Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32024H1101

    Priporočilo Komisije (EU) 2024/1101 z dne 11. aprila 2024 o časovnem načrtu usklajenega izvajanja za prehod na postkvantno kriptografijo

    C/2024/2393

    UL L, 2024/1101, 12.4.2024, ELI: http://data.europa.eu/eli/reco/2024/1101/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/reco/2024/1101/oj

    European flag

    Uradni list
    Evropske unije

    SL

    Serija L

    2024/1101

    12.4.2024

    PRIPOROČILO KOMISIJE (EU) 2024/1101

    z dne 11. aprila 2024

    o časovnem načrtu usklajenega izvajanja za prehod na postkvantno kriptografijo

    EVROPSKA KOMISIJA JE –

    ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 292 Pogodbe,

    ob upoštevanju Direktive (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (1),

    ob upoštevanju naslednjega:

    (1)

    Varstvo podatkov in občutljivih komunikacij je bistveno za družbo, gospodarstvo, varnost in blaginjo Unije. Kibernetska varnost je strateškega pomena pri oblikovanju „Evrope, pripravljene na digitalno dobo“ (2) in ključni cilj programa politike digitalnega desetletja (3).

    (2)

    V strategiji EU za varnostno unijo (4) in strategiji EU za kibernetsko varnost (5) je šifriranje poudarjeno kot ključna tehnologija za doseganje odpornosti in tehnološke suverenosti ter krepitev operativne zmogljivosti za preprečevanje kibernetskih napadov. Šifriranje je v digitalnem svetu bistveno za zaščito digitalnih sistemov in transakcij, varstvo niza temeljnih pravic in zaščito obrambnih zmogljivosti. Tekma različnih držav in zasebnih subjektov za razvoj zmogljivosti kvantnega računalništva in sprostitev novih obetavnih priložnosti ogroža sedanje kriptografske standarde. Ti standardi imajo ključno vlogo pri zagotavljanju zaupnosti in celovitosti podatkov, varstvu občutljivih komunikacij in podpiranju bistvenih elementov varnosti omrežja.

    (3)

    Zaradi možnega prihodnjega razvoja kvantnih računalnikov, ki bi bili zmožni razvozlati današnje šifriranje, mora Evropa najti načine za močnejšo zaščito občutljivih komunikacij, da bi tako zagotovila dolgoročno neokrnjenost zaupnih informacij, in sicer s čim hitrejšim prehodom na postkvantno kriptografijo. Ta nova vrsta kriptografije bo odpravila znane ranljivosti sedanje asimetrične kriptografije in okrepila odpornost proti grožnjam, ki jih prinaša zlonamerna uporaba kvantnih računalnikov.

    (4)

    Komisija že več kot desetletje financira raziskave in razvoj postkvantne kriptografije, saj priznava potencialno grožnjo, ki jo kvantno računalništvo pomeni za sedanjo kriptografijo javnih ključev.

    (5)

    Države članice bi morale razmisliti o čimprejšnji migraciji svoje sedanje digitalne infrastrukture in storitev za javne uprave in druge kritične infrastrukture na postkvantno kriptografijo, s čimer bi spodbudile temeljni premik v kriptografskih algoritmih, protokolih in sistemih. Kot je poudarjeno v nedavni beli knjigi Komisije Kako obvladati potrebe po digitalni infrastrukturi v Evropi (How to master Europe’s digital infrastructure needs), so za to potrebna usklajena prizadevanja, ki vključujejo vladne agencije, organe za standardizacijo, deležnike iz industrije, raziskovalce in strokovnjake za kibernetsko varnost.

    (6)

    To priporočilo Komisije države članice spodbuja, naj pripravijo celovito strategijo za sprejetje postkvantne kriptografije, da bi zagotovile usklajen in sinhroniziran prehod v različnih državah članicah in njihovih javnih sektorjih. V strategiji bi morale opredeliti jasne cilje, mejnike in časovne okvire, na podlagi katerih bo opredeljen skupni časovni načrt za izvajanje postkvantne kriptografije. To bi moralo privesti do uvedbe tehnologij postkvantne kriptografije v obstoječe sisteme javnih uprav in kritične infrastrukture po vsej Uniji, in sicer prek hibridnih shem, v katerih bi bila postkvantna kriptografija lahko združena z obstoječimi kriptografskimi pristopi ali kvantnim razdeljevanjem ključa.

    (7)

    Za učinkovit prehod na postkvantno kriptografijo bi moral časovni načrt za usklajeno izvajanje postkvantne kriptografije vsebovati seznam ukrepov, ki jih morajo obravnavati države članice, vključno z upoštevanjem algoritmov postkvantne kriptografije, in jasen časovni razpored različnih faz in mejnikov, ki jih je treba doseči, ob upoštevanju njihove soodvisnosti in deležnikov, ki jih je treba vključiti.

