This document is an excerpt from the EUR-Lex website
Document 52023IR2191
Opinion of the European Committee of the Regions — EU Cyber Solidarity Act and digital resilience
Stanovisko Európskeho výboru regiónov – Akt EÚ o kybernetickej solidarite a digitálna odolnosť
Stanovisko Európskeho výboru regiónov – Akt EÚ o kybernetickej solidarite a digitálna odolnosť
COR 2023/02191
Ú. v. EÚ C, C/2024/1049, 9.2.2024, ELI: http://data.europa.eu/eli/C/2024/1049/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
Úradný vestník |
SK Séria C |
|
C/2024/1049 |
9.2.2024 |
Stanovisko Európskeho výboru regiónov – Akt EÚ o kybernetickej solidarite a digitálna odolnosť
(C/2024/1049)
|
I. NÁVRHY ZMIEN
COM(2023) 209
Pozmeňovací návrh 1
Odôvodnenie 1
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
So zvyšovaním miery prepojenia a vzájomnej závislosti našich verejných správ, podnikov, ako aj občanov bez ohľadu na hranice a odvetvia hospodárstva stúpa význam používania informačných a komunikačných technológií a závislosti od nich vo všetkých odvetviach hospodárskej činnosti. |
So zvyšovaním miery prepojenia a vzájomnej závislosti našich verejných správ, podnikov, ako aj občanov bez ohľadu na hranice a odvetvia hospodárstva stúpa význam používania informačných a komunikačných technológií a závislosti od nich , čím sa však vo všetkých odvetviach hospodárskej činnosti odhalili aj zraniteľné miesta . |
Zdôvodnenie
Vyplýva z textu.
Pozmeňovací návrh 2
Odôvodnenie 3
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
Je nevyhnutné posilniť konkurenčnú pozíciu odvetví priemyslu a služieb v Únii v rámci celého digitalizovaného hospodárstva a podporiť ich digitálnu transformáciu, a to posilnením úrovne kybernetickej bezpečnosti na digitálnom jednotnom trhu. Podľa odporúčaní v troch rôznych návrhoch Konferencie o budúcnosti Európy je nevyhnutné zvýšiť odolnosť občanov, podnikov a subjektov pôsobiacich v kritických infraštruktúrach voči čoraz väčším kybernetickým hrozbám, ktoré môžu mať zničujúce spoločenské a hospodárske dôsledky. […] |
Je nevyhnutné posilniť konkurenčnú pozíciu odvetví priemyslu a služieb v Únii v rámci celého digitalizovaného hospodárstva a podporiť ich digitálnu transformáciu, a to posilnením úrovne kybernetickej bezpečnosti na digitálnom jednotnom trhu. Podľa odporúčaní v troch rôznych návrhoch Konferencie o budúcnosti Európy je nevyhnutné zvýšiť odolnosť občanov, podnikov , orgánov verejnej správy na vnútroštátnej, regionálnej a miestnej úrovni, ako aj subjektov pôsobiacich v kritických infraštruktúrach voči čoraz väčším kybernetickým hrozbám, ktoré môžu mať zničujúce spoločenské a hospodárske dôsledky. […] |
Zdôvodnenie
Orgány miestnej a regionálnej správy poskytujú služby blízko k občanom, ako aj služby, ktoré majú kritický význam pre spoločnosť. Tieto orgány sú jedným z najdôležitejších prvkov dynamického európskeho trhu.
