ES kibernetinio saugumo aktas

 

DOKUMENTAS, KURIO SANTRAUKA PATEIKIAMA:

Reglamentas (ES) 2019/881 dėl Europos Sąjungos kibernetinio saugumo agentūros ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo (Kibernetinio saugumo aktas)

KOKS ŠIO REGLAMENTO TIKSLAS?

Šiuo reglamentu siekiama užtikrinti aukštą kibernetinio saugumo, kibernetinio atsparumo ir pasitikėjimo lygį Europos Sąjungoje (ES), nustatant:

• Europos Sąjungos kibernetinio saugumo agentūros (ENISA) tikslus, užduotis, organizacinius aspektus ir naujus nuolatinius įgaliojimus;
• Europos kibernetinio saugumo sertifikavimo schemų nustatymo sistemą informacinių ir ryšių technologijų (IRT) produktams, paslaugoms ir procesams.

PAGRINDINIAI ASPEKTAI

ENISA turi šiuos įgaliojimus:

• pasiekti aukštą bendrą kibernetinio saugumo lygį visoje ES;
• padėti valdžios institucijoms ir ES institucijoms, įstaigoms, organams ir agentūroms gerinti kibernetinį saugumą;
• veikti kaip informacinis centras, kuris teikia mokslines ir technines rekomendacijas bei ekspertines žinias kibernetinio saugumo klausimais ES institucijoms, įstaigoms, organams ir agentūroms, bei kitiems atitinkamiems suinteresuotiesiems subjektams;
• prisidėti prie vidaus rinkos susiskaidymo mažinimo;
• veikti nepriklausomai, vengti veiklos dubliavimo su nacionaline veikla ir atsižvelgti į šalių jau turimas ekspertines žinias;
• formuoti savo techninius ir žmogiškuosius pajėgumus bei įgūdžius.

ENISA užduotys:

• plėtoti ir įgyvendinti ES politiką bei teisę;
• skatinti pajėgumų stiprinimą, pavyzdžiui, tobulinant kibernetinių grėsmių* prevenciją, nustatymą bei analizę ir reagavimo į jas pajėgumus ir padedant plėtoti nacionalines reagavimo į kompiuterių saugumo incidentus tarnybas (CSIRT) arba rengiant kibernetinio saugumo pratybas ES lygmeniu;
• remti ES operatyvinį bendradarbiavimą tarp visų suinteresuotų subjektų, įskaitant ES institucijų, įstaigų, organų ir agentūrų kibernetinio saugumo tarnybą (CERT-EU), visų pirma keičiantis praktine patirtimi ir geriausia praktika, teikiant atitinkamas gaires ir aptarnaujant ES bei nacionalinį CSIRT tinklą;
• remti ir skatinti IRT produktų, paslaugų ir procesų kibernetinio saugumo sertifikavimo ES plėtojimą ir įgyvendinimą, padedant rengti schemas pagal naująją Europos kibernetinio sertifikavimo sistemą;
• rinkti ir analizuoti žinias bei informaciją apie kibernetinį saugumą, visų pirma apie naujausias technologijas, kibernetines grėsmes ir incidentus, teikti informaciją ir patarimus nacionalinėms valdžios institucijoms, susijusioms suinteresuotosioms šalims ir per tam skirtą portalą visuomenei (piliečiams, organizacijoms ir įmonėms);
• didinti visuomenės informuotumą apie kibernetiniam saugumui kylančią riziką, teikti individualių naudotojų gerosios praktikos konsultacijas ir skatinti kibernetinio saugumo supratimą ir švietimą apskritai;
• patarti dėl mokslinių tyrimų poreikių bei prioritetų ir prisidėti prie ES strateginės kibernetinio saugumo tyrimų ir inovacijų darbotvarkės;
• prisidėti prie ES pastangų bendradarbiauti kibernetinio saugumo srityje su savo tarptautiniais partneriais ir organizacijomis.

