Akt o kybernetickej bezpečnosti EÚ
ZHRNUTIE K DOKUMENTOM:
Nariadenie (EÚ) 2019/881 o Agentúre Európskej únie pre kybernetickú bezpečnosť a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií (akt o kybernetickej bezpečnosti)
AKÝ JE CIEĽ TOHTO NARIADENIA?
Jeho cieľom je dosiahnuť vysokú úroveň kybernetickej bezpečnosti, kybernetickej odolnosti a dôvery v Európskej únii (EÚ) stanovením:
- cieľov, úloh a organizačných aspektov pre posilnenú a premenovanú Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA) s novým trvalým mandátom,
- rámca pre dobrovoľné európske systémy certifikácie kybernetickej bezpečnosti pre produkty, služby a procesy informačných a komunikačných technológií (IKT).
HLAVNÉ BODY
Mandátom agentúry ENISA je:
- dosiahnuť vysokú spoločnú úroveň kybernetickej bezpečnosti v celej EÚ,
- podporovať vnútroštátne orgány a inštitúcie, orgány, úrady a agentúry EÚ pri zlepšovaní kybernetickej bezpečnosti,
- pôsobiť ako referenčné miesto pre vedecké a technické poradenstvo a odborné znalosti v oblasti kybernetickej bezpečnosti pre inštitúcie, orgány, úrady a agentúry EÚ, ako aj pre iné príslušné zainteresované strany,
- prispievať k zníženiu fragmentácie vnútorného trhu,
- konať nezávisle, vyhýbať sa zdvojovaniu vnútroštátnych činností a zohľadňovať vnútroštátne odborné znalosti,
- rozvíjať vlastné technické a ľudské zdroje a zdroje zručností.
ENISA má tieto úlohy:
- prispievať k tvorbe a vykonávaniu politiky a práva EÚ,
- podporovať budovanie kapacít, napríklad zlepšovaním prevencie, odhaľovania a analýzy kybernetických hrozieb* a reakcií na ne a pomocou pri rozvoji vnútroštátnych jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) alebo organizovaním kybernetickobezpečnostných cvičení na úrovni EÚ,
- podporovať operačnú spoluprácu EÚ medzi všetkými zúčastnenými stranami vrátane Služby kybernetickej bezpečnosti pre inštitúcie, orgány a agentúry Únie (CERT-EU), a to najmä prostredníctvom výmeny know-how a osvedčených postupov, poskytovania príslušných usmernení a obsluhy siete CSIRT EÚ a vnútroštátnych sietí,
- podporovať a presadzovať tvorbu a vykonávanie politiky EÚ v oblasti certifikácie kybernetickej bezpečnosti produktov, služieb a procesov IKT v rámci svojej úlohy pri príprave systémov podľa nového rámca EÚ pre certifikáciu kybernetickej bezpečnosti,
- zhromažďovať a analyzovať vedomosti a informácie o kybernetickej bezpečnosti, predovšetkým o nových technológiách, kybernetických hrozbách a incidentoch, s cieľom poskytovať informácie a poradenstvo vnútroštátnym orgánom, príslušným zainteresovaným stranám a prostredníctvom vyhradeného portálu aj verejnosti (občanom, organizáciám a podnikom),
- zvyšovať povedomie verejnosti o rizikách v oblasti kybernetickej bezpečnosti, poskytovať usmernenia o osvedčených postupoch pre jednotlivých používateľov a podporovať povedomie o kybernetickej bezpečnosti a vzdelávanie vo všeobecnosti,
- radiť o potrebách a prioritách výskumu a prispievať do strategického programu EÚ pre výskum a inováciu v oblasti kybernetickej bezpečnosti,
- prispievať k úsiliu EÚ o spoluprácu v oblasti kybernetickej bezpečnosti s jej medzinárodnými partnermi a organizáciami.
Administratívnu a riadiacu štruktúru agentúry ENISA tvoria:
- správna rada, v ktorej je jeden zástupca z každého členského štátu EÚ a dvaja členovia vymenovaní Európskou komisiou, určuje všeobecné smerovanie činností agentúry a zabezpečuje, aby agentúra vykonávala svoje úlohy za podmienok, ktoré jej umožňujú slúžiť v súlade so zakladajúcim nariadením,
- výkonná rada s piatimi členmi, ktorá pripravuje rozhodnutia prijímané správnou radou,
- nezávislý výkonný riaditeľ, ktorý sa zodpovedá správnej rade a na vyzvanie podáva správy Európskemu parlamentu a Rade Európskej únie, je zodpovedný za riadenie agentúry,
- poradná skupina agentúry ENISA zložená z uznávaných expertov z príslušných zainteresovaných strán, ako sú odvetvie IKT, poskytovatelia elektronických komunikačných sietí alebo služieb, malé a stredné podniky, spotrebitelia, akademici, prevádzkovatelia základných služieb aj zástupcovia príslušných orgánov, voči ktorým sa plní oznamovacia povinnosť podľa európskeho kódexu elektronických komunikácií, normalizačné organizácie, orgány presadzovania práva a dozorné orgány v oblasti ochrany údajov, sa zameriava na otázky dôležité pre zainteresované strany a upriamuje pozornosť agentúry ENISA na ne,
- sieť národných styčných úradníkov zložená zo zástupcov všetkých členských štátov uľahčuje výmenu informácií medzi agentúrou ENISA a členskými štátmi a podporuje agentúru ENISA pri rozširovaní informácií o jej činnosti, zisteniach a odporúčaniach.
