Akt EU o kibernetski varnosti

 

POVZETEK:

Uredba (EU) 2019/881 o Agenciji Evropske unije za kibernetsko varnost in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti (Akt o kibernetski varnosti)

KAJ JE NAMEN TE UREDBE?

Namen te uredbe je doseči visoko raven kibernetske varnosti, kibernetske odpornosti in zaupanja v Evropsko unijo (EU) z določitvijo:

• ciljev, nalog in organizacijskih zadev za okrepljeno in preimenovano Agencijo Evropske unije za kibernetsko varnost (ENISA) z novim trajnim mandatom,
• okvira za prostovoljne evropske certifikacijske sheme za proizvode, storitve in postopke informacijske in komunikacijske tehnologije (IKT).

KLJUČNE TOČKE

Agencija ENISA ima mandat za:

• doseganje visoke skupne ravni kibernetske varnosti v vsej EU,
• podpiranje nacionalnih organov ter institucij, organov, uradov in agencij EU za izboljšanje kibernetske varnosti,
• delovanje kot referenčna točka za znanstveno in tehnično svetovanje ter strokovno znanje v zvezi s kibernetsko varnostjo za institucije, organe, urade in agencije EU ter druge ustrezne deležnike,
• prispevanje k zmanjšanju razdrobljenosti notranjega trga,
• neodvisno delovanje, izogibanje podvajanju nacionalnih dejavnosti in upoštevanje nacionalnega strokovnega znanja,
• razvoj lastnih tehničnih in človeških virov ter veščin.

Naloge agencije ENISA so:

• oblikovati in izvajati politike in pravo EU,
• podpirati krepitev zmogljivosti, na primer z izboljšanim preprečevanjem, odkrivanjem in analiziranjem kibernetskih groženj* ter odzivanjem nanje in s pomočjo pri oblikovanju nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT) ali z organiziranjem vaj na področju kibernetske varnosti na ravni EU;
• podpirati operativno sodelovanje v EU med vsemi vključenimi akterji, vključno s storitvijo kibernetske varnosti EU za institucije, organe, urade in agencije Unije (CERT-EU), zlasti z izmenjavo strokovnega znanja in najboljših praks, zagotavljanjem ustreznih smernic ter delovanjem mreže skupin CSIRT na nacionalni ravni in ravni EU,
• podpirati in spodbujati razvoj in izvajanje certificiranja kibernetske varnosti proizvodov, storitev in postopkov IKT na ravni EU kot del vloge pri pripravi shem na podlagi novega evropskega certifikacijskega okvira za kibernetsko varnost,
• zbirati in analizirati znanje in informacije o kibernetski varnosti, na primer zlasti v zvezi z nastajajočimi tehnologijami, kibernetskimi grožnjami in incidenti, zaradi zagotavljanja informacij in svetovanja nacionalnim organom, ustreznim deležnikom in javnosti (državljanom, organizacijam in podjetjem) prek namenskega portala,
• ozaveščati javnost o tveganjih na področju kibernetske varnosti, zagotavljati smernice o dobrih praksah za posamezne uporabnike in spodbujati ozaveščenost in izobraževanje o kibernetski varnosti na splošno,
• svetovati o potrebah po raziskavah in prispevati k strateškemu načrtu raziskav in inovacij EU na področju kibernetske varnosti,
• prispevati k prizadevanjem EU za sodelovanje na področju kibernetske varnosti z mednarodnimi partnerji in organizacijami.

Agencija ENISA ima naslednjo upravno in vodstveno strukturo, ki jo sestavljajo:

• upravni odbor, ki ima po enega predstavnika iz vsake države članice EU in dva člana, ki ju imenuje Evropska komisija. Določa splošno usmeritev dejavnosti agencije in zagotavlja, da agencija izvaja svoje naloge na podlagi pogojev, ki ji omogočajo, da deluje v skladu z uredbo o ustanovitvi;
• izvršni odbor s petimi člani, ki pripravlja odločitve, ki jih sprejme upravni odbor;
• neodvisni izvršni direktor, ki odgovarja upravnemu odboru in na poziv poroča Evropskemu parlamentu in Svetu Evropske unije, je odgovoren za upravljanje agencije;
• svetovalna skupina agencije ENISA, ki jo sestavljajo priznani strokovnjaki, ki predstavljajo ustrezne deležnike, kot so industrija IKT, ponudniki elektronskih komunikacijskih omrežij ali storitev, mala in srednje velika podjetja, potrošniki, akademiki, izvajalci osnovnih storitev in predstavniki pristojnih organov, priglašenih na podlagi Evropskega zakonika o elektronskih komunikacijah, organizacije za standardizacijo, organi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter organi za varstvo podatkov, se osredotoča na vprašanja, pomembna za deležnike, in z njimi seznanja agencijo ENISA;
• mreža nacionalnih uradnikov za zvezo, ki jo sestavljajo predstavniki vseh držav članic in ki omogoča lažjo izmenjavo informacij med agencijo ENISA in državami članicami ter podpira agencijo ENISA pri razširjanju njenih dejavnosti, ugotovitev in priporočil.