Pozmeňovací návrh 3
Odôvodnenie 29
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
V rámci opatrení v oblasti pripravenosti a v záujme presadzovania jednotného prístupu a zvýšenia bezpečnosti v celej Únii a na jej vnútornom trhu by sa mala poskytovať koordinovaná podpora na testovanie a posudzovanie kybernetickej bezpečnosti subjektov pôsobiacich v odvetviach s vysokou úrovňou kritickosti určených v súlade so smernicou (EÚ) 2022/2555. Na tento účel by Komisia s podporou agentúry ENISA a v spolupráci so skupinou pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti zriadenou na základe smernice (EÚ) 2022/2555 mala pravidelne určovať relevantné odvetvia alebo pododvetvia, ktoré by mali byť oprávnené prijímať finančnú podporu na koordinované testovanie na úrovni Únie. Odvetvia alebo pododvetvia by sa mali vyberať z prílohy I k smernici (EÚ) 2022/2555 (ďalej len „odvetvia s vysokou úrovňou kritickosti“). Výkon koordinovaného testovania […] |
V rámci opatrení v oblasti pripravenosti a v záujme presadzovania jednotného prístupu a zvýšenia bezpečnosti v celej Únii a na jej vnútornom trhu by sa mala poskytovať koordinovaná podpora na testovanie a posudzovanie kybernetickej bezpečnosti subjektov pôsobiacich v odvetviach s vysokou úrovňou kritickosti určených v súlade so smernicou (EÚ) 2022/2555. Na tento účel by Komisia s podporou agentúry ENISA a v spolupráci so skupinou pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti zriadenou na základe smernice (EÚ) 2022/2555 mala pravidelne určovať relevantné odvetvia alebo pododvetvia, ktoré by mali byť oprávnené prijímať finančnú podporu na koordinované testovanie na úrovni Únie. Odvetvia alebo pododvetvia , rovnako ako aj subjekty verejnej správy na regionálnej a miestnej úrovni bez ohľadu na to, či sa podľa vnútroštátneho práva považujú za vysoko kritické, by sa mali vyberať z prílohy I k smernici (EÚ) 2022/2555 (ďalej len „odvetvia s vysokou úrovňou kritickosti“). Výkon koordinovaného testovania […] |
Zdôvodnenie
Keďže členské štáty majú možnosť vylúčiť miestne a regionálne samosprávy z vykonávania smernice o bezpečnosti sietí a informačných systémov (1), malo by sa zabezpečiť, aby sa namiesto toho zohľadnili v akte o kybernetickej solidarite.
Pozmeňovací návrh 4
Odôvodnenie 30
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
Mechanizmus na riešenie kybernetických núdzových situácií by mal navyše ponúkať podporu na ďalšie opatrenia v oblasti pripravenosti a podporovať pripravenosť v iných odvetviach, na ktoré sa nevzťahuje koordinované testovanie subjektov pôsobiacich v odvetviach s vysokou úrovňou kritickosti . Tieto opatrenia by mohli zahŕňať rozličné druhy vnútroštátnych činností zameraných na pripravenosť. |
Mechanizmus na riešenie kybernetických núdzových situácií by mal navyše ponúkať podporu na ďalšie opatrenia v oblasti pripravenosti a podporovať pripravenosť v iných odvetviach, na ktoré sa nevzťahuje koordinované testovanie subjektov pôsobiacich v kritických odvetviach. Ten istý princíp by sa mal vzťahovať aj na subjekty verejnej správy bez ohľadu na to, či sa podľa vnútroštátneho práva považujú za kritické. Tieto opatrenia by mohli zahŕňať rozličné druhy vnútroštátnych činností zameraných na pripravenosť. |
Zdôvodnenie
Miestne a regionálne samosprávy by mali mať možnosť využívať podporu z mechanizmu na riešenie kybernetických núdzových situácií.
Pozmeňovací návrh 5
Odôvodnenie 33
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
Postupne by sa mala vytvoriť rezerva na úrovni Únie na účely kybernetickej bezpečnosti, ktorú by mali tvoriť služby súkromných poskytovateľov riadených bezpečnostných služieb na podporu opatrení reakcie a okamžitého zotavenia sa v prípadoch významných alebo rozsiahlych kybernetických incidentov. Rezerva EÚ na účely kybernetickej bezpečnosti by mala zabezpečovať dostupnosť a pripravenosť služieb. Služby rezervy EÚ na účely kybernetickej bezpečnosti by mali slúžiť na podporu vnútroštátnych orgánov pri poskytovaní pomoci zasiahnutým subjektom pôsobiacim v kritických odvetviach alebo v odvetviach s vysokou úrovňou kritickosti ako doplnok k ich vlastným opatreniam na vnútroštátnej úrovni. Keď členské štáty žiadajú o podporu z rezervy EÚ na účely kybernetickej bezpečnosti, mali by výslovne uviesť podporu poskytovanú zasiahnutému subjektu na vnútroštátnej úrovni, ktorá by sa mala zohľadniť pri posudzovaní žiadosti členského štátu. Služby rezervy EÚ na účely kybernetickej bezpečnosti sa za podobných podmienok môžu používať aj na podporu inštitúcií, orgánov a agentúr Únie. |
Postupne by sa mala vytvoriť rezerva na úrovni Únie na účely kybernetickej bezpečnosti, ktorú by mali tvoriť služby súkromných poskytovateľov riadených bezpečnostných služieb na podporu opatrení reakcie a okamžitého zotavenia sa v prípadoch významných alebo rozsiahlych kybernetických incidentov. Rezerva EÚ na účely kybernetickej bezpečnosti by mala zabezpečovať dostupnosť a pripravenosť služieb. Služby rezervy EÚ na účely kybernetickej bezpečnosti by mali slúžiť na podporu vnútroštátnych orgánov pri poskytovaní pomoci zasiahnutým subjektom ako doplnok k ich vlastným opatreniam na vnútroštátnej úrovni. Keď členské štáty žiadajú o podporu z rezervy EÚ na účely kybernetickej bezpečnosti, mali by výslovne uviesť podporu poskytovanú zasiahnutému subjektu na vnútroštátnej úrovni, ktorá by sa mala zohľadniť pri posudzovaní žiadosti členského štátu. Služby rezervy EÚ na účely kybernetickej bezpečnosti sa za podobných podmienok môžu používať aj na podporu inštitúcií, orgánov a agentúr Únie. |
Zdôvodnenie
Podporu z rezervy EÚ na kybernetickú bezpečnosť by mali dostávať zasiahnuté subjekty nielen v kritických odvetviach alebo odvetviach s vysokou úrovňou kritickosti.
