Akt o kybernetickej bezpečnosti EÚ

 

ZHRNUTIE K DOKUMENTOM:

Nariadenie (EÚ) 2019/881 o Agentúre Európskej únie pre kybernetickú bezpečnosť a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií (akt o kybernetickej bezpečnosti)

AKÝ JE CIEĽ TOHTO NARIADENIA?

Jeho cieľom je dosiahnuť vysokú úroveň kybernetickej bezpečnosti, kybernetickej odolnosti a dôvery v Európskej únii (EÚ) stanovením:

• cieľov, úloh a organizačných aspektov pre posilnenú a premenovanú Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA) s novým trvalým mandátom,
• rámca pre dobrovoľné európske systémy certifikácie kybernetickej bezpečnosti pre produkty, služby a procesy informačných a komunikačných technológií (IKT).

HLAVNÉ BODY

Mandátom agentúry ENISA je:

• dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v celej EÚ,
• podporovať vnútroštátne orgány a inštitúcie, orgány, úrady a agentúry EÚ pri zlepšovaní kybernetickej bezpečnosti,
• pôsobiť ako referenčné miesto pre vedecké a technické poradenstvo a odborné znalosti v oblasti kybernetickej bezpečnosti pre inštitúcie, orgány, úrady a agentúry EÚ, ako aj pre iné príslušné zainteresované strany,
• prispievať k zníženiu fragmentácie vnútorného trhu,
• konať nezávisle, vyhýbať sa zdvojovaniu vnútroštátnych činností a zohľadňovať vnútroštátne odborné znalosti,
• rozvíjať vlastné technické a ľudské zdroje a zdroje zručností.

ENISA má tieto úlohy:

• prispievať k tvorbe a vykonávaniu politiky a práva EÚ,
• podporovať budovanie kapacít, napríklad zlepšovaním prevencie, odhaľovania a analýzy kybernetických hrozieb* a reakcií na ne a pomocou pri rozvoji vnútroštátnych jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) alebo organizovaním kybernetickobezpečnostných cvičení na úrovni EÚ,
• podporovať operačnú spoluprácu EÚ medzi všetkými zúčastnenými stranami vrátane Služby kybernetickej bezpečnosti pre inštitúcie, orgány a agentúry Únie (CERT-EU), a to najmä prostredníctvom výmeny know-how a osvedčených postupov, poskytovania príslušných usmernení a obsluhy siete CSIRT EÚ a vnútroštátnych sietí,
• podporovať a presadzovať tvorbu a vykonávanie politiky EÚ v oblasti certifikácie kybernetickej bezpečnosti produktov, služieb a procesov IKT v rámci svojej úlohy pri príprave systémov podľa nového rámca EÚ pre certifikáciu kybernetickej bezpečnosti,
• zhromažďovať a analyzovať vedomosti a informácie o kybernetickej bezpečnosti, predovšetkým o nových technológiách, kybernetických hrozbách a incidentoch, s cieľom poskytovať informácie a poradenstvo vnútroštátnym orgánom, príslušným zainteresovaným stranám a prostredníctvom vyhradeného portálu aj verejnosti (občanom, organizáciám a podnikom),
• zvyšovať povedomie verejnosti o rizikách v oblasti kybernetickej bezpečnosti, poskytovať usmernenia o osvedčených postupoch pre jednotlivých používateľov a podporovať povedomie o kybernetickej bezpečnosti a vzdelávanie vo všeobecnosti,
• radiť o potrebách a prioritách výskumu a prispievať do strategického programu EÚ pre výskum a inováciu v oblasti kybernetickej bezpečnosti,
• prispievať k úsiliu EÚ o spoluprácu v oblasti kybernetickej bezpečnosti s jej medzinárodnými partnermi a organizáciami.

Administratívnu a riadiacu štruktúru agentúry ENISA tvoria:

• správna rada, v ktorej je jeden zástupca z každého členského štátu EÚ a dvaja členovia vymenovaní Európskou komisiou, určuje všeobecné smerovanie činností agentúry a zabezpečuje, aby agentúra vykonávala svoje úlohy za podmienok, ktoré jej umožňujú slúžiť v súlade so zakladajúcim nariadením,
• výkonná rada s piatimi členmi, ktorá pripravuje rozhodnutia prijímané správnou radou,
• nezávislý výkonný riaditeľ, ktorý sa zodpovedá správnej rade a na vyzvanie podáva správy Európskemu parlamentu a Rade Európskej únie, je zodpovedný za riadenie agentúry,
• poradná skupina agentúry ENISA zložená z uznávaných expertov z príslušných zainteresovaných strán, ako sú odvetvie IKT, poskytovatelia elektronických komunikačných sietí alebo služieb, malé a stredné podniky, spotrebitelia, akademici, prevádzkovatelia základných služieb aj zástupcovia príslušných orgánov, voči ktorým sa plní oznamovacia povinnosť podľa európskeho kódexu elektronických komunikácií, normalizačné organizácie, orgány presadzovania práva a dozorné orgány v oblasti ochrany údajov, sa zameriava na otázky dôležité pre zainteresované strany a upriamuje pozornosť agentúry ENISA na ne,
• sieť národných styčných úradníkov zložená zo zástupcov všetkých členských štátov uľahčuje výmenu informácií medzi agentúrou ENISA a členskými štátmi a podporuje agentúru ENISA pri rozširovaní informácií o jej činnosti, zisteniach a odporúčaniach.