    (8)

    Za usklajeno izvajanje postkvantne kriptografije po vsej Uniji je treba nujno oblikovati skupne evropske standarde ter vzpostaviti okvir za opredelitev in izbiro algoritmov postkvantne kriptografije, ki se bodo uporabljali v digitalnih omrežjih in storitvah v Uniji. Unija z dejavnim sodelovanjem raziskovalcev, ki jih financira EU, že podpira razvoj in preizkušanje algoritemskih kandidatov postkvantne kriptografije za standarde v mednarodnih izbirnih postopkih za postkvantno kriptografijo. To priporočilo Komisije države članice spodbuja, naj na ravni EU tesno sodelujejo s strokovnjaki Unije za kibernetsko varnost, Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov ter Agencijo Evropske unije za kibernetsko varnost (ENISA) pri ocenjevanju in izbiri ustreznih algoritmov postkvantne kriptografije ter njihovem sprejetju kot standardov EU za usklajeno izvajanje po vsej Uniji.

    (9)

    Države članice in Unija bi morale še naprej dejavno sodelovati z mednarodnimi strateškimi partnerji pri pripravi mednarodnih standardov postkvantne kriptografije, da bi se zagotovila interoperabilnost komunikacij v prihodnosti.

    (10)

    Potem ko se bodo države članice dogovorile o časovnem načrtu za usklajeno izvajanje postkvantne kriptografije, bi moral ta načrt biti vodilo za opredelitev nacionalnih načrtov za prehod na postkvantno kriptografijo ali, če ti že obstajajo, za njihovo uskladitev s skupnim časovnim načrtom za usklajeno izvajanje postkvantne kriptografije.

    (11)

    Za zagotovitev napredka pri doseganju ciljev tega priporočila namerava Komisija pozorno spremljati ukrepe, sprejete na podlagi priporočila. Države članice se zato spodbuja, naj Komisiji na njeno zahtevo predložijo vse ustrezne informacije, za katere se lahko razumno pričakuje, da jih bodo predložile, da se zagotovi takšno spremljanje. Komisija bo na podlagi tako pridobljenih informacij in vseh drugih razpoložljivih informacij ocenila učinke tega priporočila in ugotovila, ali so potrebni dodatni ukrepi, vključno s predlogi zavezujočih aktov prava Unije.

    (12)

    To priporočilo o postkvantni kriptografiji temelji na ciljih politike iz strategije EU za kibernetsko varnost, katerih namen je izboljšanje varnosti med koncema in odpornosti digitalne infrastrukture in storitev Unije za javne uprave ter druge kritične infrastrukture; je tudi v skladu s cilji digitalnega enotnega trga in skupnega sporočila o evropski strategiji za gospodarsko varnost 10919/23 (6); poleg tega so v njem upoštevana tveganja za fizično in kibernetsko varnost kritične infrastrukture ter tveganja, opredeljena v nedavno opravljeni oceni tveganja za kvantne tehnologije (7). Priporočilo spoštuje temeljne pravice in načela, ki jih priznava zlasti Listina EU o temeljnih pravicah (členi 7, 8 in 11) ter Evropska konvencija o človekovih pravicah (člena 8 in 10), kar pomeni, da morajo vlade čim bolj zmanjšati tveganje nezakonitega dostopa do informacij in nezakonitega nadzora nad njimi, za kar sta potrebna varovanje in spodbujanje kriptografskih tehnologij –

    SPREJELA NASLEDNJE PRIPOROČILO:

    1.   PODROČJE UPORABE IN CILJI

    Namen tega priporočila je spodbuditi prehod na postkvantno kriptografijo za zaščito digitalne infrastrukture in storitev za javne uprave in druge kritične infrastrukture v Uniji, tako da se državam članicam omogoči, da:

    (1)

    opredelijo „časovni načrt za usklajeno izvajanje postkvantne kriptografije“, katerega cilj je uskladiti prizadevanja držav članic za oblikovanje in izvajanje nacionalnih načrtov za prehod ob hkratnem zagotavljanju čezmejne interoperabilnosti;

    (2)

    podpirajo ocenjevanje in izbiro ustreznih algoritmov EU za postkvantno kriptografijo ob pomoči strokovnjakov za kibernetsko varnost ter nadaljnje sprejetje takih algoritmov kot standardov Unije, ki bi jih bilo treba izvajati po vsej Uniji v okviru časovnega načrta za usklajeno izvajanje postkvantne kriptografije;

    (3)

    sprejmejo ustrezne in sorazmerne ukrepe za pripravo na ta prehod.