Pozmeňovací návrh 6
Článok 1 ods. 2 písm. b)
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
posilniť pripravenosť subjektov pôsobiacich v kritických odvetviach a v odvetviach s vysokou úrovňou kritickosti z celej Únie a posilniť solidaritu rozvíjaním kapacít spoločnej reakcie na významné alebo rozsiahle kybernetické incidenty, a to aj sprístupnením podpory Únie týkajúcej sa reakcie na kybernetické incidenty tretím krajinám pridruženým k programu Digitálna Európa; |
posilniť pripravenosť subjektov pôsobiacich v kritických odvetviach a v odvetviach s vysokou úrovňou kritickosti z celej Únie, ako aj subjektov verejnej správy na celoštátnej a nižšej úrovni, a posilniť solidaritu rozvíjaním kapacít spoločnej reakcie na významné alebo rozsiahle kybernetické incidenty, a to aj sprístupnením podpory Únie týkajúcej sa reakcie na kybernetické incidenty tretím krajinám pridruženým k programu Digitálna Európa; |
Zdôvodnenie
Do rozsahu pôsobnosti tohto nariadenia by mali patriť aj subjekty na nižšej než celoštátnej úrovni.
Pozmeňovací návrh 7
Článok 4 ods. 1 druhý pododsek
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
Má spôsobilosť konať ako referenčný bod a brána pre ďalšie verejné a súkromné organizácie na vnútroštátnej úrovni na účely zhromažďovania a analyzovania informácií o kybernetických hrozbách a incidentoch a prispievania k cezhraničnému centru bezpečnostných operácií. […] |
Má spôsobilosť konať ako referenčný bod a brána pre ďalšie verejné a súkromné organizácie na celoštátnej a nižšej úrovni na účely zhromažďovania a analyzovania informácií o kybernetických hrozbách a incidentoch a prispievania k cezhraničnému centru bezpečnostných operácií. […] |
Zdôvodnenie
Národné centrá bezpečnostných operácií by mali zhromažďovať a analyzovať aj informácie od subjektov na regionálnej a miestnej úrovni.
Pozmeňovací návrh 8
Článok 5 ods. 2
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
V nadväznosti na výzvu na vyjadrenie záujmu kompetenčné centrum vyberie hostiteľské konzorcium na účely účasti na spoločnom obstarávaní nástrojov a infraštruktúr s kompetenčným centrom. Na financovanie prevádzky týchto nástrojov a infraštruktúr môže kompetenčné centrum udeliť hostiteľskému konzorciu grant. Až 75 % obstarávacích nákladov na nástroje a infraštruktúry a až 50 % prevádzkových nákladov pokrýva finančný príspevok Únie, pričom zvyšné náklady pokryje hostiteľské konzorcium. Pred spustením postupu nadobudnutia nástrojov a infraštruktúr kompetenčné centrum a hostiteľské konzorcium uzavrú dohodu o poskytovaní hostiteľských služieb a o používaní, ktorou sa upravuje používanie nástrojov a infraštruktúr. |
V nadväznosti na výzvu na vyjadrenie záujmu kompetenčné centrum vyberie hostiteľské konzorcium na účely účasti na spoločnom obstarávaní nástrojov a infraštruktúr s kompetenčným centrom. Na financovanie prevádzky týchto nástrojov a infraštruktúr môže kompetenčné centrum udeliť hostiteľskému konzorciu grant. Až 75 % obstarávacích nákladov na nástroje a infraštruktúry a až 50 % prevádzkových nákladov pokrýva finančný príspevok Únie, pričom zvyšné náklady pokryje hostiteľské konzorcium z iných zdrojov nepodliehajúcich nariadeniu (EÚ) 2021/1060 (nariadenie o spoločných ustanoveniach) . Pred spustením postupu nadobudnutia nástrojov a infraštruktúr kompetenčné centrum a hostiteľské konzorcium uzavrú dohodu o poskytovaní hostiteľských služieb a o používaní, ktorou sa upravuje používanie nástrojov a infraštruktúr. |
Zdôvodnenie
Opatrenia v rámci aktu o kybernetickej solidarite by sa nemali financovať z programov politiky súdržnosti.
