Akt EU o kybernetické bezpečnosti

Nový mandát agentury ENISA

Agentura EU pro kybernetickou bezpečnost ENISA je nyní silnější. Akt EU o kybernetické bezpečnosti uděluje agentuře trvalý mandát a dává jí více zdrojů a nové úkoly.

Agentura ENISA hraje klíčovou úlohu při vytváření a udržování evropského rámce pro certifikaci kybernetické bezpečnosti tím, že připravuje technický základ pro konkrétní systémy certifikace. Má za úkol informovat veřejnost o systémech certifikace a vydaných certifikátech prostřednictvím zvláštních internetových stránek. 

Agentura ENISA má za úkol posílit operativní spolupráci na úrovni EU, pomáhat členským státům EU, které o ni chtějí požádat, při řešení jejich kybernetických bezpečnostních incidentů a podporovat koordinaci EU v případě rozsáhlých přeshraničních kybernetických útoků a krizí.

Tento úkol vychází z úlohy agentury ENISA jako sekretariátu vnitrostátní sítě skupin pro reakci na počítačové bezpečnostní incidenty (CSIRT) zřízené směrnicí o bezpečnosti sítí a informačních systémů (směrnice o bezpečnosti sítí a informací).

V lednu 2026 navrhla Komise nový akt o kybernetické bezpečnosti s cílem dále posílit odolnost a schopnosti EU v oblasti kybernetické bezpečnosti. Podle návrhu bude agentura ENISA dále podporovat společnosti a zúčastněné strany působící v EU vydáváním včasných varování před kybernetickými hrozbami a incidenty. 

Ve spolupráci s Europolem a skupinami pro reakci na incidenty v oblasti počítačové bezpečnosti (CSIRT) bude podporovat společnosti při reakci na útoky ransomwaru a při zotavování se z nich.

Agentura ENISA rovněž vytvoří společnou kapacitu služeb Unie v oblasti řízení zranitelností a bude zúčastněným stranám poskytovat služby v oblasti řízení zranitelností. Bude provozovat jednotné kontaktní místo pro hlášení incidentů navržené v digitálním souhrnném nařízení.

Revidovaný akt o kybernetické bezpečnosti má rovněž za cíl snížit rizika v dodavatelském řetězci IKT v EU od dodavatelů ze třetích zemí, kteří mají obavy o kybernetickou bezpečnost. Stanoví důvěryhodný rámec pro bezpečnost dodavatelského řetězce IKT s využitím harmonizovaného, přiměřeného přístupu založeného na posouzení rizik. Nedávné kybernetické bezpečnostní incidenty upozornily na hlavní rizika zranitelnosti v dodavatelských řetězcích IKT, která mají zásadní význam pro kritické služby a infrastrukturu.

Evropský rámec pro certifikaci kybernetické bezpečnosti

Akt EU o kybernetické bezpečnosti zavádí celounijní rámec pro certifikaci kybernetické bezpečnosti produktů, služeb a procesů IKT. Společnosti podnikající v EU budou mít prospěch z toho, že budou muset certifikovat své produkty, procesy a služby IKT pouze jednou a jejich certifikáty budou uznávány v celé Evropské unii.

Díky návrhu revidovaného aktu o kybernetické bezpečnosti přinese obnovený evropský rámec pro certifikaci kybernetické bezpečnosti větší jasnost a jednodušší postupy pro vypracování systémů do 12 měsíců. 

Cílené změny

Dne 18. dubna 2023 navrhla Komise cílenou změnu aktu EU o kybernetické bezpečnosti. Tato cílená změna byla přijata dne 15. ledna 2025 a jejím cílem je umožnit budoucí přijetí evropských systémů certifikace pro „řízené bezpečnostní služby“ v oblastech, jako je reakce na incidenty, penetrační testování, bezpečnostní audity a poradenství. Certifikace je klíčem k zajištění vysoké úrovně kvality a spolehlivosti těchto vysoce kritických a citlivých služeb kybernetické bezpečnosti, které pomáhají společnostem a organizacím předcházet incidentům, odhalovat je, reagovat na ně nebo se z nich zotavit.

Dne 20. ledna 2026 Komise rovněž navrhla cílené změny směrnice NIS2 s cílem zvýšit právní jasnost. Změny zjednoduší dodržování pravidel EU v oblasti kybernetické bezpečnosti a požadavků na řízení rizik pro společnosti působící v EU. Usnadní dodržování předpisů pro 28 700 společností, včetně 6 200 mikropodniků a malých podniků.