Az (EU) 2019/881 rendelet célja a kiberbiztonság, a kiberellenálló képesség és az Európai Unióba (EU) vetett bizalom magas szintjének elérése a következők meghatározása révén:
egy új, állandó megbízatással rendelkező, megerősített és átnevezett Európai Uniós Kiberbiztonsági Ügynökség (ENISA) célkitűzéseinek, feladatainak és szervezeti vonatkozásainak meghatározása;
az önkéntes európai kiberbiztonsági tanúsítási rendszerek létrehozása keretrendszerének megállapítása révén az információs és kommunikációs technológiai (IKT) termékek, szolgáltatások és folyamatok, valamint az irányított biztonsági szolgáltatások biztosítása céljából.
FŐBB PONTOK
Az ENISA megbízatása a következőket foglalja magában:
egységesen magas szintű kiberbiztonság elérése az egész Unióban;
a nemzeti hatóságok és uniós intézmények, szervek, hivatalok és ügynökségek támogatása a kiberbiztonság javítása terén;
a kiberbiztonsággal kapcsolatos tudományos és műszaki tanácsadás és szakértelem referenciapontjaként szolgálni az uniós intézmények, szervek, hivatalok és ügynökségek, valamint egyéb uniós érdekelt felek számára;
hozzájárulni a belső piac széttagoltságának csökkentéséhez;
függetlenül eljárni, elkerülni a tagállamok tevékenységeivel való párhuzamosságokat és figyelembe venni a nemzeti szakértelmet;
kiépíteni a saját technikai, humán és szakértelemmel kapcsolatos erőforrásait.
Az ENISA feladatai a következők:
az uniós szakpolitikák és jog kidolgozása és végrehajtása;
támogatja a kapacitásépítést, például a kiberfenyegetések1 jobb megelőzése, észlelése, elemzése és az azokra való jobb reagálás, valamint a nemzeti számítógép-biztonsági eseményekre reagáló csoportok (CSIRT-ek) fejlesztésének segítése vagy uniós szintű kiberbiztonsági gyakorlatok szervezése révén;
az IKT-termékek, IKT-szolgáltatások, IKT-folyamatok és -irányítású biztonsági szolgáltatások uniós kiberbiztonsági tanúsítása kidolgozásának és végrehajtásának támogatása és előmozdítása az új európai kiberbiztonsági tanúsítási keretrendszer keretében a rendszerek előkészítése terén betöltött szerepének részeként;
a kiberbiztonsággal – főként a kialakulóban lévő új technológiákkal, a kiberbiztonsági fenyegetésekkel és eseményekkel – kapcsolatos ismeretek és információk összegyűjtése és elemzése a nemzeti hatóságok és a releváns érdekelt felek, valamint egy erre a célra kialakított portálon keresztül a nyilvánosság (polgárok, szervezetek és vállalkozások) tájékoztatása és a számukra történő tanácsadás céljából;
a közvélemény kiberbiztonsági kockázatokkal kapcsolatos tudatosságának növelése, és iránymutatás nyújtása a bevált gyakorlatokról az egyéni felhasználók számára, továbbá a kiberbiztonsággal kapcsolatos tudatosság és oktatás általános előmozdítása;
a kutatási szükségletekre és prioritásokra vonatkozó tanácsadás, továbbá hozzájárulás a kiberbiztonság területén az uniós szintű stratégiai kutatáshoz és innovációhoz;
a kiberbiztonsággal kapcsolatos kérdésekre vonatkozó együttműködés elősegítése a nemzetközi partnerekkel és szervezetekkel.
Az ENISA igazgatási és irányítási struktúrája a következőkből áll:
Az igazgatótanács – tagállamonként egy képviselőből és az Európai Bizottság által kijelölt két tagból áll, amely meghatározza az ügynökség működésének általános irányát, és biztosítja, hogy az ügynökség olyan feltételek mellett végezze tevékenységét, amelyek lehetővé teszik az alapító rendelettel összhangban történő szolgálatot.
Az Igazgatóság, amely öt tagból áll, előkészíti az igazgatótanács által elfogadandó határozatokat.
A független ügyvezető igazgató, aki a tevékenységéért az igazgatótanácsnak tartozik felelősséggel, és feladatai teljesítéséről beszámol az Európai Parlamentnek és az Európai Unió Tanácsának, ha erre felkérik, és aki az Ügynökség működtetéséért felel.