Pozmeňovací návrh 9
Článok 9 ods. 1
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
Zriaďuje sa mechanizmus na riešenie kybernetických núdzových situácií (ďalej len „mechanizmus“) s cieľom zvýšiť odolnosť Únie voči závažným kybernetickým hrozbám a pripraviť sa na krátkodobý vplyv významných a rozsiahlych kybernetických incidentov a v duchu solidarity ho zmierňovať. |
Zriaďuje sa mechanizmus na riešenie kybernetických núdzových situácií (ďalej len „mechanizmus“) s cieľom zvýšiť odolnosť Únie voči kybernetickým hrozbám a pripraviť sa na krátkodobý vplyv významných a rozsiahlych kybernetických incidentov a v duchu solidarity ho zmierňovať. |
Zdôvodnenie
Mechanizmus na riešenie kybernetických núdzových situácií by mal slúžiť na prípravu na krátkodobé vplyv všetkých druhov kybernetických incidentov a ich zmierňovanie.
Pozmeňovací návrh 10
Článok 10 ods. 2 (nový)
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
|
2. Komisia vypracuje výročnú správu, v ktorej zhodnotí fungovanie mechanizmu a prípadnú potrebu ďalších požiadaviek týkajúcich sa spolupráce alebo odbornej prípravy. |
Zdôvodnenie
Komisia by mala predkladať pravidelné správy, keďže kybernetická bezpečnosť sa neustále vyvíja a požiadavky sa musia včas prispôsobiť realite.
Pozmeňovací návrh 11
Článok 11 ods. 1
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
Komisia na účely podpory koordinovaného testovania pripravenosti subjektov uvedeného v článku 10 ods. 1 písm. a) v celej Únii po konzultácii so skupinou pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti a s agentúrou ENISA identifikuje spomedzi odvetví s vysokou úrovňou kritickosti uvedených v prílohe I k smernici (EÚ) 2022/2555 dotknuté odvetvia alebo pododvetvia, z ktorých môžu byť subjekty podrobené koordinovanému testovaniu pripravenosti, pričom sa zohľadnia existujúce a plánované koordinované posúdenia rizík a testovanie odolnosti na úrovni Únie. |
Komisia na účely podpory koordinovaného testovania pripravenosti subjektov uvedeného v článku 10 ods. 1 písm. a) v celej Únii po konzultácii so skupinou pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti a s agentúrou ENISA identifikuje spomedzi odvetví s vysokou úrovňou kritickosti uvedených v prílohe I k smernici (EÚ) 2022/2555 dotknuté odvetvia alebo pododvetvia vrátane subjektov verejnej správy na miestnej úrovni , z ktorých môžu byť subjekty podrobené koordinovanému testovaniu pripravenosti, pričom sa zohľadnia existujúce a plánované koordinované posúdenia rizík a testovanie odolnosti na úrovni Únie. |
Zdôvodnenie
Miestne a regionálne samosprávy by mali mať možnosť využívať mechanizmus na riešenie kybernetických núdzových situácií. V pozmeňovacom návrhu sa preberá požiadavka spravodajcu uvedená v pozmeňovacom návrhu 3 (k odôvodneniu 30) a zahŕňa sa priamo do článkov.
Pozmeňovací návrh 12
Článok 14 ods. 2 písm. b)
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
druh zasiahnutého subjektu, pričom vyššia priorita sa priraďuje incidentom, ktorými sú zasiahnuté kľúčové subjekty v zmysle vymedzenia v článku 3 ods. 1 smernice (EÚ) 2022/2555; |
druh zasiahnutého subjektu vrátane subjektov verejnej správy na regionálnej a miestnej úrovni , pričom vyššia priorita sa priraďuje incidentom, ktorými sú zasiahnuté kľúčové subjekty v zmysle vymedzenia v článku 3 ods. 1 smernice (EÚ) 2022/2555; |
Zdôvodnenie
Objasnenie rozsahu pôsobnosti so zapojením subjektov na nižšej než celoštátnej úrovni.