ENISA administracinė ir valdymo struktūra:

• Valdančioji taryba, kurią sudaro po vieną atstovą iš kiekvienos ES valstybės narės ir du Europos Komisijos paskirti nariai, nustato bendrąją agentūros veiklos kryptį ir užtikrina, kad agentūra vykdytų savo užduotis tokiomis sąlygomis, kurios leistų jai veikti pagal steigimo reglamentą;
• Vykdomoji valdyba, kurią sudaro penki nariai ir kuri rengia Valdančiosios tarybos priimamus sprendimus;
• nepriklausomas vykdomasis direktorius, kuris yra atskaitingas Vykdomajai valdybai ir atsiskaito Europos Parlamentui bei Europos Sąjungos Tarybai, kai to paprašoma. Jis atsako už agentūros valdymą;
• ENISA patariamoji grupė, sudaryta iš pripažintų specialistų, atstovaujančių atitinkamiems suinteresuotiesiems subjektams, pavyzdžiui, IRT sektoriui, elektroninių ryšių tinklų ar paslaugų teikėjams, mažosioms ir vidutinėms įmonėms, vartotojams, akademikams, esminių paslaugų operatoriams, taip pat kompetentingų institucijų, apie kurias pranešta pagal Europos elektroninių ryšių kodeksą, standartizacijos organizacijų ir teisėsaugos bei duomenų apsaugos priežiūros institucijų atstovų. Daugiausia dėmesio ji skiria suinteresuotosioms šalims aktualiems klausimams ir atkreipia į juos ENISA dėmesį;
• Nacionalinių švietimo informacinių centrų tinklas, kurį sudaro visų valstybių narių atstovai ir kuris palengvina keitimąsi informacija tarp ENISA ir valstybių narių ir palaiko ENISA, kad jos veikla, išvados ir rekomendacijos būtų plačiai žinomos.

Reglamentu sukuriama:

• Suinteresuotųjų subjektų kibernetinio saugumo sertifikavimo grupė, sudaryta iš pripažintų specialistų, kurie, pavyzdžiui, pataria Komisijai strateginiais klausimais, susijusiais su ES kibernetinio saugumo sertifikavimo sistema, ir, gavę prašymą, konsultuoja ENISA bendrais ir strateginiais klausimais, susijusiais su atitinkamomis agentūros užduotimis;
• Europos kibernetinio saugumo sertifikavimo grupė (EKSSG), sudaryta iš nacionalinių atstovų, kurie pataria ir padeda Komisijai užtikrinti nuoseklų Akto įgyvendinimą ir taikymą, o ENISA – rengiant potencialias kibernetinio saugumo sertifikavimo schemas.

ENISA:

• įsteigiama neribotam laikui nuo 2019 m. birželio 27 d.;
• vykdo veiklą pagal bendrąjį programavimo dokumentą, į kurį įtraukiamos jos metinė bei daugiametė programos;
• laikosi Komisijos saugumo taisyklių dėl neskelbtinos neįslaptintos informacijos ir ES įslaptintos informacijos apsaugos;
• tretiesiems asmenims neatskleidžia konfidencialios informacijos, kurią tvarko ar gauna;
• visapusiškai dalyvauja ES kovos su sukčiavimu, korupcija ir kita neteisėta veikla priemonėse;
• tvarko asmens duomenis pagal atitinkamas ES taisykles.

Reglamentu sukuriama Europos kibernetinio saugumo sertifikavimo sistema, skirta:

• gerinti vidaus rinkos veikimo sąlygas didinant kibernetinio saugumo lygį ES ir sudarant sąlygas ES lygmeniu suderintai taikyti Europos kibernetinio saugumo sertifikavimo schemas, kad būtų sukurta IRT produktų, paslaugų ir procesų bendroji skaitmeninė rinka;
• nustatyti mechanizmą, skirtą sertifikavimo schemoms sukurti ir patvirtinti, kad pagal tokias schemas įvertinti IRT produktai, paslaugos ir procesai atitinka nustatytus saugumo reikalavimus, siekiant apsaugoti saugomų, perduodamų ar tvarkomų duomenų arba tais produktais, paslaugomis ir procesais arba per juos prieinamų funkcijų ar paslaugų prieinamumą, autentiškumą, vientisumą ar konfidencialumą viso jų gyvavimo ciklo metu.

