτεί, διαβιβαστεί ή αποτελέσει αντικείμενο επεξεργασίας·
- χαρακτηρίζουν το επίπεδο ασφάλειας των προϊόντων, υπηρεσιών και διαδικασιών ΤΠΕ ως βασικό, σημαντικό ή υψηλό·
- επιτρέπουν στους κατασκευαστές και τους παρόχους προϊόντων, υπηρεσιών και διαδικασιών ΤΠΕ χαμηλού κινδύνου (δηλ. βασικών) να τα αξιολογούν οι ίδιοι (αυτοαξιολόγηση συμμόρφωσης)·
- πρέπει να περιλαμβάνει ορισμένα χαρακτηριστικά, όπως σαφείς περιγραφές του σκοπού, του αντικειμένου και του πεδίου εφαρμογής, καθώς και των κριτηρίων και των μεθόδων αξιολόγησης που χρησιμοποιούνται·
- αντικαθιστούν παρόμοια εθνικά συστήματα, παρόλο που τα πιστοποιητικά εκείνα ισχύουν μέχρι την ημερομηνία λήξης τους.
Οι κατασκευαστές και οι πάροχοι πιστοποιημένων προϊόντων, υπηρεσιών ή διαδικασιών ΤΠΕ πρέπει να δημοσιοποιούν:
- καθοδήγηση και συστάσεις για να βοηθούν τους τελικούς χρήστες να εγκαθιστούν, να θέτουν σε λειτουργία και να συντηρούν τα προϊόντα ή τις υπηρεσίες τους·
- πληροφορίες σχετικά με τη διάρκεια για την οποία προσφέρουν υποστήριξη ασφαλείας·
- τα στοιχεία επικοινωνίας τους·
- παραπομπές σε επιγραμμικά αποθετήρια με πληροφορίες για γνωστά προβλήματα κυβερνοασφάλειας που αφορούν τα προϊόντα ή τις υπηρεσίες τους·
Τα κράτη μέλη διορίζουν μία ή περισσότερες εθνικές αρχές πιστοποίησης της κυβερνοασφάλειας με επαρκείς πόρους και εξουσίες για την παρακολούθηση, την εποπτεία και την επιβολή των κανόνων των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας.
Η Επιτροπή:
- αξιολογεί τακτικά την απόδοση και τη χρήση των εγκριθέντων συστημάτων πιστοποίησης και εξετάζει εάν κάποιο πρέπει να καταστεί υποχρεωτικό·
- έπρεπε να ολοκληρώσει την πρώτη της λεπτομερή αξιολόγηση έως τις 31 Δεκεμβρίου 2023, με περαιτέρω αξιολογήσεις κάθε 2 χρόνια στη συνέχεια·
- έπρεπε να αξιολογήσει τον αντίκτυπο, την αποτελεσματικότητα και την αποδοτικότητα του ENISA έως τις 28 Ιουνίου 2024 και στη συνέχεια κάθε 5 χρόνια.
Ιδιώτες και νομικοί φορείς έχουν το δικαίωμα να υποβάλλουν καταγγελία προς τον εκδότη ευρωπαϊκού πιστοποιητικού κυβερνοασφάλειας και να επιδιώξουν πραγματική δικαστική προσφυγή.