Pozmeňovací návrh 13
Článok 18 ods. 1
|
Text navrhnutý Európskou komisiou |
Zmena navrhnutá VR |
|
Na žiadosť Komisie, siete EU-CyCLONe alebo siete jednotiek CSIRT agentúra ENISA preskúma a posúdi hrozby, zraniteľnosti a zmierňujúce opatrenia, pokiaľ ide o konkrétny významný alebo rozsiahly kybernetický incident. Po dokončení preskúmania a posúdenia incidentu predloží agentúra ENISA správu o preskúmaní incidentu sieti jednotiek CSIRT, sieti EU-CyCLONe a Komisii s cieľom podporiť ich pri plnení ich úloh, najmä so zreteľom na úlohy stanovené v článkoch 15 a 16 smernice (EÚ) 2022/2555. V prípade potreby Komisia správu poskytne vysokému predstaviteľovi. |
Na žiadosť Komisie, siete EU-CyCLONe alebo siete jednotiek CSIRT agentúra ENISA preskúma a posúdi hrozby, zraniteľnosti a zmierňujúce opatrenia, pokiaľ ide o konkrétny významný alebo rozsiahly kybernetický incident. Po dokončení preskúmania a posúdenia incidentu predloží agentúra ENISA správu o preskúmaní incidentu sieti jednotiek CSIRT, sieti EU-CyCLONe a Komisii s cieľom podporiť ich pri plnení ich úloh, najmä so zreteľom na úlohy stanovené v článkoch 15 a 16 smernice (EÚ) 2022/2555. Ak je to možné, sieť jednotiek CSIRT predloží správu orgánom na nižšej než celoštátnej úrovni. V prípade potreby Komisia správu poskytne vysokému predstaviteľovi. |
Zdôvodnenie
Objasnenie rozsahu pôsobnosti so zapojením subjektov na nižšej než celoštátnej úrovni.
II. POLITICKÉ ODPORÚČANIA
EURÓPSKY VÝBOR REGIÓNOV
víta návrh nariadenia Európskej komisie o posilnení európskej spolupráce v oblasti kybernetickej bezpečnosti. Členské štáty EÚ sú v súčasnosti úzko prepojené a digitálne zosieťované, čo sa v nadchádzajúcich rokoch ešte zintenzívni. Výbor preto víta iniciatívu Komisie, aby sa kybernetické hrozby vyplývajúce z rozširujúcej sa digitalizácie riešili spoločne. V návrhu sa poukazuje na rastúci počet kybernetických incidentov, v neposlednom rade v oblastiach, ktoré spadajú do rozsahu kompetencií miest a regiónov. Zdôrazňuje sa v ňom potreba pripraviť sa na incidenty v kritických oblastiach spoločnosti, zvládať ich a poučiť sa z nich. Európsky výbor regiónov (VR) sa domnieva, že návrhy Komisie môžu prispieť k posilneniu digitálnej odolnosti v Únii.
|
1. |
Dosiahnutie cieľa, ktorým je digitálne odolná Európa, si vyžaduje, aby politici a občania pochopili, že v oblasti kybernetickej bezpečnosti treba spojiť sily. VR preto vyzýva členské štáty, Komisiu a všetky miestne samosprávy, aby spoločne pracovali na zvyšovaní povedomia o potrebe konať vrátane potreby zvýšiť investície do digitálnej odolnosti, najmä na miestnej a regionálnej úrovni, a aby zvážili vytvorenie ochranných politických nástrojov zameraných na finančné ransomvérové útoky. To si vyžaduje primerané finančné, technické a kvalifikačné opatrenia. |
|
2. |
Výbor konštatuje, že návrh v mnohých ohľadoch odkazuje na smernicu NIS 2 a vychádza z nej. Pri transpozícii smernice NIS 2 do vnútroštátnych právnych predpisov každý členský štát určí, či subjekty verejnej správy na miestnej úrovni patria do rozsahu pôsobnosti tejto smernice (2). Keďže každý členský štát sa môže rozhodnúť, či pri vykonávaní smernice NIS 2 vymedzí obce ako zásadné alebo dôležité subjekty, akékoľvek rozdiely medzi štátmi budú mať vplyv na to, aký prístup si jednotlivé štáty zvolia k aktu o kybernetickej solidarite v jeho navrhovanej podobe. V snahe nevylúčiť z rozsahu pôsobnosti aktu o kybernetickej solidarite miestne orgány, ktoré sú v niektorých členských štátoch zodpovedné za poskytovanie základných služieb, by sa v jeho znení malo objasniť, že tieto orgány sa považujú za zahrnuté bez ohľadu na to, či sa na ne vzťahuje smernica NIS 2. |
|
3. |
Uznávajúc, že kybernetická bezpečnosť je základným kameňom digitálnej interoperability, sa domnieva, že je nevyhnutné, aby úsilie o zlepšenie interoperability medzi regiónmi bolo podporené spoľahlivými opatreniami v oblasti kybernetickej bezpečnosti s cieľom zabezpečiť, aby kybernetické hrozby nebránili interoperabilite regiónov v celej Európe. |
|
4. |
Mestá a regióny musia dostávať konkrétnu podporu zo strany štruktúr, ktoré sa majú zaviesť, nestačí len ustanoviť im povinnosť podávať týmto štruktúram správy. Výbor preto žiada, aby sa objasnil spôsob podpory regiónov, najmä s cieľom zvýšiť úroveň kybernetickej bezpečnosti v malých spoločenstvách. |
Pozície týkajúce sa rozsahu pôsobnosti návrhu
Európsky kybernetický štít
Zavedenie celoeurópskej infraštruktúry centier bezpečnostných operácií s cieľom vybudovať a posilniť spoločné spôsobilosti týkajúce sa odhaľovania, analýz a spracúvania údajov o kybernetických hrozbách a incidentoch.
