Akt o kybernetické bezpečnosti
1. Akt o kybernetické bezpečnosti
Zajištění bezpečnosti informačních systémů a sítí je významným tématem posledních let a pro Evropskou unii představuje klíčovou výzvu v budování jednotné digitální ekonomiky. To vede k neustálé práci na vývoji nových procesů a opatření, jak co
nejefektivněji zabránit a předcházet kybernetickým hrozbám. Jedna z cest, kterou již nyní některé členské státy EU využívají, jsou národní certifikace kybernetické bezpečnosti ICT produktů, služeb a procesů. Nevýhodou tohoto postupu je skutečnost, že získaná osvědčení
se vztahují pouze k certifikačnímu schématu dané země. Využití národních certifikací napříč všemi členskými státy je tak značně limitováno.
Z toho důvodu vstoupil v roce 2019 v platnost akt o kybernetické bezpečnosti, nařízení (EU) 2019/881, prostřednictvím kterého se mj. zavádí nový celounijní rámec certifikace kybernetické bezpečnosti. Nařízení je rozděleno na dvě stěžejní oblasti. V první z nich došlo k rozšíření a posílení pravomoci Agentury Evropské unie pro kybernetickou bezpečnost (ENISA), která se tak stala hlavním unijním odborným orgánem podílejícím se na politice kybernetické bezpečnosti EU. Druhá část aktu pojednává o rámci pro dobrovolná evropská schémata certifikace kybernetické bezpečnosti. Certifikáty vydané v rámci tohoto systému budou platit ve všech zemích EU, díky čemuž dojde k harmonizaci unijního trhu.
Agentura Evropské unie pro kybernetickou bezpečnost (ENISA)
Úkolem agentury ENISA je podílet se na tvorbě politik a práv v oblasti kybernetické bezpečnosti a sledovat situaci mj. za účelem tvorby nových certifikačních schémat kybernetické bezpečnosti jednotlivých ICT produktů, služeb a procesů. ENISA na základě žádosti vypracovává jednotlivé návrhy schémat certifikace kybernetické bezpečnosti, alespoň jednou za pět let vyhodnotí každé přijaté schéma certifikace kybernetické bezpečnosti a na základě žádosti vypracuje revidovaný návrh schématu.
ENISA provozuje webové stránky poskytující informace o evropských schématech certifikace kybernetické bezpečnosti, o evropských certifikátech kybernetické bezpečnosti a EU prohlášeních o shodě, včetně informací o zrušení a uplynutí platnosti těchto certifikátů a prohlášení.
Evropský rámec pro certifikaci kybernetické bezpečnosti
Tento certifikační rámec slouží jako mechanismus pro návrh, vypracování udržování certifikačních schémat. Současně akt o kybernetické bezpečnosti definuje celý ekosystém pro jeho fungování.
Akt o kybernetické bezpečnosti klade na schémata certifikace kybernetické bezpečnosti přísné nároky. V prvé řadě se jedná o naplnění bezpečnostních cílů, kdy za jedny ze stěžejních lze považovat ochranu údajů proti náhodnému nebo neoprávněnému ukládání, zpracování, přístupu, sdělování, zničení, ztrátě, změně nebo proti nedostupnosti, a to během celého životního cyklu ICT produktů, služeb a procesů. Mezi další patří například identifikace a dokumentace známých případů závislosti a zranitelnosti a zajištění, aby certifikované ICT produkty, služby a procesy žádné známé zranitelnosti neobsahovaly, včetně postupů aktualizace softwaru a hardwaru. Více k certifikačním schématům se dozvíte v kartě 3. Schémata EU certifikace.
Evropský systém certifikace kybernetické bezpečnosti zavádí tři úrovně záruky – základní, významnou a vysokou. Náročnost a podrobnost hodnocení naplnění požadavků u ICT produktů, služeb a procesů se s úrovní záruky zvyšuje.
Úroveň záruky základní osvědčuje, že ICT produkty, služby a procesy splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá základní rizika incidentů a kybernetických útoků.
Úroveň záruky významná osvědčuje, že ICT produkty, služby a procesy splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat známá kybernetická rizika a rizika incidentů a kybernetických útoků prováděných subjekty s omezenými dovednostmi a zdroji.
Úroveň záruky vysoká osvědčuje, že ICT produkty, služby a procesy splňují odpovídající bezpečnostní požadavky včetně bezpečnostních funkcionalit a že byly vyhodnoceny na úrovni, jejímž cílem je minimalizovat rizika sofistikovaných kybernetických útoků prováděných subjekty s významnými dovednostmi a zdroji.
Vypracování, přijetí a přezkum certifikačního schématu kybernetické bezpečnosti
Evropská komise zveřejní průběžný pracovní program Unie pro evropskou certifikaci kybernetické bezpečnosti, který určí strategické priority pro budoucí evropské systémy certifikace kybernetické bezpečnosti. Průběžný pracovní program Unie má obsahovat zejména seznam ICT produktů, služeb a procesů či jejich kategorií, pro něž by mohlo být zařazení do oblasti působnosti evropského systému kybernetické bezpečnosti prospěšné.
Komise, ať na základě průběžného pracovního programu Unie anebo mimo něj, případně Evropská skupina pro certifikace kybernetické bezpečnosti (dále jen ECCG), požádá agenturu ENISA o návrh konkrétního certifikačního schématu. ENISA pro tyto účely může vytvořit pracovní skupinu (Ad-hoc Working Group) sestavenou z expertů v dané oblasti, včetně zástupců členských států.
V průběhu zpracování návrhu může ENISA komunikovat obsah návrhu s Komisí, resp. ECCG, a taktéž konzultovat s veřejností. Zpracovaný návrh certifikačního schématu pak předá Komisi, která vypracuje návrh prováděcího aktu k CSA, ke kterému pak zaujme stanovisko výbor sestavený podle čl. 66 Aktu ze zástupců jednotlivých členských států. Pokud je stanovisko kladné, pak Komise může schéma vydat formou prováděcího aktu, tedy právního předpisu. Ten je pak k dispozici na ZDE.
Jakmile je certifikační schéma aplikovatelné, je možné podle něj provádět posuzování shody. Certifikační schéma může umožnit pro úroveň záruky základní tzv. vlastní posouzení shody. Jedná se o proces, při kterém si výrobce na vlastní odpovědnost zhodnotí, že jeho ICT produkt, služba nebo proces je ve shodě s požadavky schématu. Výrobce pak může vydat EU prohlášení o shodě.
V ostatních případech provádí posouzení shody tzv. subjekt posuzování shody (certifikační orgán nebo zkušební laboratoř). V návaznosti na úspěšné hodnocení ICT produktu, služby nebo procesu je udělena certifikace a vydán evropský certifikát kybernetické bezpečnosti. Ten se vydává na dobu určenou evropským schématem certifikace kybernetické bezpečnosti a může být obnoven, budou-li nadále plněny příslušné požadavky.
Alespoň jednou za pět let ENISA vyhodnotí každé přijaté schéma certifikace kybernetické bezpečnosti, přičemž zohlední zpětnou vazbu poskytnutou zúčastněnými stranami. V případně potřeby mohou Komise nebo ECCG požádat agenturu ENISA, aby zahájila postup vypracování revidovaného návrhu schématu.
Pokračujte kliknutím na modrou šipku a z uvedeného rejstříku si vyberte jedno z dalších témat.