Uredba vzpostavlja:

• certifikacijsko skupino deležnikov za kibernetsko varnost, ki jo sestavljajo priznani strokovnjaki, da bi na primer svetovala Evropski komisiji o strateških vprašanjih v zvezi s certifikacijskim okvirom EU za kibernetsko varnost, agenciji ENISA na njeno zahtevo pa o splošnih in strateških vprašanjih, povezanih z ustreznimi nalogami agencije;
• evropsko certifikacijsko skupino za kibernetsko varnost, ki jo sestavljajo nacionalni predstavniki, da bi svetovala in pomagala Komisiji pri zagotavljanju doslednega izvajanja in uporabe akta, agenciji ENISA pa pri pripravi predlog za certifikacijske sheme za kibernetsko varnost.

Agencija ENISA:

• se ustanovi za nedoločeno obdobje od 27. junija 2019;
• deluje skladno z enotnim programskim dokumentom, ki vsebuje njen letni in večletni program dejavnosti;
• upošteva varnostne predpise Komisije za varovanje občutljivih netajnih podatkov in tajnih podatkov EU,
• tretjim stranem ne razkriva zaupnih podatkov, ki jih obdeluje ali prejme,
• v celoti sodeluje pri ukrepih EU za boj proti goljufijam, korupciji in drugim nezakonitim dejavnostim,
• obdeluje osebne podatke v skladu z ustreznimi predpisi EU.

Uredba vzpostavlja evropski certifikacijski okvir za kibernetsko varnost, da bi:

• izboljšala delovanje notranjega trga z zvišanjem ravni kibernetske varnosti v EU in omogočanjem harmoniziranega pristopa na ravni EU glede evropskih certifikacijskih shem za kibernetsko varnost, da bi se oblikoval enotni digitalni trg za proizvode, storitve in postopke IKT,
• zagotovila mehanizem za vzpostavitev certifikacijskih shem, ki potrjujejo, da so bili proizvodi, storitve in postopki IKT ocenjeni v skladu s takimi shemami, da izpolnjujejo določene varnostne zahteve, da se zaščitijo razpoložljivost, pristnost, celovitost ali zaupnost shranjenih, prenesenih ali obdelanih podatkov ali funkcij ali storitev, ki jih ti proizvodi, storitve in postopki ponujajo ali so prek njih dostopni v celotnem življenjskem ciklu.

Na podlagi okvira:

• Komisija:
  • objavi tekoči delovni program EU za evropsko certificiranje kibernetske varnosti, v katerem so opredeljene strateške prednostne naloge ter proizvodi, storitve in postopki IKT ali njihove kategorije, ki jim lahko shema prinese koristi,
  • lahko zahteva, da agencija ENISA pripravi predlogo sheme certificiranja ali pregleda obstoječo shemo.
• Agencija ENISA:
  • pripravi primerne osnutke shem na zahtevo Komisije ali evropske certifikacijske skupine za kibernetsko varnost,
  • vsakih pet let oceni vsako sprejeto certifikacijsko shemo ob upoštevanju prejetih povratnih informacij,
  • vzdržuje namensko spletišče, na katerem zagotavlja informacije o shemah, certifikatih in izjavah o skladnosti.

Prostovoljne evropske certifikacijske sheme za kibernetsko varnost:

• želijo doseči različne varnostne cilje, kot je zaščita shranjenih, prenesenih ali obdelanih podatkov,
• označijo varnostno stopnjo proizvodov, storitev in postopkov IKT, in sicer kot „osnovno“, „znatno“ ali „visoko“,
• omogočajo proizvajalcem in ponudnikom proizvodov, storitev in postopkov IKT z nizkim tveganjem (tj. „osnovnih“ proizvodov, storitev in postopkov IKT), da te proizvode, storitve in postopke sami ocenijo („samoocenjevanje skladnosti“),
• morajo vključevati nekatere elemente, kot so jasni opisi namena, predmet urejanja in področje uporabe ter merila in metode za ocenjevanje,
• nadomeščajo podobne nacionalne sheme, čeprav ti certifikati ostanejo veljavni do datuma izteka veljavnosti.