|
5. |
S cieľom získať komplexný obraz o súčasnom stave kybernetickej bezpečnosti v EÚ je potrebné zhromažďovať informácie, posúdenia rizík, údaje týkajúce sa hrozieb a incidentov, a to aj od miestnych a celoštátnych poskytovateľov systémov. VR považuje za problém, že neexistujú jasné stimuly a postupy, pokiaľ ide o tom, ako môžu mestá a regióny aktívne prispievať k posilňovaniu digitálnej odolnosti. Zapojenie miestnej a regionálnej úrovne je mimoriadne dôležité, pretože táto úroveň používa digitálne riešenia, ktoré sú predmetom útokov. Preto je potrebné vytvoriť prostredie, v ktorom by sa mestá a regióny ako partneri mohli a mali zapojiť do úsilia o zvýšenie kybernetickej bezpečnosti v Únii. |
|
6. |
Výbor zistil, že existujú veľké rozdiely v úrovni pokroku medzi krajinami, pokiaľ ide o prijaté ochranné a bezpečnostné opatrenia. Značné rozdiely existujú dokonca aj v rámci krajín, napr. medzi celoštátnymi orgánmi a menšími miestnymi orgánmi, pokiaľ ide o spôsobilosti a ciele v oblasti kybernetickej bezpečnosti. Výbor sa preto domnieva, že nariadenie by malo prispieť k zmenšeniu týchto rozdielov a zabezpečiť, aby všetky zainteresované strany mali relatívne rovnocenné možnosti a ciele. |
|
7. |
Výbor upozorňuje na riziko, že úlohy novej siete národných a cezhraničných bezpečnostných operačných centier sa budú prekrývať s úlohami siete jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) (3). Ak sa popri jednotkách pre riešenie počítačových bezpečnostných incidentov zriadia národné bezpečnostné centrá, je potrebné jasne vymedziť fungovanie spolupráce a zodpovednosti národného centra bezpečnostných operácií a jednotiek CSIRT v prípade incidentu. |
|
8. |
Víta konkrétne ciele návrhu nariadenia a navrhované opatrenia. Zároveň vyjadruje poľutovanie nad tým, že napriek rastúcemu počtu kybernetických útokov súčasný návrh dostatočne nepokrýva miestne a regionálne samosprávy, a preto navrhuje, aby sa urobilo niekoľko legislatívnych zmien na odstránenie tohto nedostatku. |
|
9. |
V súčasnosti chýbajú údaje a jasné body merania incidentov, hrozieb a rizík pre obce a regióny. V rámci európskeho kybernetického štítu by sa mali vypracovať ukazovatele na posúdenie pokroku a napredovania vývoja, pokiaľ ide o vykonávanie nariadenia. Z dlhodobého hľadiska sa môžu ukazovatele premietnuť do mapy rizík založenej na údajoch, čím sa preukáže, kde je potrebné prijať väčšinu opatrení. |
Mechanizmus na riešenie kybernetickobezpečnostných núdzových situácií
Cieľom je posilniť pripravenosť, posúdiť pripravenosť v kritických odvetviach, posilniť spôsobilosť zotaviť sa po incidentoch a vytvoriť rezervu na účely kybernetickej bezpečnosti.
