Kybernetický legislatívny balíček EÚ

Jednotný prístup ku kybernetickej bezpečnosti a úzka súčinnosť všetkých zainteresovaných aktérov  je nevyhnutnosťou nielen na národnej úrovni ale predovšetkým na tej európskej. Európska únia si uvedomuje potrebu fungovať ako jednotný kybernetický priestor a jednotný trh kybernetickej bezpečnosti v rámci ktorého by malo dôjsť k zosúladeniu štandardov bezpečnostnej certifikácie a zabezpečiť dostatočné operačné kapacity a možnosť rýchlej a efektívnej krízovej reakcie na svetovej špičkovej úrovni. Štátny sektor v úzkej súčinnosti so súkromným sektorom by mal úzko spolupracovať v záujme dosiahnuť vysoký stupeň odolnosti digitálnej infraštruktúry, priemyslu a služieb, čo by zároveň prilákalo do EÚ nové investície.

V záujme zlepšiť národnú a európsku pripravenosť sa snaží prípravou novej legislatívy, tzv. kybernetického legislatívneho balíčka EÚ. Balíček tvorí viacero nových právnych nástrojov, ktoré by mali prejsť predpísaným schvaľovacím postupom v tomto a najbližších rokoch.

Balíček tvoria najmä nasledovné dokumenty:

„Spoločné oznámenie Európskeho parlamentu a Rady „Odolnosť, odrádzanie a obrana : budovanie silnej kybernetickej bezpečnosti pre EÚ“ – Communication

„Návrh nariadenia Európskeho parlamentu a Rady o ENISA „Agentúre EÚ pre kybernetickú bezpečnosť“ a ktorým sa zrušuje nariadenie (EÚ) č.526/2013 o certifikácií informačných a komunikačných technológií kybernetickej bezpečnosti (ďalej len „zákon o kybernetickej bezpečnosti“)  Cybersecurity Act

„Odporúčanie Komisie o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu“ –Commission Recommendation

„Najlepšie využitie smernice NIS“ – za efektívnu implementáciu smernice (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečností sietí a informačných systémov v Únii – Communication „Making the most of NIS“

„Návrh smernice Európskeho parlamentu a Rady o boji proti podvodom a falšovaniu bezhotovostných platobných prostriedkov a nahradení rámcového rozhodnutia Rady 2001/413/SVV“ – Proposal for a Directive

„Pracovný dokument Komisie o hodnotení Stratégie EÚ 2013 o kybernetickej bezpečnosti“ – Commission staff working document assessment

„Správa Komisie Európskemu parlamentu a Rade o posúdení rozsahu, v akom členskom štáty prijali opatrenia, ktoré sú nevyhnutné na dosiahnutie súladu so smernicou 2013/40/EÚ o útokoch na informačné systémy, ktorou sa nahrádza rámcové rozhodnutie Rady 2005/222/SVV“ – Report

„Cybersecurity Act“

       Zabezpečenie kybernetickej bezpečnosti v Európskej únii je nevyhnutné pre jej prosperitu a bezpečnosť jej obyvateľov. Keďže náš každodenný život ako aj hospodárstvo čoraz viac závisí od digitálnych technológií, sme čím ďalej tým viac vystavení rizikám, ktoré sú s ich využívaním spojené. Úroveň našej bezpečnosti závisí od našej schopnosti chrániť pred kybernetickými hrozbami a incidentmi kritickú civilnú infraštruktúru, ako aj vojenské kapacity závisiace od technológií. Zvyšovanie odolnosti Európskej únie  proti kybernetickým útokom vyžaduje pevnejšie a účinnejšie štruktúry na podporu kybernetickej bezpečnosti a rýchlejšie a efektívnejšie reakcie na kybernetické útoky. Jedným z kľúčových  opatrení, ktoré majú viesť k stanoveným cieľom je aj silnejšia ENISA (doteraz Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť).   

