Úradný vestník
Európskej únie
SK
Séria L
|
|
Úradný vestník |
SK Séria L |
|
2024/1101 |
12.4.2024 |
ODPORÚČANIE KOMISIE (EÚ) 2024/1101
z 11. apríla 2024
o Pláne koordinovaného vykonávania prechodu na postkvantovú kryptografiu
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 292,
so zreteľom na smernicu Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (1) (ďalej len „smernica NIS 2“),
keďže:
|
(1) |
Ochrana údajov a zabezpečenie citlivej komunikácie majú zásadný význam pre spoločnosť, hospodárstvo, bezpečnosť a prosperitu Únie. Kybernetická bezpečnosť má strategický význam pri budovaní Európy pripravenej na digitálny vek (2) a je kľúčovým cieľom politického programu Digitálne desaťročie (3). |
|
(2) |
V Stratégii EÚ pre bezpečnostnú úniu (4) aj v stratégii kybernetickej bezpečnosti EÚ (5) sa šifrovanie zdôrazňuje ako kľúčová technológia na dosiahnutie odolnosti a technologickej suverenity a na budovanie operačnej kapacity na prevenciu kybernetických útokov. Šifrovanie je pre digitálny svet v skutočnosti nevyhnutné na zabezpečovanie digitálnych systémov a transakcií, ochranu celého radu základných práv, ako aj zabezpečovanie kapacít obrany. Rôzne krajiny a súkromné subjekty sa pretekajú v rozvoji kapacít kvantovej výpočtovej techniky a v získavaní nových potenciálne cenných príležitostí, čo predstavuje hrozbu pre súčasné kryptografické normy. Tieto normy zohrávajú dôležitú úlohu pri zabezpečovaní dôvernosti a integrity údajov, ochrane citlivej komunikácie a podpore základných prvkov bezpečnosti siete. |
|
(3) |
Vzhľadom na možný vývoj kvantových počítačov v budúcnosti, ktoré budú schopné prelomiť súčasné šifrovanie, je potrebné, aby Európa hľadala silnejšie záruky, ktoré zabezpečia ochranu citlivej komunikácie a dlhodobú integritu dôverných informácií, t. j. aby čo najrýchlejšie prešla na postkvantovú kryptografiu. Tento nový typ kryptografie odstráni známe zraniteľné miesta súčasnej asymetrickej kryptografie a zvýši odolnosť voči hrozbám, ktoré predstavuje používanie kvantových počítačov so zlým úmyslom. |
|
(4) |
Komisia financuje výskum a vývoj postkvantovej kryptografie už viac ako desať rokov, pretože si uvedomuje, akú hrozbu kvantová výpočtová technika potenciálne predstavuje pre súčasnú kryptografiu s verejným kľúčom. |
|
(5) |
Členské štáty by mali zvážiť čo najskoršiu migráciu svojich súčasných digitálnych infraštruktúr a služieb pre orgány verejnej správy a iné kritické infraštruktúry na postkvantovú kryptografiu, čo vyvolá zásadnú transformáciu v šifrovacích algoritmoch, protokoloch a systémoch. Ako sa zdôrazňuje v nedávnej bielej knihe Komisie s názvom Ako zvládnuť potreby digitálnej infraštruktúry Európy, vyžaduje si to koordinované úsilie so zapojením vládnych agentúr, normalizačných orgánov, zainteresovaných strán z odvetvia, výskumných pracovníkov a odborníkov v oblasti kybernetickej bezpečnosti. |
|
(6) |
V tomto odporúčaní Komisie sa členské štáty vyzývajú, aby vypracovali komplexnú stratégiu na prijatie postkvantovej kryptografie s cieľom zabezpečiť koordinovaný a synchronizovaný prechod v jednotlivých členských štátoch a ich verejných sektoroch. V stratégii by sa mali stanoviť jasné ciele, míľniky a lehoty, na základe ktorých sa vymedzí spoločný Plán koordinovaného vykonávania prechodu na postkvantovú kryptografiu. To by malo viesť k celoúnijnému zavedeniu technológií postkvantovej kryptografie do existujúcich systémov verejnej správy a kritických infraštruktúr prostredníctvom hybridných schém, v ktorých sa postkvantová kryptografia môže kombinovať so súčasnými kryptografickými prístupmi alebo s distribúciou kvantových kľúčov. |
|
(7) |
Plán koordinovaného vykonávania prechodu na postkvantovú kryptografiu by mal v záujme toho, aby bol tento prechod účinný, obsahovať zoznam opatrení, ktorými sa majú členské štáty zaoberať, vrátane zváženia postkvantových šifrovacích algoritmov, jasné lehoty na dosiahnutie rôznych fáz a míľnikov, pri ktorých sa zohľadnia ich vzájomné závislosti, ako aj zainteresované strany, ktoré sa majú zapojiť. |
|
(8) |