|
10. |
Rozsiahle kybernetické incidenty môžu byť spôsobené miestnymi udalosťami. V návrhu sa musí preukázať, ako môžu centrá bezpečnostných operácií a rezerva na účely kybernetickej bezpečnosti, zachytiť nielen závažné a rozsiahle kybernetické incidenty, ku ktorým už došlo, ale aj závažné miestne narušenia. Výmena informácií by sa nemala obmedzovať na incidenty veľkého rozsahu, ale by mala zahŕňať aj potenciálne riziká. |
|
11. |
Informácie týkajúce sa kybernetických incidentov sú často veľmi citlivé a môžu obsahovať technické podrobnosti alebo osobné údaje, ktoré momentálne nie je možné zdieľať bez zmlúv a dohôd medzi zmluvnými stranami. V súčasnosti existujú ťažkosti pri výmene informácií na národnej úrovni. Otázka cezhraničnej výmeny je preto veľmi zložitá. Na to, aby mohol mechanizmus na riešenie kybernetickobezpečnostných núdzových situácií fungovať, musí Komisia zabezpečiť, aby všetky zainteresované strany – verejné aj súkromné v rámci rezervy EÚ na účely kybernetickej bezpečnosti – mali právne a technické podmienky na výmenu a prijímanie informácií. Podľa názoru výboru sa šírenie informácií týka predovšetkým riešenia incidentov, t. j. spôsobu, akým môžu napadnuté subjekty čo najlepšie čeliť závažnému incidentu. |
|
12. |
VR víta vysokú úroveň požiadaviek uložených poskytovateľom služieb zo súkromného sektora, ktorí sú zapojení do navrhovanej rezervy na účely kybernetickej bezpečnosti. Návrh týchto požiadaviek by však nemal viesť k vylúčeniu určitých zručností alebo znalostí systému, keďže požiadavky uložené poskytovateľom bezpečnostných služieb môže splniť len niekoľko veľmi veľkých subjektov. EÚ musí pokryť širokú škálu bezpečnostných činností, aby bola čo najodolnejšia. |
|
13. |
V návrhu sa stanovuje, že rezerva na účely kybernetickej bezpečnosti pozostáva zo služieb reakcie na incidenty poskytovaných dôveryhodnými poskytovateľmi (4). Musia byť certifikované v súlade s aktom o kybernetickej bezpečnosti. Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) je zodpovedná za zabezpečenie toho, aby produkty a služby spĺňali stanovené požiadavky kybernetickej bezpečnosti. VR zdôrazňuje, že je potrebné, aby táto agentúra urýchlene vypracovala certifikačné systémy, aby bolo možné certifikovať poskytovateľov pomocou moderných technológií (5). |
|
14. |
Pri zriaďovaní rezervy na účely kybernetickej bezpečnosti sa musí zabezpečiť, že sa nebude brániť hospodárskej súťaži alebo že nebudú vylúčené subjekty pôsobiace len v častiach Únie. Zriadenie rezervy na účely kybernetickej bezpečnosti a certifikácia si vyžadujú rýchle a jasné postupy na identifikáciu najkompetentnejších a kľúčových subjektov v tejto súvislosti. |
|
15. |
VR sa domnieva, že je potrebné identifikovať národných poskytovateľov technológií a služieb pre kritické systémy a zaradiť ich do databázy. Tieto údaje môžu byť veľmi cenné v kontexte opatrení, ktoré si vyžadujú mobilizáciu miestnych subjektov. Môžu sa použiť aj v rámci činnosti Akadémie kybernetických zručností. |
|
16. |
Účinok protiopatrení v prípade incidentu závisí od rýchlosti reakcie. Vymieňané komplexné informácie o bezpečnostných incidentoch a rizikách sa musia dostať k správnym cieľovým skupinám v krátkom čase. Cieľom návrhu je vytvoriť novú organizáciu a štruktúru na výmenu informácií. VR však zdôrazňuje, že pri zriaďovaní národných a cezhraničných bezpečnostných centier je potrebné využívať a rozvíjať existujúce informačné kanály, ako sú CyCLONe (6) a CSIRT. |
Mechanizmus preskúmania kybernetických incidentov
Funkcia preskúmania kybernetických incidentov, najmä incidentov, ktoré mali významný vplyv.
