Akt EU-a o kibersigurnosti

Novi mandat ENISA-e

ENISA, Agencija EU-a za kibersigurnost, sada je snažnija. Aktom EU-a o kibersigurnosti Agenciji se dodjeljuje stalni mandat te joj se dodjeljuje više resursa i novih zadaća.

ENISA ima ključnu ulogu u uspostavi i održavanju europskog okvira za kibersigurnosnu certifikaciju pripremom tehničkog temelja za posebne programe certifikacije. Zadužena je za informiranje javnosti o programima certificiranja i izdanim certifikatima putem posebne internetske stranice. 

ENISA je zadužena za povećanje operativne suradnje na razini EU-a, pomoć državama članicama EU-a koje to žele da riješe svoje kibersigurnosne incidente i potporu koordinaciji EU-a u slučaju prekograničnih kibernapada i kriza velikih razmjera.

Ta se zadaća temelji na ulozi ENISA-e kao tajništva nacionalne mreže timova za odgovor na računalne sigurnosne incidente (CSIRT-ovi), uspostavljene Direktivom o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS).

Komisija je u siječnju 2026. predložila novi akt o kibersigurnosti kako bi se dodatno ojačala otpornost i sposobnosti EU-a u području kibersigurnosti. U skladu s prijedlogom ENISA će i dalje podupirati poduzeća i dionike koji posluju u EU-u izdavanjem ranih upozorenja o kiberprijetnjama i kiberincidentima. 

U suradnji s Europolom i timovima za odgovor na računalne sigurnosne incidente (CSIRT-ovi) podupirat će poduzeća u odgovoru na napade ucjenjivačkim softverom i oporavku od njih.

ENISA će razviti i zajednički kapacitet Unije za usluge upravljanja ranjivostima te će dionicima pružati usluge upravljanja ranjivostima. Upravljat će jedinstvenom ulaznom točkom za izvješćivanje o incidentima predloženom u digitalnoj skupnoj uredbi.

Cilj je revidiranog Akta o kibersigurnosti i smanjiti rizike u lancu opskrbe IKT-om u EU-u za dobavljače iz trećih zemalja koji su zabrinuti u pogledu kibersigurnosti. Njome se uspostavlja pouzdani okvir za sigurnost lanca opskrbe IKT-a primjenom usklađenog i proporcionalnog pristupa koji se temelji na riziku. Nedavni kibersigurnosni incidenti ukazali su na velike rizike od ranjivosti u lancima opskrbe IKT-a, koji su ključni za ključne usluge i infrastrukturu.

Europski okvir za kibersigurnosnu certifikaciju

Aktom EU-a o kibersigurnosti uvodi se okvir za kibersigurnosnu certifikaciju IKT proizvoda, usluga i procesa na razini EU-a. Poduzeća koja posluju u EU-u imat će koristi od toga da svoje IKT proizvode, procese i usluge moraju certificirati samo jednom i da se njihovi certifikati priznaju u cijeloj Europskoj uniji.

Prijedlogom revidiranog Akta o kibersigurnosti obnovljeni europski okvir za kibersigurnosnu certifikaciju donijet će veću jasnoću i jednostavnije postupke za razvoj programa u roku od 12 mjeseci. 

Ciljane izmjene

Komisija je 18. travnja 2023. predložila ciljanu izmjenu Akta EU-a o kibersigurnosti. Ta ciljana izmjena donesena je 15. siječnja 2025. i cilj joj je omogućiti buduće donošenje europskih programa certifikacije za „upravljane sigurnosne usluge” koji obuhvaćaju područja kao što su odgovor na incidente, penetracijsko testiranje, revizije sigurnosti i savjetovanje. Certifikacija je ključna za osiguravanje visoke razine kvalitete i pouzdanosti tih vrlo kritičnih i osjetljivih kibersigurnosnih usluga koje pomažu poduzećima i organizacijama da spriječe incidente, otkriju incidente, odgovore na njih ili se od njih oporave.

Komisija je 20. siječnja 2026. predložila i ciljane izmjene Direktive NIS2 kako bi se povećala pravna jasnoća. Izmjenama će se pojednostavniti usklađenost s pravilima EU-a o kibersigurnosti i zahtjevima za upravljanje rizicima za poduzeća koja posluju u EU-u. Njima će se olakšati usklađenost za 28.700 poduzeća, uključujući 6.200 mikropoduzeća i malih poduzeća.