Securitate cibernetică în instituțiile, organele, oficiile și agențiile Uniunii Europene

 

SINTEZĂ PRIVIND:

Regulamentul (UE, Euratom) 2023/2841 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în instituțiile, organele, oficiile și agențiile Uniunii

CARE ESTE ROLUL ACESTUI REGULAMENT?

Regulamentul urmărește să asigure un nivel comun ridicat de securitate cibernetică în toate instituțiile, organele, oficiile și agențiile Uniunii Europene (UE) (definite în prezentul regulament ca „entități ale Uniunii”). Acesta prevede:

• instituirea unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică pentru fiecare entitate a Uniunii;
• gestionarea riscurilor de securitate cibernetică, raportarea și schimbul de informații;
• crearea unui Comitet interinstituțional pentru securitate cibernetică (IICB) și extinderea mandatului Serviciului de securitate cibernetică pentru instituțiile, organele, oficiile și agențiile Uniunii (CERT-UE);
• monitorizarea punerii în aplicare a regulamentului.

ASPECTE-CHEIE

Măsuri de securitate cibernetică și calendar

Până la 8 septembrie 2024, IICB va emite orientări pentru toate entitățile din Uniune pentru:

• efectuarea unei analize inițiale a securității cibernetice;
• instituirea unui cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică;
• efectuarea unor evaluări ale maturității în materie de securitate cibernetică;
• luarea unor măsuri de gestionare a riscurilor de securitate cibernetică;
• adoptarea unui plan de securitate cibernetică.

Fiecare entitate a Uniunii se va angaja să respecte următoarele.

• Va institui un cadru intern de gestionare, guvernanță și control al riscurilor de securitate cibernetică până la 8 aprilie 2025. Cadrul:
  • va acoperi întregul mediu TIC neclasificat al entității Uniunii și se va baza pe o abordare multirisc;
  • va asigura un nivel ridicat de securitate cibernetică și va stabili politici interne de securitate cibernetică;
  • va fi revizuit periodic, în funcție de evoluția riscurilor de securitate cibernetică și cel puțin o dată la patru ani.
• Va numi un responsabil local în materie de securitate cibernetică ca punct de contact unic pentru toate aspectele legate de securitatea cibernetică.
• Va efectua o evaluare a maturității în materie de securitate cibernetică până la 8 iulie 2025 și, ulterior, cel puțin o dată la doi ani. Entitățile din Uniune cu structuri similare pot coopera la efectuarea unor astfel de evaluări pentru entitățile lor respective. Evaluarea:
  • va încorpora toate elementele mediului TIC al entității;
  • va include expertiză externă, dacă este cazul.
• Va lua măsuri tehnice, operaționale și organizatorice adecvate și proporționale până la 8 septembrie 2025 pentru a gestiona riscurile identificate în cadru și pentru a preveni sau reduce la minimum impactul incidentelor.
• Va aproba un plan de securitate cibernetică fără întârzieri nejustificate și cel târziu până la 8 ianuarie 2026. Planul:
  • va fi revizuit la fiecare doi ani sau mai frecvent, dacă este necesar;
  • va include planul de gestionare a crizelor cibernetice pentru incidente majore;
  • va fi înaintat către IICB.

IICB:

• este responsabil cu:
  • monitorizarea și sprijinirea punerii în aplicare a regulamentului de către entitățile Uniunii,
  • supravegherea punerii în aplicare de către CERT-UE a priorităților și obiectivelor sale generale și elaborarea de orientări strategice pentru CERT-UE;
• este format din reprezentanți ai entităților Uniunii, din șeful CERT-UE și din alți participanți relevanți;
• numește un președinte pentru un mandat de trei ani, își stabilește regulamentul intern de procedură și se reunește de cel puțin trei ori pe an;
• are sarcini specifice, cum ar fi adoptarea de orientări și recomandări pentru entitățile Uniunii, adoptarea unei strategii multianuale pentru creșterea nivelului de securitate cibernetică în entitățile Uniunii și instituirea unor grupuri consultative tehnice;
• ia măsuri de conformitate față de o entitate a Uniunii care nu pune în aplicare în mod eficient regulamentul, orientările, recomandările sau apelurile la acțiune.