Pagal šią sistemą:

• Komisija:
  • paskelbia tęstinę ES darbo programą Europos kibernetinio saugumo sertifikavimo srityje, kurioje nustatomi strateginiai prioritetai ir IRT produktai, paslaugos bei procesai arba jų kategorijos, kurioms schema būtų naudinga;
  • gali prašyti, kad ENISA parengtų potencialią schemą arba peržiūrėti esamą;
• ENISA:
  • gavusi Komisijos ar Europos kibernetinio saugumo sertifikavimo grupė prašymą, parengia tinkamus schemų projektus;
  • kas penkerius metus vertina kiekvieną patvirtintą sertifikavimo schemą, atsižvelgdama į gautus atsiliepimus;
  • tvarko specialią interneto svetainę, kurioje pateikiama informacija apie schemas, sertifikatus ir atitikties pareiškimus.

Savanoriškos Europos kibernetinio saugumo sertifikavimo schemos:

• siekia įvairių saugumo tikslų, pavyzdžiui, saugoti saugomus, perduotus ir tvarkomus duomenis;
• žymi IRT produktų, paslaugų ir procesų saugumo lygį: bazinis, pakankamai aukštas arba aukštas;
• leidžia mažos rizikos (t. y. bazinių) IRT produktų, paslaugų ir procesų gamintojams ir teikėjams patiems juos įvertinti (savarankiškas atitikties vertinimas);
• turi pasižymėti tam tikromis savybėmis, tokiomis kaip aiškūs tikslo, dalyko bei apimties aprašymai ir naudojami vertinimo kriterijai bei metodai;
• pakeičia panašius nacionalinius, nors tie sertifikatai galioja iki jų galiojimo pabaigos.

Sertifikuotų IRT produktų, paslaugų ar procesų gamintojai ir teikėjai privalo viešai pateikti:

• gaires ir rekomendacijas, skirtas padėti galutiniams naudotojams produktus ar paslaugas instaliuoti, naudoti ir prižiūrėti;
• informaciją apie tai, kiek laiko jie siūlo saugumo užtikrinimą;
• savo kontaktinius duomenis;
• nuorodas į internetines duomenų saugyklas, kuriose yra informacijos apie žinomas kibernetinio saugumo spragas, susijusias su jų produktais ar paslaugomis.

Valstybės narės paskiria vieną ar daugiau nacionalinių kibernetinio saugumo sertifikavimo institucijų, turinčių pakankamai išteklių ir įgaliojimų stebėti, prižiūrėti ir vykdyti Europos kibernetinio saugumo sertifikavimo schemų taisykles.

Komisija:

• reguliariai vertina patvirtintų sertifikavimo schemų veiksmingumą bei naudojimą ir svarsto, ar kuri nors sistema turėtų būti privaloma;
• pirmąjį išsamų vertinimą turėjo atlikti ne vėliau kaip 2023 m. gruodžio 31 d., o po to – kas dvejus metus;
• turėjo įvertinti ENISA poveikį, veiksmingumą ir efektyvumą ne vėliau kaip 2024 m. birželio 28 d., o po to – kas penkerius metus.

Fiziniai ir juridiniai asmenys turi teisę pateikti skundą Europos kibernetinio saugumo sertifikato išdavėjui ir imtis veiksmingų teisminių teisių gynimo priemonių.