    2.   ČASOVNI NAČRT USKLAJENEGA IZVAJANJA, KI OBRAVNAVA PREHOD NA POSTKVANTNO KRIPTOGRAFIJO

    (4)

    		 To priporočilo države članice spodbuja, naj svoje ukrepe usklajujejo na ravni Unije prek posebnega foruma držav članic. V ta namen Komisija priporoča, naj države članice izkoristijo obstoječe strukture na ravni Unije na področju kibernetske varnosti in ustanovijo podskupino Skupine za sodelovanje na področju varnosti omrežnih in informacijskih sistemov. Taka podskupina bi lahko vključevala predstavnike nacionalnih varnostnih agencij in strokovnjake za kibernetsko varnost, zlasti iz nacionalnih organov za kibernetsko varnost in agencije ENISA. Podskupina lahko k sodelovanju pri svojem delu povabi predstavnike ustreznih deležnikov, kot so svetovalni organi javnih organizacij, industrija, ponudniki storitev in upravljavci, da bi zbrala prispevke in izmenjevala informacije o prehodu digitalne infrastrukture in storitev za javne uprave in druge kritične infrastrukture na postkvantno kriptografijo v različnih sektorjih, usklajevala njihova prizadevanja na nacionalni ravni in pripravila časovni načrt za usklajeno izvajanje postkvantne kriptografije v skladu s pravili Unije o konkurenci in pravom Unije o varstvu podatkov.

    (5)

    		 Podskupina za postkvantno kriptografijo bi morala razmisliti o ustreznih, učinkovitih in sorazmernih ukrepih za opredelitev in usklajevanje priprave časovnega načrta za usklajeno izvajanje postkvantne kriptografije. Podskupino za postkvantno kriptografijo se spodbuja k sodelovanju v razpravah z drugimi ustreznimi organi, kot so Europol, NATO in drugi, da bi se izognili podvajanju prizadevanj in zagotovili usklajen pristop k reševanju novih izzivov.

    (6)

    		 V ta namen so države članice pozvane, naj kmalu po objavi tega priporočila ustanovijo takšno podskupino za postkvantno kriptografijo v skladu z Izvedbenim sklepom Komisije (EU) 2017/179 (8) in imenujejo strokovne predstavnike, ki naj bi tesno sodelovali s Komisijo ter bi bili zadolženi za opredelitev in pripravo časovnega načrta za usklajeno izvajanje postkvantne kriptografije.

    (7)

    		 Časovni načrt za usklajeno izvajanje postkvantne kriptografije bi moral biti na voljo v dveh letih po objavi tega priporočila, čemur bosta sledila priprava in nadaljnje prilagajanje načrtov posameznih držav članic za prehod na postkvantno kriptografijo v skladu z načeli iz časovnega načrta za usklajeno izvajanje postkvantne kriptografije.

    3.   UKREPI NA RAVNI UNIJE

    (8)

    		 Komisija bo v sodelovanju s strokovnimi predstavniki držav članic redno spremljala in ocenjevala celotno delo.

    (9)

    		 V ta namen lahko Komisija od predstavnikov držav članic zahteva, naj predložijo vse ustrezne informacije, za katere se lahko razumno pričakuje, da jih predložijo, da bi se zagotovilo spremljanje napredka, doseženega pri pripravi takšnega časovnega načrta za usklajeno izvajanje postkvantne kriptografije, in učinkovitosti takih ukrepov.

    (10)

    		 Na podlagi teh in vseh drugih razpoložljivih informacij bo Komisija ocenila načrtovane ukrepe in delovanje mreže predstavnikov držav članic ter ugotovila, ali so potrebni dodatni ukrepi, vključno s predlogi zavezujočih aktov prava Unije.

    4.   PREGLED

    (11)

    		 Države članice bi morale sodelovati s Komisijo, da bi ocenile učinke tega priporočila najpozneje tri leta po njegovi objavi in določile ustrezne nadaljnje ukrepe. Pri tej oceni bi bilo treba upoštevati rezultate dela podskupine nacionalnih strokovnjakov za postkvantno kriptografijo.

    V Bruslju, 11. aprila 2024

    Za Komisijo

    Thierry BRETON

    član Komisije

    (1)   UL L 333, 27.12.2022, str. 80.

    (2)  COM(2020) 67 final.

    (3)  Sklep (EU) 2022/2481 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o vzpostavitvi programa politike Digitalno desetletje do leta 2030 (UL L 323, 19.12.2022, str. 4).

    (4)  COM(2020) 605 final.

    (5)  JOIN(2020) 18 final.

    (6)   https://data.consilium.europa.eu/doc/document/ST-10919-2023-INIT/sl/pdf

    (7)  JOIN(2023) 20 final.

    (8)  Izvedbeni sklep Komisije (EU) 2017/179 z dne 1. februarja 2017 o postopkovnih ureditvah, potrebnih za delovanje skupine za sodelovanje v skladu s členom 11(5) Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 28, 2.2.2017, str. 73).

    ELI: http://data.europa.eu/eli/reco/2024/1101/oj

    ISSN 1977-0804 (electronic edition)

    Top