Nariadením sa vytvárajú tieto subjekty:

• skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti zložená z uznávaných expertov, ktorá napríklad radí Európskej komisii o strategických otázkach, pokiaľ ide o rámec EÚ pre certifikáciu kybernetickej bezpečnosti, a na požiadanie radí agentúre ENISA o všeobecných a strategických otázkach týkajúcich sa príslušných úloh agentúry,
• európska skupina pre certifikáciu kybernetickej bezpečnosti (ECCG) zložená z vnútroštátnych zástupcov, ktorá radí a pomáha Komisii v jej úsilí o zabezpečenie konzistentného vykonávania a uplatňovania tohto aktu a agentúre ENISA v súvislosti s vypracúvaním kandidátskych certifikačných systémov.

ENISA:

• sa zriaďuje na dobu neurčitú od 27. júna 2019,
• vykonáva činnosť podľa jednotného programového dokumentu, ktorý obsahuje jej ročné a viacročné plánovanie,
• riadi sa bezpečnostnými predpismi Komisie na ochranu citlivých neutajovaných skutočností a utajovaných skutočností EÚ,
• nevyzradzuje tretím stranám dôverné informácie, ktoré spracúva alebo získava,
• v plnej miere sa zúčastňuje na opatreniach EÚ na boj proti podvodom, korupcii a iným nezákonným činnostiam,
• spracúva osobné údaje v súlade s príslušnými pravidlami EÚ.

Nariadením sa ustanovuje európsky rámec certifikácie kybernetickej bezpečnosti s cieľom:

• zlepšiť fungovanie vnútorného trhu zvýšením úrovne kybernetickej bezpečnosti v EÚ a umožnením harmonizovaného prístupu k európskym systémom certifikácie kybernetickej bezpečnosti na úrovni EÚ s cieľom vytvoriť digitálny jednotný trh pre produkty, služby a procesy IKT,
• vytvoriť mechanizmus zavádzania systémov certifikácie, ktoré potvrdzujú, že produkty, služby a procesy IKT vyhodnotené v súlade s týmito systémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas celého ich životného cyklu.

V tomto rámci:

• Komisia:
  • uverejňuje priebežný pracovný program EÚ pre európsku certifikáciu kybernetickej bezpečnosti, v ktorom sa určia strategické priority a produkty, služby a procesy alebo kategórie IKT, ktoré by mohli mať zo systému prospech,
  • môže požiadať agentúru ENISA, aby vypracovala kandidátsky systém certifikácie alebo preskúmala existujúci systém.
• ENISA:
  • vypracúva na základe žiadosti Komisie alebo Skupiny pre certifikáciu kybernetickej bezpečnosti vhodné návrhy systémov,
  • každých päť rokov preskúmava každý prijatý systém certifikácie, pričom berie do úvahy poskytnutú spätnú väzbu,
  • udržiava vyhradené webové sídlo, ktoré poskytuje informácie o systémoch, certifikátoch a vyhláseniach o zhode.

Dobrovoľné európske systémy certifikácie kybernetickej bezpečnosti:

• majú za cieľ dosiahnuť rôzne ciele bezpečnosti, ako sú napríklad ochrana uchovávaných, prenášaných a spracúvaných údajov,
• označujú stupeň bezpečnosti produktov, služieb a procesov IKT ako „základný“, „pokročilý“ alebo „vysoký“,
• umožňujú výrobcom a poskytovateľom produktov, služieb a procesov IKT s nízkym rizikom (t. j. základných), aby ich sami posudzovali (vlastné posúdenie zhody),
• musia zahŕňať určité prvky, ako sú jasné opisy účelu, predmetu a rozsahu pôsobnosti a používaných hodnotiacich kritérií a metód,
• nahrádzajú podobné vnútroštátne certifikáty, avšak tieto certifikáty platia naďalej až do konca doby ich platnosti.