Nariadením sa vytvárajú tieto subjekty:
- skupina zainteresovaných strán pre certifikáciu kybernetickej bezpečnosti zložená z uznávaných expertov, ktorá napríklad radí Európskej komisii o strategických otázkach, pokiaľ ide o rámec EÚ pre certifikáciu kybernetickej bezpečnosti, a na požiadanie radí agentúre ENISA o všeobecných a strategických otázkach týkajúcich sa príslušných úloh agentúry,
- európska skupina pre certifikáciu kybernetickej bezpečnosti (ECCG) zložená z vnútroštátnych zástupcov, ktorá radí a pomáha Komisii v jej úsilí o zabezpečenie konzistentného vykonávania a uplatňovania tohto aktu a agentúre ENISA v súvislosti s vypracúvaním kandidátskych certifikačných systémov.
ENISA:
- sa zriaďuje na dobu neurčitú od 27. júna 2019,
- vykonáva činnosť podľa jednotného programového dokumentu, ktorý obsahuje jej ročné a viacročné plánovanie,
- riadi sa bezpečnostnými predpismi Komisie na ochranu citlivých neutajovaných skutočností a utajovaných skutočností EÚ,
- nevyzradzuje tretím stranám dôverné informácie, ktoré spracúva alebo získava,
- v plnej miere sa zúčastňuje na opatreniach EÚ na boj proti podvodom, korupcii a iným nezákonným činnostiam,
- spracúva osobné údaje v súlade s príslušnými pravidlami EÚ.
Nariadením sa ustanovuje európsky rámec certifikácie kybernetickej bezpečnosti s cieľom:
- zlepšiť fungovanie vnútorného trhu zvýšením úrovne kybernetickej bezpečnosti v EÚ a umožnením harmonizovaného prístupu k európskym systémom certifikácie kybernetickej bezpečnosti na úrovni EÚ s cieľom vytvoriť digitálny jednotný trh pre produkty, služby a procesy IKT,
- vytvoriť mechanizmus zavádzania systémov certifikácie, ktoré potvrdzujú, že produkty, služby a procesy IKT vyhodnotené v súlade s týmito systémami spĺňajú špecifikované bezpečnostné požiadavky s cieľom chrániť dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo funkcií či služieb, ktoré tieto produkty, služby a procesy poskytujú alebo sprístupňujú, a to počas celého ich životného cyklu.
V tomto rámci:
- Komisia:
- uverejňuje priebežný pracovný program EÚ pre európsku certifikáciu kybernetickej bezpečnosti, v ktorom sa určia strategické priority a produkty, služby a procesy alebo kategórie IKT, ktoré by mohli mať zo systému prospech,
- môže požiadať agentúru ENISA, aby vypracovala kandidátsky systém certifikácie alebo preskúmala existujúci systém.
- ENISA:
- vypracúva na základe žiadosti Komisie alebo Skupiny pre certifikáciu kybernetickej bezpečnosti vhodné návrhy systémov,
- každých päť rokov preskúmava každý prijatý systém certifikácie, pričom berie do úvahy poskytnutú spätnú väzbu,
- udržiava vyhradené webové sídlo, ktoré poskytuje informácie o systémoch, certifikátoch a vyhláseniach o zhode.
Dobrovoľné európske systémy certifikácie kybernetickej bezpečnosti:
- majú za cieľ dosiahnuť rôzne ciele bezpečnosti, ako sú napríklad ochrana uchovávaných, prenášaných a spracúvaných údajov,
- označujú stupeň bezpečnosti produktov, služieb a procesov IKT ako „základný“, „pokročilý“ alebo „vysoký“,
- umožňujú výrobcom a poskytovateľom produktov, služieb a procesov IKT s nízkym rizikom (t. j. základných), aby ich sami posudzovali (vlastné posúdenie zhody),
- musia zahŕňať určité prvky, ako sú jasné opisy účelu, predmetu a rozsahu pôsobnosti a používaných hodnotiacich kritérií a metód,
- nahrádzajú podobné vnútroštátne certifikáty, avšak tieto certifikáty platia naďalej až do konca doby ich platnosti.
