Akt EU-a o kibersigurnosti

 

SAŽETAK DOKUMENTA:

Uredba (EU) 2019/881 o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije (Akt o kibersigurnosti)

ČEMU SLUŽI OVA UREDBA?

Njome se nastoji postići visoka razina kibersigurnosti, kiberotpornosti i povjerenja u Europskoj uniji (EU) utvrđivanjem:

• ciljeva, zadaća i organizacijskih pitanja za ojačanu i preimenovanu Agenciju Europske unije za kibersigurnost (ENISA), s novim trajnim mandatom;
• okvira za uspostavu dobrovoljnih europskih programa kibersigurnosne certifikacije za proizvode, usluge i postupke informacijske i komunikacijske tehnologije (IKT).

KLJUČNE TOČKE

Mandat ENISA-e podrazumijeva:

• postizanje visoke zajedničke razine kibersigurnosti u cijelom EU-u;
• podupiranje nacionalnih tijela vlasti i institucija, tijela, ureda i agencija EU-a u poboljšanju kibersigurnosti;
• djelovanje kao referentna točka za pružanje znanstvenih savjeta i stručnog znanja o kibersigurnosti institucijama, tijelima, uredima i agencijama EU-a te drugim relevantnim dionicima;
• pridonošenje smanjenju fragmentacije na unutarnjem tržištu;
• neovisno djelovanje te izbjegavanje udvostručivanja aktivnosti države članice uzimajući u obzir stručna znanja države članice;
• razvoj vlastitih tehničkih resursa i ljudske sposobnosti i vještine.

Zadaće ENISA-e jesu:

• pomagati u razvoju i provedbi politike i prava EU-a;
• promicati jačanje kapaciteta primjerice poboljšanim sprječavanjem, otkrivanjem i analizom kiberprijetnji* i pomaganjem u razvoju nacionalnih timova za odgovor na računalne sigurnosne incidente (CSIRT-ovi) ili organizacijom vježbi u području kibersigurnosti na razini EU-a;
• podržavati operativne suradnje EU-a među svim uključenim dionicima, uključujući EU-ovu Službu za kibernetičku sigurnost institucija, tijela, ureda i agencija Unije (CERT-EU) prije svega razmjenom znanja i najbolje prakse, davanjem mjerodavnih smjernica i opsluživanjem nacionalne i europske mreže CSIRT-ova;
• podupirati i promicati razvoj i provedbu na razini EU-a kibersigurnosne certifikacije IKT proizvoda, IKT usluga i IKT procesa, kao dio uloge u pripremi programa u okviru novog okvira EU-a za kibersigurnosnu certifikaciju;
• prikupljati i analizirati znanje i informacije o kibersigurnosti, prije svega o novim tehnologijama, kiberprijetnjama i incidentima da bi pružila informacije i savjete nacionalnim tijelima, relevantnim dionicima te, putem posebnog portala, javnosti (građanima, organizacijama i poslovnim subjektima);
• podizati razinu osviještenosti javnosti o rizicima povezanima s kibersigurnošću, davati smjernice o dobroj praksi za pojedinačne korisnike i promicati osviještenost o kibersigurnosti te obrazovanju općenito;
• savjetovati o istraživačkim potrebama i prioritetima i pridonositi strateškoj agendi za istraživanja i inovacije na razini EU-a u području kibersigurnosti;
• pridonositi nastojanjima EU-a da uspostavi suradnju sa svojim međunarodnim partnerima i organizacijama u području kibersigurnosti.

ENISA ima sljedeću administrativnu i upravljačku strukturu:

• Upravljački odbor, s jednim predstavnikom iz svake države članice i dva člana koje imenuje Europska komisija, utvrđuje opći smjer djelovanja agencije i osigurava da obavlja svoje zadatke u uvjetima koji joj omogućuju da služi u skladu s uredbom o osnivanju;
• Izvršni odbor od pet članova, koji priprema odluke koje donosi Upravljački odbor;
• neovisni izvršni direktor, koji je odgovoran Upravljačkom odboru i koji podnosi izvještaje Europskom parlamentu i Vijeću Europske unije kad se to od njega zatraži, odgovoran je za upravljanje agencijom;
• savjetodavna skupina ENISA-e, koja se sastoji od priznatih stručnjaka relevantnih dionika kao što su IKT industrija, pružatelji elektroničkih komunikacijskih mreža ili usluga, mala i srednja poduzeća, potrošači, akademici, operatori ključnih usluga i predstavnici nadležnih tijela prijavljenih u skladu s Europskim zakonikom elektroničkih komunikacija, organizacija za normizaciju te od tijela za izvršavanje zakonodavstva i tijela za nadzor zaštite podataka, koja je usmjerena na pitanja relevantna za dionike i o njima obavješćuje ENISA-u;
• mreža nacionalnih časnika za vezu, koja je sastavljena od predstavnika država članica i olakšava razmjenu informacija između ENISA-e i država članica i podržava ENISA-u u širenju upoznatosti s njezinim aktivnostima, nalazima i preporukama.