Na harmonizované vykonávanie postkvantovej kryptografie v celej Únii je nevyhnutné vypracovať spoločné európske normy a vytvoriť rámec na identifikáciu a výber postkvantových šifrovacích algoritmov, ktoré sa majú zaviesť v digitálnych sieťach a službách v celej Únii. Únia už prostredníctvom aktívnej účasti výskumných pracovníkov financovaných z prostriedkov EÚ podporuje vývoj a testovanie postkvantových šifrovacích algoritmov, ktoré sa potenciálne v medzinárodných výberových konaniach v oblasti postkvantovej kryptografie môžu stať normami. V tomto odporúčaní Komisie sa členské štáty vyzývajú, aby na úrovni EÚ úzko spolupracovali s odborníkmi Únie na kybernetickú bezpečnosť, so skupinou pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti a s Agentúrou Európskej únie pre kybernetickú bezpečnosť (ENISA) na hodnotení a výbere vhodných postkvantových šifrovacích algoritmov a ich prijatí ako noriem EÚ na harmonizované vykonávanie v celej Únii. |
|
(9) |
Členské štáty a Únia by mali naďalej aktívne spolupracovať so svojimi medzinárodnými strategickými partnermi pri vypracúvaní medzinárodných noriem v oblasti postkvantovej kryptografie s cieľom zabezpečiť interoperabilitu komunikácie v budúcnosti. |
|
(10) |
Po schválení členskými štátmi by mal Plán koordinovaného vykonávania prechodu na postkvantovú kryptografiu slúžiť ako vzor na vypracovanie vnútroštátnych plánov prechodu na postkvantovú kryptografiu, prípadne na ich zosúladenie so spoločným Plánom koordinovaného vykonávania prechodu na postkvantovú kryptografiu, ak už takéto vnútroštátne plány existujú. |
|
(11) |
Komisia má v úmysle pozorne monitorovať opatrenia prijaté v reakcii na toto odporúčanie, aby sa zabezpečil pokrok v plnení jeho cieľov. Členské štáty sa preto vyzývajú, aby Komisii na jej žiadosť predložili všetky relevantné informácie, ktorých poskytnutie možno odôvodnene očakávať, s cieľom zabezpečiť takéto monitorovanie. Na základe takto získaných a všetkých ostatných dostupných informácií Komisia posúdi účinky tohto odporúčania a určí, či sú potrebné ďalšie kroky vrátane navrhnutia záväzných právnych aktov Únie. |
|
(12) |
Toto odporúčanie o postkvantovej kryptografii vychádza z politických cieľov stanovených v stratégii kybernetickej bezpečnosti EÚ na zlepšenie bezpečnosti medzi koncovými bodmi a odolnosti digitálnych infraštruktúr a služieb Únie pre orgány verejnej správy a iné kritické infraštruktúry, prispieva k dosahovaniu cieľov digitálneho jednotného trhu a spoločného oznámenia 10919/23 o Európskej stratégii hospodárskej bezpečnosti (6) a zohľadňuje riziká pre fyzickú a kybernetickú bezpečnosť kritických infraštruktúr, ako aj riziká identifikované na základe nedávno vykonaného posúdenia rizika pre kvantové technológie (7). Rešpektuje základné práva a dodržiava zásady uznané najmä v Charte základných práv Európskej únie (v článkoch 7, 8 a 11) a v Európskom dohovore o ľudských právach (v článkoch 8 a 10), z ktorých vládam vyplývajú pozitívne povinnosti minimalizovať riziko nezákonného prístupu k informáciám a kontroly nad nimi, čo si vyžaduje zabezpečenie a podporu kryptografických technológií, |
PRIJALA TOTO ODPORÚČANIE:
1. NÁPLŇ A CIELE
Účelom tohto odporúčania je podporiť prechod na postkvantovú kryptografiu na ochranu digitálnych infraštruktúr a služieb pre orgány verejnej správy a iné kritické infraštruktúry v Únii tým, že sa členským štátom umožní:
|
1. |
vymedziť Plán koordinovaného vykonávania prechodu na postkvantovú kryptografiu zameraný na synchronizáciu úsilia členských štátov pri navrhovaní a vykonávaní vnútroštátnych plánov prechodu pri súčasnom zabezpečení cezhraničnej interoperability; |
|
2. |
podporovať hodnotenie a výber relevantných postkvantových šifrovacích algoritmov EÚ s pomocou odborníkov na kybernetickú bezpečnosť, ako aj následné prijímanie takýchto algoritmov ako noriem Únie, ktoré by sa mali zaviesť v celej Únii ako súčasť Plánu koordinovaného vykonávania prechodu na postkvantovú kryptografiu; |
|
3. |
prijať vhodné a primerané opatrenia s cieľom pripraviť sa na tento prechod. |
2. PLÁN KOORDINOVANÉHO VYKONÁVANIA PRECHODU NA POSTKVANTOVÚ KRYPTOGRAFIU
|
4. |
