Akt o kybernetické bezpečnosti přináší silnou agenturu pro kybernetickou bezpečnost a pravidla pro certifikaci kybernetické bezpečnosti v rámci celé EU
Dne 27. června vstoupil v platnost Akt o kybernetické bezpečnosti, neboli NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií, které stanoví nový mandát agentury ENISA, agentury EU pro kybernetickou bezpečnost (dále jen „Akt o kybernetické bezpečnosti“), a zřizuje evropský rámec pro certifikaci kybernetické bezpečnosti.
Posílení agentury ENISA
Se vstupem Aktu o kybernetické bezpečnosti v platnost bude mít agentura ENISA – agentura EU pro bezpečnost sítí a informací (dále jen „ENISA“) větší odpovědnost, zdvojnásobené zdroje v průběhu pěti let a nový seznam úkolů. Evropský certifikační rámec pro kybernetickou bezpečnost stanoví správu a pravidla pro certifikaci produktů, procesů a služeb v oblasti informačních a komunikačních technologií v rámci celé EU. ENISA jako hlavní dozorový orgán pro certifikaci produktů a služeb kybernetické bezpečnosti používaných v EU tak bude mít zejména klíčovou úlohu při zřizování a udržování certifikačního rámce pro kybernetickou bezpečnost, například přípravu technického základu pro specifické systémy certifikace a informování veřejnosti o systémech certifikace a vydaných certifikátech prostřednictvím specializované webové stránky. Celoevropský certifikační rámec uživatelům umožní snadno určit, jaké produkty a služby jsou tak po kybernetické stránce bezpečné.
ENISA bude dále plnit roli konzultačního, vzdělávacího a informačního centra, šířit povědomí o rizicích, analyzovat kybernetické útoky, asistovat členským státům při řešení kybernetických útoků, sdílet informace napříč všemi státy EU a také vzdělávat experty v oblasti kybernetické bezpečnosti.
Akt o kybernetické bezpečnosti poprvé zavádí pravidla pro certifikaci kybernetické bezpečnosti v celé EU. V rámci tohoto rámce bude vytvořeno více režimů pro různé kategorie produktů, procesů a služeb ICT. V každém režimu bude mimo jiné uveden druh nebo kategorie zahrnutých produktů, služeb a procesů ICT, účel, bezpečnostní standardy, které musí být splněny a metody hodnocení. Režimy také uvedou dobu platnosti vydaných certifikátů.
ENISA na žádost Komise nebo Evropské skupiny pro certifikaci kybernetické bezpečnosti (složené z členských států) připraví certifikační systémy, které poté Komise přijme prostřednictvím prováděcích aktů. I přes skutečnost, že certifikace zůstane dobrovolná, Komise posoudí, zda bude pro určité kategorie výrobků a služeb vyžadována povinná certifikace.
Další kroky
Co se týče certifikačního rámce, Komise připraví první žádosti na ENISA, aby došlo k vytvoření systémů certifikace a struktury řízení společně se zřízením příslušných skupin odborníků. Komise rovněž připraví „průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti“, který bude určovat strategické priority pro certifikaci a zejména bude obsahovat seznam produktů, služeb a procesů ICT nebo jejich kategorií, které mohou být přínosem pro začlenění do oblasti působnosti evropského certifikačního systému pro kybernetickou bezpečnost. Průběžný pracovní program Unie bude předmětem veřejné konzultace.