Įgyvendinimo aktas

2024 m. sausio mėn. Komisija priėmė Įgyvendinimo reglamentą (ES) 2024/482 (žr. santrauką). Šiuo teisės aktu nustatomos Reglamento (ES) 2019/881 taikymo taisyklės, susijusios su savanoriškos Europos bendraisiais kriterijais grindžiamos Europos kibernetinio saugumo sertifikavimo schemos (EUCC) priėmimu. Tai pirmoji ES lygmens schema, susijusi su IRT produktų, pavyzdžiui, techninės ir programinės įrangos, įskaitant tokius komponentus kaip mikroschemos ir lustai bei lustinės kortelės, „didelio“ arba „esminio“ patikimumo lygio sertifikatais. Reglamentu išsamiai aprašomos taisyklės, skirtos:

• produktų ir apsaugos profilių EKSSS sertifikatų vertinimo, išdavimo, atnaujinimo ir panaikinimo standartams ir reikalavimams;
• atitikties vertinimo įstaigoms, akredituotoms išduoti sertifikatus arba vykdyti vertinimo veiklą;
• atitikties stebėsenai, neatitikimui ir nesilaikymui;
• pažeidžiamumų valdymo ir atskleidimo procedūroms;
• įrašų saugojimui, informacijos atskleidimui ir apsaugai;
• abipusio pripažinimo susitarimams su ES nepriklausančiomis šalimis;
• sertifikavimo įstaigų tarpusavio vertinimui;
• sistemos priežiūrai;
• nacionalinėms kibernetinio saugumo sertifikavimo schemoms, kurioms taikoma EKSSS.

EKSSS įgyvendinimo reglamentas bus taikomas nuo 2025 m. vasario 27 d.

Reglamentas (ES) 2019/881 ir su juo susijęs įgyvendinimo reglamentas nedaro poveikio valstybių narių atsakomybei už viešąjį saugumą, gynybą, nacionalinį saugumą ir baudžiamąją teisę.

Nuo 2019 m. birželio 27 d. šiuo reglamentu panaikinamas Reglamentas (EB) Nr. 526/2013.

NUO KADA TAIKOMAS ŠIS REGLAMENTAS?

Šis reglamentas taikomas nuo 2019 m. birželio 27 d.

Straipsniai dėl nacionalinių kibernetinio saugumo institucijų paskyrimo, atitikties vertinimo įstaigų akreditavimo ir notifikavimo, teisės teikti skundus Europos kibernetinio saugumo sertifikatų išdavėjams, teisės imtis teisminių teisės gynimo priemonių ir nuobaudų yra taikomi nuo 2021 m. birželio 28 d.

KONTEKSTAS

ENISA yra įsikūrusi Atėnuose ir turi filialą Heraklione. Ji prisideda prie ES tinklų ir informacijos saugumo nuo 2004 m. Daugiau informacijos žr.:

• Apie ENISA – Europos Sąjungos kibernetinio saugumo agentūra (ENISA);
• ES kibernetinio saugumo sertifikavimas (ENISA);
• Kibernetinio saugumo politika (Europos Komisija).

SVARBIAUSIOS SĄVOKOS

PAGRINDINIS DOKUMENTAS

2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (OL L 151, 2019 6 7, p. 15–69).

SUSIJĘ DOKUMENTAI

2024 m. sausio 31 d. Komisijos įgyvendinimo reglamentas (ES) 2024/482, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) 2019/881 taikymo taisyklės dėl bendraisiais kriterijais grindžiamos Europos kibernetinio saugumo sertifikavimo schemos (EKSSS) priėmimo (OL L, 2024/482, 2024 2 7).

2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39–98).

2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (OL L 194, 2016 7 19, p. 1–30).

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1–88).

Vėlesni Reglamento (ES) 2016/679 pakeitimai buvo įterpti į pradinį tekstą. Ši konsoliduota versija yra skirta tik informacijai.

paskutinis atnaujinimas 18.06.2024