Proizvajalci in ponudniki certificiranih proizvodov, storitev in postopkov IKT morajo objaviti:

• smernice in priporočila, ki pomagajo končnim uporabnikom namestiti, uporabljati in vzdrževati njihove proizvode ali storitve,
• informacije o trajanju, za katerega ponujajo varnostno podporo,
• svoje podatke za stik,
• informacije o spletnih seznamih znanih pomanjkljivosti na področju kibernetske varnosti, ki vplivajo na njihove proizvode ali storitve.

Države članice imenujejo enega ali več nacionalnih certifikacijskih organov za kibernetsko varnost z zadostnimi sredstvi in pooblastili za spremljanje, nadzor in izvrševanje pravil iz evropskih certifikacijskih shem za kibernetsko varnost.

Komisija:

• redno ocenjuje učinkovitost in uporabo sprejetih certifikacijskih shem in preučuje možnosti za njihovo obvezno uporabo;
• je morala zaključiti prvo podrobno oceno do 31. decembra 2023, druge ocene pa pripravi vsaki dve leti;
• je morala oceniti učinek, uspešnost in učinkovitost agencije ENISA do 28. junija 2024 in nato vsakih pet let.

Posamezniki in pravni subjekti imajo pravico do vložitve pritožbe pri izdajatelju evropskega certifikata kibernetske varnosti in do učinkovitega sodnega pravnega sredstva.

Izvedbeni akt

Komisija je januarja 2024 sprejela Izvedbeno uredbo (EU) 2024/482 (glej povzetek). Ta akt določa pravila za uporabo Uredbe (EU) 2019/881 v zvezi s sprejetjem prostovoljne evropske certifikacijske sheme kibernetske varnosti na podlagi skupnih meril (EUCC). To je prva shema na ravni EU in zadeva certifikate na „znatni“ ali „visoki“ ravni zanesljivosti za izdelke IKT, kot sta strojna in programska oprema, vključno s komponentami, kot so čipi in pametne kartice. Uredba vključuje podrobna pravila o vidikih, vključno z:

• standardi in zahtevami za vrednotenje ter izdajo, podaljšanje in odvzem certifikatov evropske certifikacijske sheme kibernetske varnosti na podlagi skupnih meril za izdelke in zaščitne profile;
• organi za ugotavljanje skladnosti, akreditirani za izdajanje certifikatov ali opravljanje dejavnosti ocenjevanja;
• spremljanjem skladnosti, neusklajenosti in neskladnosti;
• upravljanjem ranljivosti in postopki razkritja;
• hrambo evidenc, razkritjem in varovanjem informacij;
• sporazumi o medsebojnem priznavanju z državami, ki niso članice EU;
• medsebojnim strokovnim ocenjevanjem certifikacijskih organov;
• vzdrževanjem sheme; in
• nacionalnimi certifikacijskimi shemami za kibernetsko varnost, ki jih pokriva EUCC.

Izvedbena uredba EUCC se bo uporabljala od 27. februarja 2025.

Uredba (EU) 2019/881 in z njo povezana izvedbena uredba ne vplivata na odgovornosti držav članic za javno varnost, obrambo, nacionalno varnost in kazensko pravo.

Uredba razveljavlja Uredbo (EU) št. 526/2013 od 27. junija 2019.

OD KDAJ SE TA UREDBA UPORABLJA?

Uredba se porablja od 27. junija 2019.

Členi o imenovanju nacionalnih organov za kibernetsko varnost, akreditaciji in postopkih priglasitve organov za ugotavljanje skladnosti, pravici do vložitve pritožbe izdajateljem evropskih certifikatov kibernetske varnosti ter pravici do sodnega pravnega sredstva in kaznih se uporabljajo od 28. junija 2021.

OZADJE

Agencija ENISA s sedežem v Atenah in podružnico v Heraklionu prispeva k varnosti omrežij in informacij EU od leta 2004. Več informacij je na voljo na strani:

• O agenciji ENISA – Agencija Evropske unije za varnost omrežij in informacij (ENISA)
• Certificiranje kibernetske varnosti EU (ENISA)
• Politike kibernetske varnosti (Evropska komisija).

KLJUČNI POJMI

GLAVNI DOKUMENT

Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15–69).

POVEZANI DOKUMENTI

Izvedbena uredba Komisije (EU) 2024/482 z dne 31. januarja 2024 o določitvi pravil za uporabo Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta v zvezi s sprejetjem evropske certifikacijske sheme za kibernetsko varnost, ki temelji na skupnih merilih (UL L, 2024/482, 7.2.2024).

Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39–98).

Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1–30).

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1–88).

Nadaljnji popravki Uredbe (EU) 2016/679 so vključeni v izvirno besedilo. Ta prečiščena različica ima samo dokumentarno vrednost.

Zadnja posodobitev 18.06.2024