Az érintett érdekelt felek, például az IKT-ipar, az elektronikus hírközlő hálózatok szolgáltatói vagy szolgáltatások nyújtói, a kis- és középvállalkozások, a fogyasztók, a tudományos élet képviselői és az alapvető szolgáltatások működtetői, valamint az illetékes hatóságoknak az Európai Elektronikus Hírközlési Kódex keretében bejelentett képviselőiből álló ENISA tanácsadó csoport, a szabványügyi szervezetek, a bűnüldözési szervek és az adatvédelmi felügyeleti hatóságok, amelyek az érdekelt felek szempontjából releváns kérdésekre összpontosítanak, és felhívják az ENISA figyelmét a kérdésre.
A nemzeti kapcsolattartó tisztviselők hálózata, amely valamennyi tagállam képviselőiből áll, megkönnyíti az ENISA és a tagállamok közötti információcserét, és támogatja az ENISA-t abban, hogy széles körben terjessze a tevékenységeivel, a megállapításaival és az ajánlásaival kapcsolatos információkat.
az elismert szakértőkből álló érdekelt felek kiberbiztonsági tanúsítási csoportja, amelynek többek között az a célja, hogy tanácsot adjon a Bizottságnak az EU kiberbiztonsági tanúsítási keretrendszerével kapcsolatos stratégiai kérdésekben, és kérésre az ENISA-nak az ügynökség releváns feladataival kapcsolatos általános és stratégiai kérdésekben;
A nemzeti képviselőkből álló európai kiberbiztonsági tanúsítási csoport (ECCG), amelynek célja, hogy tanácsokat adjon és segítséget nyújtson a Bizottságnak a jogi aktus következetes végrehajtására és alkalmazására irányuló munkájával, valamint az ENISA-nak a javasolt kiberbiztonsági tanúsítási rendszerek kidolgozásával kapcsolatban.
Az ENISA:
-től határozatlan időtartamra jön létre;
egységes programozási dokumentum alapján működik, amely tartalmazza az éves és többéves programozást;
betartja az Európai Bizottságnak a nem minősített érzékeny adatok és az EU-minősített adatok védelmére vonatkozó biztonsági szabályait;
nem adhatja tovább harmadik felek részére az általa kezelt vagy hozzá beérkezett bizalmas információkat;
teljes mértékben részt vesz a csalás, korrupció és más jogellenes tevékenységek elleni küzdelmet szolgáló uniós intézkedésekben;
a személyes adatokat a vonatkozó uniós szabályokkal összhangban kezeli.
javítsa a belső piac működését a kiberbiztonság szintjének EU-n belüli javítása és az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó, uniós szinten összehangolt megközelítés lehetővé tétele útján, az IKT-termékek, -szolgáltatások és -folyamatok digitális egységes piacának létrehozása céljából;
meghatározzon egy mechanizmust olyan tanúsítási rendszerek létrehozására, amelyek igazolják, hogy az e rendszerekkel összhangban értékelt IKT-termékek, -szolgáltatások és -folyamatok megfelelnek adott biztonsági követelményeknek, az e termékek, szolgáltatások és folyamatok által tárolt vagy továbbított vagy kezelt adatok, vagy az általuk ellátott funkciók vagy kínált szolgáltatások rendelkezésre állásának, hitelességének, sértetlenségének vagy titkosságának azok teljes életciklusa alatti védelme céljából.
A keretrendszer értelmében:
a Bizottság:
közzéteszi az európai kiberbiztonsági tanúsítási rendszerekre vonatkozó uniós gördülő munkaprogramot, amelyben meghatározza a stratégiai prioritásokat és azokat az IKT-termékeket, IKT-szolgáltatásokat, IKT-folyamatokat és IKT-szolgáltatásokat vagy -kategóriákat, amelyek a rendszer hatálya alá vonhatók;
kérheti, hogy az ENISA dolgozzon ki egy javasolt kiberbiztonsági tanúsítási rendszert, vagy vizsgáljon felül egy létező rendszert;
Az ENISA:
megfelelő tervezeteket készít a Bizottság vagy az európai kiberbiztonsági tanúsítási csoport felkérésére,
ötévente értékel minden egyes elfogadott tanúsítási rendszert, a kapott visszajelzések figyelembevételével,
külön honlapot tart fenn, amely információkat nyújt a rendszerekről, tanúsítványokról és megfelelőségi nyilatkozatokról.
