ES kibernetinio saugumo aktas

Nauji ENISA įgaliojimai

ES kibernetinio saugumo agentūra ENISA dabar yra stipresnė. ES kibernetinio saugumo aktu agentūrai suteikiami nuolatiniai įgaliojimai, daugiau išteklių ir naujų užduočių.

ENISA, parengdama konkrečių sertifikavimo schemų techninį pagrindą, atlieka svarbų vaidmenį kuriant ir prižiūrint Europos kibernetinio saugumo sertifikavimo sistemą. Ji yra atsakinga už visuomenės informavimą apie sertifikavimo schemas ir išduotus sertifikatus tam skirtoje interneto svetainėje. 

ENISA įgaliota stiprinti operatyvinį bendradarbiavimą ES lygmeniu, padėti ES valstybėms narėms, kurios to pageidauja, valdyti savo kibernetinio saugumo incidentus ir remti ES koordinavimą didelio masto tarpvalstybinių kibernetinių išpuolių ir krizių atveju.

Ši užduotis grindžiama ENISA, kaip nacionalinių reagavimo į kompiuterių saugumo incidentus tarnybų (CSIRT) tinklo, įsteigto Direktyva dėl tinklų ir informacinių sistemų saugumo (TIS direktyva), sekretoriato, vaidmeniu.

2026 m. sausio mėn. Komisija pasiūlė naują Kibernetinio saugumo aktą, kuriuo siekiama toliau stiprinti ES kibernetinio saugumo atsparumą ir pajėgumus. Pagal pasiūlymą ENISA toliau rems ES veikiančias įmones ir suinteresuotuosius subjektus, teikdama išankstinius įspėjimus apie kibernetines grėsmes ir incidentus. 

Bendradarbiaudama su Europolu ir reagavimo į kompiuterių saugumo incidentus tarnybomis (CSIRT), ji padės įmonėms reaguoti į išpuolius naudojant išpirkos reikalavimo programinę įrangą ir atsigauti po jų.

ENISA taip pat plėtos bendrus Sąjungos pažeidžiamumų valdymo paslaugų pajėgumus ir teiks pažeidžiamumų valdymo paslaugas suinteresuotiesiems subjektams. Ji valdys vieno langelio principu veikiantį pranešimo apie incidentus punktą, pasiūlytą skaitmeniniame bendrajame skaitmeniniame reglamente.

Peržiūrėtu Kibernetinio saugumo aktu taip pat siekiama sumažinti riziką ES IRT tiekimo grandinėje, kurią kelia trečiųjų valstybių tiekėjai, turintys kibernetinio saugumo problemų. Juo nustatoma patikima IRT tiekimo grandinės saugumo sistema, taikant suderintą, proporcingą ir rizika grindžiamą požiūrį. Pastarojo meto kibernetinio saugumo incidentai išryškino didelę IRT tiekimo grandinių pažeidžiamumo riziką, kuri yra labai svarbi ypatingos svarbos paslaugoms ir infrastruktūrai.

Europos kibernetinio saugumo sertifikavimo sistema

ES kibernetinio saugumo aktu nustatoma ES masto IRT produktų, paslaugų ir procesų kibernetinio saugumo sertifikavimo sistema. ES veiklą vykdančioms įmonėms bus naudinga, jei jų IRT produktai, procesai ir paslaugos bus sertifikuojami tik vieną kartą ir jų sertifikatai bus pripažįstami visoje Europos Sąjungoje.

Priėmus pasiūlymą dėl peržiūrėto Kibernetinio saugumo akto, atnaujinta Europos kibernetinio saugumo sertifikavimo sistema suteiks daugiau aiškumo ir supaprastins schemų kūrimo procedūras per standartiškai 12 mėnesių. 

Tiksliniai pakeitimai

2023 m. balandžio 18 d. Komisija pasiūlė tikslinį ES kibernetinio saugumo akto pakeitimą. Šis tikslinis pakeitimas buvo priimtas 2025 m. sausio 15 d. ir juo siekiama sudaryti sąlygas ateityje priimti valdomų saugumo paslaugų Europos sertifikavimo schemas, apimančias tokias sritis kaip reagavimas į incidentus, skverbimosi testavimas, saugumo auditas ir konsultavimas. Sertifikavimas yra labai svarbus siekiant užtikrinti aukštą šių itin svarbių ir neskelbtinų kibernetinio saugumo paslaugų, kurios padeda įmonėms ir organizacijoms užkirsti kelią incidentams, juos aptikti, į juos reaguoti arba po jų atsigauti, kokybę ir patikimumą.

2026 m. sausio 20 d. Komisija taip pat pasiūlė tikslinių TIS 2 direktyvos pakeitimų, kad būtų padidintas teisinis aiškumas. Pakeitimais bus supaprastinta ES veikiančių įmonių atitiktis ES kibernetinio saugumo taisyklėms ir rizikos valdymo reikalavimams. Jos palengvins reikalavimų laikymąsi 28 700 įmonių, įskaitant 6 200 labai mažų ir mažųjų įmonių.