|
17. |
Potreba zručností v oblasti kybernetickej bezpečnosti a ich financovania závisí od rýchleho rozvoja digitalizácie. VR víta zriadenie Akadémie kybernetických zručností Komisiou, a požaduje jasnú stratégiu na posilnenie menších miest a regiónov s obmedzenými finančnými zdrojmi vzhľadom na nedostatok zručností v EÚ. |
|
18. |
Zdôrazňuje, že silná digitálna odolnosť si vyžaduje spoluprácu rôznych subjektov, do ktorej prispievajú verejné a súkromné subjekty s odbornými znalosťami, skúsenosťami a personálom. Vyzdvihuje úlohu miestnych a regionálnych samospráv pri budovaní digitálnej odolnosti, keďže sa prostredníctvom informačných kampaní, výmeny príkladov najlepších postupov a výmeny odborných znalostí môžu navzájom podporovať. Zdôrazňuje, že čím viac podnikov investuje do svojej digitálnej odolnosti, tým vyššie sú pre ich protivníkov náklady na vykonávanie útokov, čo by mohlo slúžiť aj ako odstrašujúci prostriedok. |
|
19. |
Európske mestá a regióny v súčasnosti platia za náklady na udržanie vysokej úrovne kybernetickej bezpečnosti, ako aj náklady, ktoré vzniknú v dôsledku incidentov. VR vidí riziko v tom, že nariadenie bude vyvíjať ďalší tlak na už aj tak obmedzené zdroje. Nariadenie preto nesmie vytvárať záťaž, ale skôr prispievať k posilneniu kapacity všetkých subjektov prostredníctvom konkrétnych nástrojov, postupov a podpory. |
|
20. |
VR si kladie otázku, prečo nie je možné zdieľať správy o inšpekciách v rámci siete národných a cezhraničných bezpečnostných operačných centier. V návrhu sa stanovuje prístup k verejným informáciám len pre národné bezpečnostné operačné centrá. Na to, aby si subjekty mohli zlepšiť a rozvíjať svoju kybernetickú bezpečnosť, je nevyhnutné poučiť sa z incidentov. Všetky podrobnosti o informáciách by sa mali sprístupniť všetkým účastníkom siete. |
|
21. |
V návrhu sa len príliš všeobecne opisuje financovanie. VR navrhuje, aby sa objasnilo, ako sa budú finančné prostriedky využívať a aký podiel sa priamo pridelí regiónom a obciam. |
|
22. |
Napokon zdôrazňuje, že návrh je v súlade so zásadou subsidiarity a zásadou proporcionality. |
V Bruseli 30. novembra 2023
Predseda Európskeho výboru regiónov
Vasco ALVES CORDEIRO
(1) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).
(2) Článok 2 ods. 5 smernice NIS 2. Členské štáty môžu ustanoviť, že táto smernica sa vzťahuje na: a) subjekty verejnej správy na miestnej úrovni.
(3) V súlade s článkom 11 ods. 3 smernice NIS 2 majú jednotky CSIRT tieto úlohy:
|
a) |
monitorujú a analyzujú kybernetické hrozby, zraniteľnosti a incidenty na vnútroštátnej úrovni a na požiadanie poskytujú pomoc dotknutým kľúčovým a dôležitým subjektom s ohľadom na monitorovanie ich sietí a informačných systémov v reálnom alebo takmer v reálnom čase; |
|
b) |
zasielajú včasné varovania, výstrahy a oznámenia a šíria informácie o kybernetických hrozbách, zraniteľnostiach a incidentoch dotknutým kľúčovým a dôležitým subjektom, ako aj príslušným orgánom a ďalším relevantným zainteresovaným stranám pokiaľ možno takmer v reálnom čase; |
|
c) |
podľa potreby reagujú na incidenty a poskytujú pomoc dotknutým kľúčovým a dôležitým subjektom; |
|
d) |
zhromažďujú a analyzujú forenzné údaje a poskytujú dynamickú analýzu rizík a incidentov a informácie o situácii v kybernetickej bezpečnosti; |
|
e) |
na žiadosť kľúčového alebo dôležitého subjektu umožňujú aktívne skenovanie siete a informačných systémov dotknutého subjektu s cieľom odhaľovať zraniteľnosti s potenciálnym významným dosahom; |
|
f) |
účasť v sieti jednotiek CSIRT a poskytovanie vzájomnej pomoci podľa svojich kapacít a kompetencií ostatným členom siete jednotiek CSIRT na ich žiadosť; |
|
g) |
v prípade potreby pôsobia ako koordinátor na účely koordinovaného zverejňovania zraniteľností podľa článku 12 ods. 1; |
|
h) |
prispievajú k zavádzaniu bezpečných nástrojov na výmenu informácií podľa článku 10 ods. 3 |
(4) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).
(5) Agentúra ENISA v súčasnosti vyvíja tri certifikačné mechanizmy, ktoré ešte nie sú dokončené a ktoré sa týkajú IKT, 5G a cloudových služieb. https://www.enisa.europa.eu/topics/standards/certification/eu-cybersecurity-certification-faq
(6) Smernica NIS 2, článok 16 ods. 1 a 3.
Európska sieť styčných organizácií pre kybernetické kríz (EU-CyCLONe):
|
1. |
Sieť EU-CyCLONe sa zriaďuje s cieľom podporiť koordinované riadenie rozsiahlych kybernetických incidentov a kríz na operačnej úrovni a zabezpečiť pravidelnú výmenu relevantných informácií medzi členskými štátmi a inštitúciami, orgánmi, úradmi a agentúrami Únie. |
|
3. |
Sieť EU-CyCLONe plní tieto úlohy:
|
ELI: http://data.europa.eu/eli/C/2024/1049/oj
ISSN 1977-1037 (electronic edition)