Az önkéntes európai kiberbiztonsági tanúsítási rendszerek:
célja különböző biztonsági célkitűzések elérése, például a tárolt, továbbított vagy kezelt adatok védelme;
megjelölik az IKT-termékek, -szolgáltatások és -folyamatok biztonsági szintjét alap, jelentős vagy magas minősítéssel;
lehetővé teszik az alacsony kockázatot (azaz alap) jelentő IKT-termékek gyártói és szolgáltatói számára, hogy ezeket saját maguk értékeljék (megfelelőségi önértékelés);
kötelezően tartalmaznak bizonyos elemeket, például a cél, a tárgy és a hatály, valamint az alkalmazott értékelési kritériumok és módszerek egyértelmű leírását;
felváltják a hasonló nemzeti rendszereket, bár azok tanúsítványai lejáratukig érvényesek maradnak.
A tanúsított IKT-termékek, IKT-szolgáltatások, IKT-folyamatok és irányított biztonsági szolgáltatások gyártóinak vagy nyújtóinak nyilvánosan elérhetővé kell tenniük a következőket:
a végfelhasználóknak a termékek vagy szolgáltatások telepítésében, üzemeltetésében és karbantartásában segítséget nyújtó iránymutatások és ajánlások;
információk arról, hogy milyen időtartamra nyújtanak biztonsági támogatást;
elérhetőségi adataik;
a termékeiket vagy szolgáltatásaikat érintő, ismert kiberbiztonsági problémákkal kapcsolatos információkat tartalmazó online adatbankokra mutató hivatkozások.
A tagállamok egy vagy több nemzeti kiberbiztonsági tanúsító hatóságot jelölnek ki, amelyek elegendő erőforrással és hatáskörrel rendelkeznek az európai kiberbiztonsági tanúsítási rendszerek szabályainak nyomon követésére, felügyeletére és végrehajtására.
A Bizottság:
rendszeresen értékeli az elfogadott tanúsítási rendszerek hatékonyságát és alkalmazását, és mérlegeli, hogy valamely rendszert kötelezővé kell-e tenni;
az első részletes értékelést kellett elvégezze, az ezt követőeket pedig kétévente;
-ig értékelte, majd azt követően ötévente kell értékelnie az ENISA hatását, eredményességét és hatékonyságát.
A természetes és a jogi személyeknek joguk van panaszt benyújtani az európai kiberbiztonsági tanúsítvány kibocsátójánál és hatékony bírósági jogorvoslatot igénybe venni.
Módosítás – irányított biztonsági szolgáltatások
2024 decemberében elfogadták a rendeletet az irányított biztonsági szolgáltatások tekintetében módosító (EU) 2025/37 rendeletet. Ez a célzott módosítás bevezeti az irányított biztonsági szolgáltatások meghatározását, valamint kiterjeszti az európai kiberbiztonsági tanúsítási keretrendszer hatályát többek között az irányított biztonsági szolgáltatások tekintetében. Következésképpen az ENISA megbízatását és feladatait is kiterjeszti az irányított biztonsági szolgáltatásokra.
Az (EU) 2025/37 rendeletet a Hivatalos Lapban tették közzé, és alkalmazandó.
A megfelelőségértékelő szervezetek értesítései
2024 decemberében a Bizottság elfogadta az (EU) 2024/3143 végrehajtási rendeletet a kiberbiztonsági jogszabály 61(5). cikke szerinti értesítések tekintetében. A végrehajtási jogi aktus meghatározza a megfelelőségértékelő szervezeteknek az európai kiberbiztonsági tanúsítási rendszereken keresztül történő bejelentéseinek feltételeit, módszereit és eljárásait a bejelentett és kijelölt szervezetek (NANDO) információs rendszerével. A rendelet tisztázza továbbá azokat a körülményeket, amelyek esetén módosítani kell a bejelentést, és amelynek alapján a bejelentett megfelelőségértékelő szervezetek megtámadhatók.