CERT-UE:

• consiliază entitățile din Uniune în materie de securitate cibernetică, le oferă asistență pentru prevenirea, detectarea, gestionarea și atenuarea incidentelor și acționează ca centru de schimb de informații și de coordonare a răspunsului la incidente pentru aceste entități;
• este integrat în structura administrativă a unei direcții generale a Comisiei Europene, iar șeful său acționează sub autoritatea Comisiei și sub supravegherea IICB în ceea ce privește aplicarea procedurilor administrative și financiare;
• colectează, gestionează, analizează și face schimb de informații cu entitățile Uniunii cu privire la amenințări cibernetice, vulnerabilități și incidente legate de infrastructura TIC neclasificată;
• îndeplinește o gamă largă de sarcini, cum ar fi oferirea de servicii standard ale echipelor de intervenție în caz de incidente de securitate informatică (CSIRT) și menținerea unei rețele de colegi și parteneri;
• poate coopera cu comunitățile relevante în materie de securitate cibernetică din UE și din statele membre ale UE;
• organizează exerciții de securitate cibernetică;
• lansează apeluri la acțiune și propuneri de orientări și recomandări.

Raportarea incidentelor semnificative

Un incident este considerat semnificativ dacă:

• a cauzat sau poate cauza perturbări operaționale grave în funcționarea entității Uniunii sau pierderi financiare pentru entitatea Uniunii în cauză;
• a afectat sau poate afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau morale considerabile.

Entitățile din Uniune vor notifica CERT-UE și vor informa autoritățile naționale relevante cât mai curând posibil, în termen de 24 de ore de la producerea unui incident semnificativ, urmată de o raportare detaliată către CERT-UE.

CERT-UE:

• va stabili dacă există un impact inter-entități și, în caz afirmativ, va emite o alertă de securitate cibernetică;
• va prezinta un raport de sinteză la fiecare trei luni către IICB, Agenția pentru Securitate Cibernetică a Uniunii Europene (ENISA), Centrul situații și de analiză a informațiilor al Uniunii Europene (INTCEN UE) și rețeaua CSIRT, cu date anonimizate și agregate privind incidentele semnificative, incidentele, amenințările cibernetice, incidentele evitate la limită și vulnerabilitățile.

IICB:

• va emite orientări sau recomandări cu privire la:
  • modalitățile de raportare a incidentelor semnificative, precum și formatul și conținutul acestora, până la 8 iulie 2024;
  • coordonarea răspunsului la incidente și cooperarea în cazul incidentelor semnificative până la 8 ianuarie 2025.

Incidente majore

IICB va stabili un plan de gestionare a crizelor cibernetice care să includă modalități cu privire la coordonarea și fluxul de informații, proceduri standard de operare, clasificarea gravității incidentelor majore și a punctelor de declanșare a crizelor, exerciții periodice și canale de comunicare securizate.

CERT-UE:

• coordonează gestionarea incidentelor majore la nivelul entităților Uniunii;
• menține un inventar al expertizei tehnice disponibile;
• sprijină IICB în coordonarea planurilor de gestionare a crizelor cibernetice ale entităților Uniunii pentru incidente majore.

Entitățile Uniunii vor contribui la inventarul de expertiză tehnică al CERT-UE.

Revizuire

• Până la 8 ianuarie 2025 și, ulterior, anual, IICB va prezenta Comisiei un raport privind punerea în aplicare a regulamentului.
• Până la 8 ianuarie 2027 și, ulterior, o dată la doi ani, Comisia va prezenta Parlamentului European și Consiliului Uniunii Europene un raport privind punerea în aplicare a regulamentului.
• Până la 8 ianuarie 2029, Comisia va prezenta Parlamentului European, Consiliului, Comitetului Economic și Social European și Comitetului European al Regiunilor un raport privind funcționarea regulamentului.

Toate datele cu caracter personal pe care entitățile Uniunii, IICB și CERT-EU le prelucrează trebuie să respecte legislația UE privind protecția datelor, în special Regulamentul (UE) 2018/1725 (a se vedea sinteza).

DE CÂND SE APLICĂ REGULAMENTUL?

Acesta a intrat în vigoare la 7 ianuarie 2024.

CONTEXT

În rezoluția sa din martie 2021, Consiliul Uniunii Europene a subliniat importanța unui cadru de securitate solid și coerent pentru a proteja întregul personal, datele, rețelele de comunicații, sistemele informatice și procesele decizionale ale UE.

Regulamentul conține norme care sunt coerente cu Directiva (UE) 2022/2555 (a se vedea sinteza) și se aliniază la aceasta în ceea ce privește principiile și nivelul de ambiție, respectând în același timp specificitatea entităților din Uniune.

DOCUMENTUL PRINCIPAL

Regulamentul (UE, Euratom) 2023/2841 al Parlamentului European și al Consiliului din 13 decembrie 2023 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în instituțiile, organele, oficiile și agențiile Uniunii (JO L, 2023/2841, 18.12.2023).

DOCUMENTE CONEXE

Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, pp. 80-152).

Modificările succesive aduse Directivei (UE) 2022/2555 au fost integrate în textul de bază. Această versiune consolidată are doar un caracter informativ.

Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, pp. 15-69).

Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, pp. 39-98).

Data ultimei actualizări: 22.04.2024