Výrobcovia a poskytovatelia certifikovaných produktov, služieb a procesov IKT musia zverejniť:

• poradenstvo a odporúčania s cieľom pomôcť koncovým používateľom inštalovať, uplatňovať a udržiavať ich produkty alebo služby,
• informácie o období, počas ktorého sa budú poskytovať bezpečnostnú podporu,
• svoje kontaktné údaje,
• odkazy na online registre s informáciami o známych záležitostiach v oblasti kybernetickej bezpečnosti, ktoré sa dotýkajú ich produktov alebo služieb.

Členské štáty vymenujú jeden alebo viac vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti s dostatočnými zdrojmi a právomocami na sledovanie a vymáhanie pravidiel európskych systémov certifikácie kybernetickej bezpečnosti a dohľad nad nimi.

Komisia:

• pravidelne posudzuje účinnosť a používanie prijatých systémov certifikácie a zvažuje, či by niektorý systém mal byť povinný,
• mala dokončiť svoje prvé podrobné posúdenie do 31. decembra 2023 a následne každé dva roky ďalšie;
• mala vyhodnotiť vplyv, účinnosť a efektívnosť agentúry ENISA do 28. júna 2024 a následne každých päť rokov.

Fyzické a právnické osoby majú právo podať sťažnosť vydavateľovi európskeho certifikátu kybernetickej bezpečnosti a žiadať účinnú súdnu nápravu.

Vykonávací akt

V januári 2024 Komisia prijala vykonávacie nariadenie (EÚ) 2024/482 (pozri zhrnutie). Týmto aktom sa stanovujú pravidlá uplatňovania nariadenia (EÚ) 2019/881, pokiaľ ide o prijatie dobrovoľného Európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC). Ide o prvý systém na úrovni EÚ, ktorý sa týka certifikátov na „pokročilej“ alebo „vysokej“ úrovni záruky pre produkty IKT, ako je hardvér a softvér vrátane komponentov, ako sú čipy a čipové karty. Nariadenie obsahuje podrobné pravidlá o aspektoch, ako sú:

• normy a požiadavky na hodnotenie, vydávanie, obnovovanie a odnímanie osvedčení EUCC pre výrobky a ochranné profily;
• orgány posudzovania zhody akreditované na vydávanie certifikátov alebo vykonávanie hodnotiacich činností;
• monitorovanie zhody, nesúladu a nedodržiavania predpisov;
• postupy spravovania hrozieb a rizík a zverejňovania zraniteľností;
• uchovávanie záznamov, zverejňovanie a ochrana informácií;
• dohody o vzájomnom uznávaní s krajinami mimo EÚ;
• vzájomné hodnotenie certifikačných orgánov;
• údržba systéme a
• vnútroštátne systémy certifikácie kybernetickej bezpečnosti, na ktoré sa vzťahuje EUCC.

Vykonávacie nariadenie EUCC sa bude uplatňovať od 27. februára 2025.

Nariadenie (EÚ) 2019/881 a súvisiace vykonávacie nariadenie nemá vplyv na zodpovednosť členských štátov za verejnú bezpečnosť, obranu, národnú bezpečnosť a trestné právo.

Týmto nariadením sa od 27. júna 2019 zrušuje nariadenie (EÚ) č. 526/2013.

ODKEDY SA NARIADENIE UPLATŇUJE?

Nariadenie sa uplatňuje od 27. júna 2019.

Články o vymenovaní vnútroštátnych orgánov pre kybernetickú bezpečnosť, akreditácii a oznamovaní orgánov posudzovania zhody, práve podávať sťažnosti vydavateľom európskych certifikátov kybernetickej bezpečnosti a práve na súdny prostriedok nápravy, ako aj o sankciách, sa uplatňujú od 28. júna 2021.

KONTEXT

Agentúra ENISA so sídlom v Aténach a s pobočkou v Heraklione prispieva k sieťovej a informačnej bezpečnosti EÚ od roku 2004. Ďalšie informácie:

• O ENISA – Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA)
• Certifikácia kybernetickej bezpečnosti EÚ (ENISA)
• Politiky kybernetickej bezpečnosti (Európska komisia).

HLAVNÉ POJMY

HLAVNÝ DOKUMENT

Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15 – 69).

SÚVISIACE DOKUMENTY

Vykonávacie nariadenie Komisie (EÚ) 2024/482 z 31. januára 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC) (Ú. v. EÚ L, 2024/482, 7.2.2024).

Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39 – 98).

Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1 – 30).

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88).

Následné opravy nariadenia (EÚ) 2016/679 boli zapracované do pôvodného textu. Toto konsolidované znenie slúži len na dokumentačné účely.

Posledná aktualizácia 18.06.2024