Uredbom se uspostavlja sljedeće:

• Interesna skupina za kibersigurnosnu certifikaciju sastavljena od priznatih stručnjaka, za, primjerice, pružanje savjeta Europskoj komisiji o strateškim pitanjima u pogledu europskog okvira za kibersigurnosnu certifikaciju i, na zahtjev, o općim i strateškim pitanjima koji se odnose na relevantne zadaće Agencije;
• Europska skupina za kibersigurnosnu certifikaciju (ECCG), koja je sastavljena od nacionalnih predstavnika za pružanje savjeta i pomoći Komisiji u njezinu radu radi osiguravanja dosljedne provedbe i primjene Zakona, i ENISA-i u izradi prijedloga programâ certifikacije.

ENISA:

• osnovana je na neodređeno vrijeme od 27. lipnja 2019.;
• djeluje u skladu s jedinstvenim programskim dokumentom koji sadržava njezine godišnje i višegodišnje programe;
• slijedi sigurnosna pravila Komisije radi zaštite osjetljivih neklasificiranih podataka i klasificiranih podataka EU-a;
• ne otkriva povjerljive informacije koje obrađuje ili prima trećim stranama;
• u potpunosti sudjeluje u mjerama EU-a za borbu protiv prijevara, korupcije i drugih nezakonitih aktivnosti;
• obrađuje osobne podatke u skladu s primjenjivim pravilima EU-a.

Uredbom se uspostavlja europski okvir za kibersigurnosnu certifikaciju u cilju:

• poboljšanja funkcioniranja unutarnjeg tržišta povećanjem razine kibersigurnosti u EU-u i omogućavanjem usklađenog pristupa na razini EU-a za europske programe kibersigurnosne certifikacije s ciljem stvaranja jedinstvenog digitalnog tržišta IKT proizvoda, IKT usluga i IKT procesa;
• pružanja mehanizma za uspostavu europskih programa kibersigurnosne certifikacije i potvrđivanje toga da IKT proizvodi, IKT usluge i IKT procesi, koji su evaluirani u skladu s takvim programima, ispunjavaju utvrđene sigurnosne zahtjeve za potrebe zaštite dostupnosti, izvornosti, cjelovitosti i povjerljivosti pohranjenih, poslanih ili obrađenih podataka ili funkcija ili usluga koje se nude pomoću tih proizvoda, usluga i procesa ili kojima se pomoću njih može pristupiti tijekom njihova cijelog životnog ciklusa.

Na temelju ovog okvira:

• Komisija:
  • objavljuje kontinuirani program rada EU-a za europsku kibersigurnosnu certifikaciju, kojim se utvrđuju strateški prioriteti za IKT proizvode, IKT usluge i IKT procese ili kategorije koje bi mogle imati koristi od programa;
  • može od ENISA-e zatražiti izradu prijedloga programa certifikacije ili pregledati postojeći.
• ENISA:
  • priprema prikladne nacrte programa, na zahtjev Komisije ili Europske skupine za kibersigurnosnu certifikaciju;
  • svakih pet godina ocjenjuje svaki doneseni program certifikacije, uzimajući u obzir primljene povratne informacije;
  • održava specijalizirane internetske stranice na kojima se pružaju informacije o programima, certifikatima i izjavama o sukladnosti.

Dobrovoljni europski programi kibersigurnosne certifikacije:

• nastoje postići različite sigurnosne ciljeve, poput zaštite pohranjenih, poslanih i obrađenih podataka;
• označuju razinu sigurnosti IKT usluga i IKT procesa kao osnovnu, znatnu ili visoku;
• dopuštaju proizvođačima i pružateljima niskorizičnih (tj. osnovnih) IKT proizvoda, IKT uslugama i IKT procesa da ih ocijene sami (samoocjenjivanje sukladnosti);
• moraju uključiti određene značajke, kao što su jasni opisi svrhe, predmeta, područja primjene i korišteni kriteriji i metode evaluacije;
• zamjenjuju slične nacionalne certifikate, iako oni ostaju na snazi do njihova isteka.