A 2024/3143 végrehajtási rendeletet a Hivatalos Lapban tették közzé, és az óta hatályos.
A közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC)
2024 januárjában a Bizottság elfogadta az (EU) 2024/482 végrehajtási rendeletet (lásd az összefoglalót). Ez a jogi aktus szabályokat állapít meg az (EU) 2019/881 rendelet alkalmazására vonatkozóan a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében. Ez az első uniós szintű rendszer és a „jelentős” vagy a „magas” megbízhatósági szintű tanúsítványokra vonatkozik olyan IKT termékek tekintetében, mint a hardverek és szoftverek, beleértve a chipekhez és intelligens kártyákhoz hasonló összetevőket is. A rendelet részletes szabályokat határoz meg többek között a következő szempontokkal kapcsolatban:
a termékek és védelmi profilok EUCC-tanúsítványainak értékelésére, valamint kiállítására, megújítására és visszavonására vonatkozó egyedi szabványok és követelmények;
a tanúsítványok kibocsátására vagy értékelési tevékenységek végzésére akkreditált megfelelőségértékelő szervezetek;
a megfelelőség ellenőrzése és a meg nem felelés;
sebezhetőségkezelés és közzétételi eljárás;
a nyilvántartások megőrzése, az információk közzététele és védelme;
kölcsönös elismerési megállapodások nem uniós országokkal;
a tanúsító szervek szakértői értékelése;
a rendszer karbantartása; valamint
az EUCC hatálya alá tartozó nemzeti kiberbiztonsági tanúsítási rendszerek.
Az EUKK végrehajtási rendelet óta hatályos.
Az (EU) 2019/881 rendelet és annak kapcsolódó végrehajtási rendelete nem érintik a tagállamok közbiztonsággal, védelemmel, nemzetbiztonsággal kapcsolatos vagy büntetőjogi felelősségét.
A rendelet -től hatályon kívül helyezi az 526/2013/EK rendeletet.
MIKORTÓL ALKALMAZANDÓ A RENDELET?
A rendelet óta hatályos.
A nemzeti kiberbiztonsági hatóságok kijelölésére, a megfelelőségértékelő szervezetek akkreditációjára és bejelentésére, az európai kiberbiztonsági tanúsítások kibocsátóinál történő panasz benyújtására, a bírósági jogorvoslat igénybevételéhez való jogra, valamint a szankciókra vonatkozó cikkek -tól alkalmazandók.
HÁTTÉR
Az athéni székhelyű és Heraklionban fiókteleppel rendelkező ENISA 2004 óta járul hozzá az EU hálózat- és információbiztonságához.
Kiberfenyegetés. Olyan potenciális körülmény, esemény vagy cselekmény, amely károsíthatja vagy megzavarhatja a hálózati és információs rendszereket, az ilyen rendszerek felhasználóit és más személyeket, vagy azokra egyéb kedvezőtlen hatást gyakorolhat.
FŐ DOKUMENTUM
Az Európai Parlament és a Tanács (EU) 2019/881 rendelete () az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., , 15–69. o.)
Az (EU) 2019/881 rendelet későbbi módosításait belefoglalták az alapszövegbe. Ez az egységes szerkezetbe foglalt változat kizárólag tájékoztató jellegű.
KAPCSOLÓDÓ DOKUMENTUMOK
Az Európai Parlament és a Tanács (EU) 2025/37 rendelete () az (EU) 2019/881 rendeletnek a kezelt biztonsági szolgáltatások tekintetében történő módosításáról (HL L, 2025/37, )
A Bizottság (EU) 2024/3143 végrehajtási rendelete () az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló (EU) 2019/881 európai parlamenti és tanácsi rendelet 61(5). cikkének bekezdése szerinti értesítések körülményeinek, formátumainak és eljárásainak megállapításáról (HL L, 2024/3143, )
A Bizottság (EU) 2024/482 végrehajtási rendelete () a közös kritériumokon alapuló európai kiberbiztonsági tanúsítási rendszer (EUCC) elfogadása tekintetében az (EU) 2019/881 európai parlamenti és tanácsi rendelet alkalmazására vonatkozó szabályok megállapításáról (HL L, 2024/482, )
Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete () a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., , 39–98. o.)
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete () a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., , 1–88. o.)