Εκτελεστική πράξη
Τον Ιανουάριο του 2024, η Επιτροπή εξέδωσε τον εκτελεστικό κανονισμό (ΕΕ) 2024/482 (βλέπε σύνοψη). Η εν λόγω πράξη θεσπίζει κανόνες για την εφαρμογή του κανονισμού (ΕΕ) 2019/881 όσον αφορά την υιοθέτηση του εθελοντικού κοινού ευρωπαϊκού συστήματος πιστοποίησης της κυβερνοασφάλειας βάσει κριτηρίων (EUCC). Πρόκειται για το πρώτο σύστημα σε επίπεδο ΕΕ και αφορά πιστοποιητικά σε επίπεδο «ουσιαστικής» ή «υψηλής» διασφάλισης για προϊόντα ΤΠΕ, όπως υλικό και λογισμικό, συμπεριλαμβανομένων εξαρτημάτων όπως τσιπ και έξυπνες κάρτες. Ο κανονισμός περιλαμβάνει λεπτομερείς κανόνες σχετικά με πτυχές όπως:
- πρότυπα και απαιτήσεις για την αξιολόγηση και την έκδοση, ανανέωση και ανάκληση των πιστοποιητικών EUCC για προϊόντα και προφίλ προστασίας·
- τους φορείς αξιολόγησης της συμμόρφωσης που είναι διαπιστευμένοι για την έκδοση πιστοποιητικών ή την εκτέλεση δραστηριοτήτων αξιολόγησης·
- παρακολούθηση της συμμόρφωσης, μη εναμόρνιση και μη συμμόρφωση·
- διαδικασίες διαχείρισης τρωτών σημείων και γνωστοποίησης·
- διατήρηση αρχείων, αποκάλυψη και προστασία των πληροφοριών·
- συμφωνίες αμοιβαίας αναγνώρισης με χώρες εκτός ΕΕ·
- αξιολόγηση των φορέων πιστοποίησης από ομοτίμους·
- συντήρηση του συστήματος· και
- εθνικά συστήματα πιστοποίησης κυβερνοασφάλειας που καλύπτονται από το EUCC.
Ο εκτελεστικός κανονισμός EUCC θα εφαρμοστεί από τι27 Φεβρουαρίου 2025.
Ο κανονισμός (ΕΕ) 2019/881 και ο σχετικός εκτελεστικός κανονισμός δεν επηρεάζει τις αρμοδιότητες των κρατών μελών για τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο.
Ο κανονισμός καταργεί τον κανονισμό (ΕΕ) αριθ. 526/2013 από τις 27 Ιουνίου 2019.
ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Ο ΚΑΝΟΝΙΣΜΟΣ;
Ο κανονισμός εφαρμόζεται από τις 27 Ιουνίου 2019.
Τα άρθρα σχετικά με τον ορισμό των εθνικών αρχών κυβερνοασφάλειας, τη διαπίστευση και την κοινοποίηση των φορέων αξιολόγησης της συμμόρφωσης, το δικαίωμα υποβολής καταγγελιών στους εκδότες ευρωπαϊκών πιστοποιητικών κυβερνοασφάλειας, το δικαίωμα προσφυγής στη δικαιοσύνη και τις κυρώσεις ισχύουν από τις 28 Ιουνίου 2021.
ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ
Ο ENISA, ο οποίος εδρεύει στην Αθήνα και διατηρεί υποκατάστημα στο Ηράκλειο, συμβάλλει στην ασφάλεια των δικτύων και των πληροφοριών στην ΕΕ από το 2004 και εξής. Για περισσότερες πληροφορίες, βλέπε:
ΒΑΣΙΚΟΙ ΟΡΟΙ
Κυβερνοαπειλή. Πιθανή περίσταση, γεγονός ή ενέργεια που θα μπορούσε να βλάψει, να διαταράξει ή να επηρεάσει δυσμενώς τα συστήματα δικτύου και πληροφοριών, τους χρήστες τους και άλλους.
ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ
Κανονισμός (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (Πράξη για την Κυβερνοασφάλεια) (ΕΕ L 151 της 7.6.2019, σ. 15-69).
ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ
Εκτελεστικός κανονισμός (ΕΕ) 2024/482 της Επιτροπής, της 31ης Ιανουαρίου 2024, για τη θέσπιση κανόνων εφαρμογής του κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την έγκριση του ευρωπαϊκού σχήματος πιστοποίησης της κυβερνοασφάλειας βάσει κοινών κριτηρίων (EUCC) (EUCC) (ΕΕ L, 2024/482 της 7.2.2024).
Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39-98).
Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 194 της 19.7.2016, σ. 1-30).
Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1-88).
Οι διαδοχικές διορθώσεις του κανονισμού (ΕΕ) 2016/679 έχουν ενσωματωθεί στο αρχικό κείμενο. Αυτή η ενοποιημένη απόδοση αποτελεί απλώς εργαλείο τεκμηρίωσης.
τελευταία ενημέρωση 18.06.2024