V tomto odporúčaní sa členské štáty vyzývajú, aby koordinovali svoje činnosti na úrovni Únie prostredníctvom osobitného fóra členských štátov. Komisia odporúča, aby členské štáty na tento účel využili existujúce štruktúry na úrovni Únie v oblasti kybernetickej bezpečnosti a zriadili podskupinu skupiny pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti. Takáto podskupina by mohla zahŕňať zástupcov národných bezpečnostných agentúr a odborníkov na kybernetickú bezpečnosť, najmä z vnútroštátnych orgánov pre kybernetickú bezpečnosť a agentúry ENISA. Podskupina môže k účasti na svojej činnosti prizvať zástupcov relevantných zainteresovaných strán, napríklad zástupcov poradných orgánov verejných organizácií, zástupcov odvetvia, zástupcov poskytovateľov služieb a prevádzkovateľov, s cieľom získavať a vymieňať si informácie o prechode digitálnych infraštruktúr a služieb pre orgány verejnej správy a iné kritické infraštruktúry v rôznych odvetviach na postkvantovú kryptografiu, koordinovať úsilie na vnútroštátnej úrovni a vypracovať Plán koordinovaného vykonávania prechodu na postkvantovú kryptografiu v súlade s pravidlami hospodárskej súťaže Únie a právnymi predpismi Únie týkajúcimi sa ochrany údajov. |
|
5. |
Takáto podskupina pre postkvantovú kryptografiu by mala zvážiť vhodné, účinné a primerané opatrenia na vymedzenie a koordináciu vypracovania Plánu koordinovaného vykonávania prechodu na postkvantovú kryptografiu. Podskupina pre postkvantovú kryptografiu sa vyzýva, aby sa zapájala do diskusií s ďalšími relevantnými orgánmi, ako sú Europol, NATO a iné, s cieľom zabrániť duplicite úsilia a zabezpečiť súdržný prístup k riešeniu vznikajúcich problémov. |
|
6. |
Na tento účel sa členské štáty vyzývajú, aby krátko po uverejnení tohto odporúčania zriadili takúto podskupinu pre postkvantovú kryptografiu podľa vykonávacieho rozhodnutia Komisie (EÚ) 2017/179 (8) a aby vymenovali odborných zástupcov, ktorí by mali úzko spolupracovať s Komisiou a ktorí by mali byť poverení vymedzením a vypracovaním Plánu koordinovaného vykonávania prechodu na postkvantovú kryptografiu. |
|
7. |
Plán koordinovaného vykonávania prechodu na postkvantovú kryptografiu by mal byť k dispozícii po uplynutí dvoch rokov od uverejnenia tohto odporúčania. Ďalej bude nasledovať vypracovanie a ďalšie prispôsobenie plánov prechodu na postkvantovú kryptografiu jednotlivých členských štátov v súlade so zásadami stanovenými v Pláne koordinovaného vykonávania prechodu na postkvantovú kryptografiu. |
3. OPATRENIA NA ÚROVNI ÚNIE
|
8. |
Celkovú činnosť bude pravidelne monitorovať a posudzovať Komisia v spolupráci s odbornými zástupcami členských štátov. |
|
9. |
Na tento účel môže Komisia požiadať zástupcov členských štátov, aby predložili všetky relevantné informácie, ktorých poskytnutie možno odôvodnene očakávať, s cieľom zabezpečiť monitorovanie pokroku dosiahnutého pri vypracúvaní Plánu koordinovaného vykonávania prechodu na postkvantovú kryptografiu a účinnosti uvedených opatrení. |
|
10. |
Na základe týchto a všetkých ostatných dostupných informácií Komisia posúdi navrhované opatrenia a fungovanie siete zástupcov členských štátov a určí, či sú potrebné ďalšie kroky vrátane navrhnutia záväzných právnych aktov Únie. |
4. PRESKÚMANIE
|
11. |
Členské štáty by mali s Komisiou spolupracovať na posúdení účinkov tohto odporúčania najneskôr do troch rokov po jeho uverejnení s cieľom určiť vhodné spôsoby napredovania. V uvedenom posúdení by sa mal zohľadniť výsledok činnosti podskupiny národných expertov pre postkvantovú kryptografiu. |
V Bruseli 11. apríla 2024
Za Komisiu
Thierry BRETON
člen Komisie
(1) Ú. v. EÚ L 333, 27.12.2022, s. 80.
(2) COM(2020) 67 final.
(3) Rozhodnutie Európskeho parlamentu a Rady (EÚ) 2022/2481 zo 14. decembra 2022, ktorým sa zriaďuje politický program digitálne desaťročie do roku 2030 (Ú. v. EÚ L 323, 19.12.2022, s. 4).
(4) COM(2020) 605 final.
(5) JOIN(2020) 18 final.
(6) https://data.consilium.europa.eu/doc/document/ST-10919-2023-INIT/sk/pdf.
(7) JOIN(2023) 20 final.
(8) Vykonávacie rozhodnutie Komisie (EÚ) 2017/179 z 1. februára 2017, ktorým sa stanovujú procesné opatrenia potrebné na fungovanie skupiny pre spoluprácu podľa článku 11 ods. 5 smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 28, 2.2.2017, s. 73).
ELI: http://data.europa.eu/eli/reco/2024/1101/oj
ISSN 1977-0790 (electronic edition)