Proizvođači i pružatelji certificiranih IKT proizvoda, IKT usluga ili IKT procesa moraju staviti na raspolaganje javnosti:

• smjernice i preporuke za pomoć krajnjim korisnicima pri instalaciji, upotrebi i održavanju njihovih proizvoda ili usluga;
• informacije o trajanju za koje pružaju sigurnosnu potporu;
• svoje kontaktne podatke;
• upućivanje na internetske repozitorije s informacijama o poznatim pitanjima kibersigurnosti koja utječu na njihove proizvode ili usluge.

Države članice imenuju jedno ili više nacionalnih tijela za kibersigurnosnu certifikaciju s dovoljnim resursima i ovlastima za praćenje, nadzor i provođenje pravila europskih programa kibersigurnosne certifikacije.

Komisija:

• redovito ocjenjuje učinkovitost i upotrebu donesenih programa certifikacije i razmatra treba li neki program učiniti obveznim;
• morala je dovršiti svoju prvu detaljnu procjenu do 31. prosinca 2023., a ostale svake dvije godine nakon toga;
• morala je ocijeniti utjecaj, djelotvornost i učinkovitost ENISA-e do 28. lipnja 2024. i nakon toga svakih pet godina.

Fizičke i pravne osobe imaju pravo podnijeti žalbu izdavatelju europskog kibersigurnosnog certifikata i tražiti učinkovit pravni lijek.

Provedbeni akt

U siječnju 2024. Komisija je donijela Provedbenu uredbu (EU) 2024/482 (vidjeti sažetak). Ovim se aktom utvrđuju pravila za primjenu Uredbe (EU) 2019/881 u pogledu donošenja dobrovoljnog europskog sustava za kibersigurnost na temelju kriterija (EUCC). To je prvi program na razini EU-a i odnosi se na certifikate na „znatnim” ili „visokim” razinama osiguranja za IKT proizvode kao što su hardver i softver, uključujući komponente kao što su čipovi i pametne kartice. Uredba uključuje detaljna pravila o aspektima koji uključuju sljedeće:

• standarde i zahtjeve za procjenu te izdavanje, produljenje i povlačenje potvrda EUCC za proizvode i profile zaštite;
• tijela za ocjenjivanje sukladnosti koja su akreditirana za izdavanje potvrda ili aktivnosti ocjenjivanja;
• praćenje usklađenosti, nesukladnosti i neusklađenosti
• postupke upravljanja ranjivostima i otkrivanja ranjivosti;
• čuvanje evidencije, otkrivanje i zaštitu informacija;
• sporazume o uzajamnom priznavanju sa zemljama izvan EU-a;
• istorazinsku ocjenu tijela za izdavanje certifikata;
• održavanje programa i
• nacionalne programe kibersigurnosne certifikacije koje obuhvaća EUCC.

Provedbena uredba o EUCC-u primjenjivat će se od se počinje primjenjivati od 27. veljače 2025.

Uredba (EU) 2019/881 i njezina povezana provedbena uredba ne utječu na odgovornosti država članica za javnu sigurnost, obranu, nacionalnu sigurnost i kazneno pravo.

Ova uredba stavlja izvan snage Uredbu (EU) br. 526/2013 od 27. lipnja 2019.

OTKAD SE OVA UREDBA PRIMJENJUJE?

Uredba se primjenjuje od 27. lipnja 2019.

Članci o imenovanju nacionalnih tijela za kibersigurnost, akreditaciji i prijavljivanju tijela za ocjenjivanje sukladnosti, pravu na podnošenje žalbi izdavateljima europskih certifikata o kibersigurnosti, pravu na pravni lijek i kaznama primjenjuju se od 28. lipnja 2021.

POZADINA

ENISA, koja ima sjedište u Ateni i podružnicu u Heraklionu, pridonosi mrežnoj i informacijskoj sigurnosti EU-a od 2004. Za više informacija vidjeti:

• O ENISA-i – Agenciji Europske unije za kibersigurnost (ENISA)
• EU-ova certifikacija kibersigurnosti (ENISA)
• Kibersigurnosne politike (Europska komisija).

KLJUČNI POJMOVI

GLAVNI DOKUMENT

Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.–69.).

VEZANI DOKUMENTI

Provedbena uredba Komisije (EU) 2024/482 od 31. siječnja 2024. o utvrđivanju pravila za primjenu Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća u pogledu donošenja europskog programa kibernetičkosigurnosne certifikacije na temelju zajedničkih kriterija (EUCC) (SL L, 2024/482, 7.2.2024).

Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.–98.)

Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L194, 19.7.2016., str. 1.–30.).

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.–88.).

Naknadne izmjene i dopune Uredbe (EU) 2016/679 uključene su u izvorni tekst. Ovaj pročišćeni tekst namijenjen je isključivo dokumentiranju.

Posljednje ažuriranje 18.06.2024