       Návrh nariadenia o agentúre ENISA sa očakával, keďže jej súčasný mandát končí v roku 2020. Cieľ návrhu je ambiciózny, mení mandát ENISA na permanentný a posilňuje jej postavenie už ako premenovanej „Agentúry EÚ pre kybernetickú bezpečnosť“. Zreformovaná agentúra ENISA bude mať silnú poradnú úlohu pre členské štáty a to vrátane podpory súdržnosti medzi sektorovými iniciatívami a smernicou NIS ( smernica EP a R 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečností sietí a informačných systémov) a pomoci pri zriaďovaní stredísk na výmenu a analýzu informácií v kritických odvetviach. Nový mandát posilní agentúru ENISA aj v oblasti operatívnej spolupráce, krízového riadenia a koordinácie a to hlavne organizovaním každoročných celoeurópskych cvičení v oblasti kybernetickej bezpečnosti, v rámci ktorých sa spojí reakcia na rôznych úrovniach. Agentúra bude zároveň slúžiť ako kontaktné miesto pre informácie a vedomosti v komunite kybernetickej bezpečnosti.

       Novinkou je aj spojenie mandátu agentúry ENISA so stanovením novej politiky EÚ v oblasti certifikácie kybernetickej bezpečnosti v informačných a komunikačných technológiách. Rast trhu kybernetickej bezpečnosti v EÚ z pohľadu produktov, služieb a procesov je príliš pomalý v mnohých ohľadoch. Jedným z dôvodov je práve absencia jednotného systému certifikácie, uznávaného v celej EÚ. Komisia preto predkladá návrh na vytvorenie európskeho rámca kyberneticko-bezpečnostnej certifikácie. Týmto rámcom by sa stanovil postup na vytvorenie celoúnijných systémov kyberneticko-bezpečnostnej certifikácie zabezpečujúcich vyššie štandardy a zvýšenie odolnosti produktov a posilnenie dôvery užívateľov (či už ide o kritickú infraštruktúru alebo spotrebiteľské zariadenia). Podniky by nemuseli prejsť pri cezhraničnom obchodovaní cez niekoľko certifikačných postupov, čím by sa obmedzili administratívne a finančné náklady.

„Commission Recommendation“

       Možnosť rýchlej a účinnej reakcie na kybernetický útok závisí hlavne od mechanizmu rýchlej výmeny informácií medzi všetkými kľúčovými aktérmi na vnútroštátnej úrovni a na úrovni EÚ. Komisia uskutočnila konzultácie s inštitúciami a členskými štátmi s cieľom zabezpečiť účinný postup operačnej reakcie na úrovni Únie a členských štátov na rozsiahly kybernetický incident. V odporúčaní prijatom Komisiou sa vysvetľuje, ako sa kybernetická bezpečnosť začleňuje do existujúcich mechanizmov krízového riadenia na úrovni EÚ, a stanovujú sa v nej ciele a spôsoby spolupráce medzi členskými štátmi, ako aj medzi členskými štátmi a príslušnými inštitúciami, útvarmi, agentúrami a orgánmi EÚ pri reakcii na rozsiahle kybernetické incidenty a krízy. V odporúčaní sa takisto od členských štátov a inštitúcií EÚ požaduje vytvorenie rámca EÚ pre reakciu na kybernetické krízy, aby sa koncepcia mohla uviesť do praxe. Prijaté postupy sa budú pravidelne testovať formou cvičení zameraných na riadenie kybernetických a iných kríz a bude sa podľa potreby aktualizovať.Vzhľadom na to, že kybernetické incidenty by mohli významne ovplyvniť fungovanie hospodárstiev a každodenný život ľudí, jednou z možností by bolo zriadenie núdzového fondu kybernetickej bezpečnostnej reakcie podľa vzoru takýchto krízových mechanizmov v iných oblastiach politiky EÚ.

(Autor: NBÚ)


« Späť na zoznam