Výrobcovia a poskytovatelia certifikovaných produktov, služieb a procesov IKT musia zverejniť:
- poradenstvo a odporúčania s cieľom pomôcť koncovým používateľom inštalovať, uplatňovať a udržiavať ich produkty alebo služby,
- informácie o období, počas ktorého sa budú poskytovať bezpečnostnú podporu,
- svoje kontaktné údaje,
- odkazy na online registre s informáciami o známych záležitostiach v oblasti kybernetickej bezpečnosti, ktoré sa dotýkajú ich produktov alebo služieb.
Členské štáty vymenujú jeden alebo viac vnútroštátnych orgánov pre certifikáciu kybernetickej bezpečnosti s dostatočnými zdrojmi a právomocami na sledovanie a vymáhanie pravidiel európskych systémov certifikácie kybernetickej bezpečnosti a dohľad nad nimi.
Komisia:
- pravidelne posudzuje účinnosť a používanie prijatých systémov certifikácie a zvažuje, či by niektorý systém mal byť povinný,
- mala dokončiť svoje prvé podrobné posúdenie do 31. decembra 2023 a následne každé dva roky ďalšie;
- mala vyhodnotiť vplyv, účinnosť a efektívnosť agentúry ENISA do 28. júna 2024 a následne každých päť rokov.
Fyzické a právnické osoby majú právo podať sťažnosť vydavateľovi európskeho certifikátu kybernetickej bezpečnosti a žiadať účinnú súdnu nápravu.
Vykonávací akt
V januári 2024 Komisia prijala vykonávacie nariadenie (EÚ) 2024/482 (pozri zhrnutie). Týmto aktom sa stanovujú pravidlá uplatňovania nariadenia (EÚ) 2019/881, pokiaľ ide o prijatie dobrovoľného Európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC). Ide o prvý systém na úrovni EÚ, ktorý sa týka certifikátov na „pokročilej“ alebo „vysokej“ úrovni záruky pre produkty IKT, ako je hardvér a softvér vrátane komponentov, ako sú čipy a čipové karty. Nariadenie obsahuje podrobné pravidlá o aspektoch, ako sú:
- normy a požiadavky na hodnotenie, vydávanie, obnovovanie a odnímanie osvedčení EUCC pre výrobky a ochranné profily;
- orgány posudzovania zhody akreditované na vydávanie certifikátov alebo vykonávanie hodnotiacich činností;
- monitorovanie zhody, nesúladu a nedodržiavania predpisov;
- postupy spravovania hrozieb a rizík a zverejňovania zraniteľností;
- uchovávanie záznamov, zverejňovanie a ochrana informácií;
- dohody o vzájomnom uznávaní s krajinami mimo EÚ;
- vzájomné hodnotenie certifikačných orgánov;
- údržba systéme a
- vnútroštátne systémy certifikácie kybernetickej bezpečnosti, na ktoré sa vzťahuje EUCC.
Vykonávacie nariadenie EUCC sa bude uplatňovať od 27. februára 2025.
Nariadenie (EÚ) 2019/881 a súvisiace vykonávacie nariadenie nemá vplyv na zodpovednosť členských štátov za verejnú bezpečnosť, obranu, národnú bezpečnosť a trestné právo.
Týmto nariadením sa od 27. júna 2019 zrušuje nariadenie (EÚ) č. 526/2013.
ODKEDY SA NARIADENIE UPLATŇUJE?
Nariadenie sa uplatňuje od 27. júna 2019.
Články o vymenovaní vnútroštátnych orgánov pre kybernetickú bezpečnosť, akreditácii a oznamovaní orgánov posudzovania zhody, práve podávať sťažnosti vydavateľom európskych certifikátov kybernetickej bezpečnosti a práve na súdny prostriedok nápravy, ako aj o sankciách, sa uplatňujú od 28. júna 2021.
KONTEXT
Agentúra ENISA so sídlom v Aténach a s pobočkou v Heraklione prispieva k sieťovej a informačnej bezpečnosti EÚ od roku 2004. Ďalšie informácie:
HLAVNÉ POJMY
Kybernetická hrozba. Potenciálna okolnosť, udalosť alebo činnosť, ktorá by mohla poškodiť, narušiť alebo negatívne ovplyvniť siete a informačné systémy, ich používateľov a iné osoby.
HLAVNÝ DOKUMENT
Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15 – 69).
SÚVISIACE DOKUMENTY
Vykonávacie nariadenie Komisie (EÚ) 2024/482 z 31. januára 2024, ktorým sa stanovujú pravidlá uplatňovania nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881, pokiaľ ide o prijatie európskeho systému certifikácie kybernetickej bezpečnosti založeného na spoločných kritériách (EUCC) (Ú. v. EÚ L, 2024/482, 7.2.2024).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39 – 98).
Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1 – 30).
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88).
Následné opravy nariadenia (EÚ) 2016/679 boli zapracované do pôvodného textu. Toto konsolidované znenie slúži len na dokumentačné účely.
Posledná aktualizácia 18.06.2024