ES Kiberdrošības akts

Jaunas ENISA pilnvaras

ENISA — ES Kiberdrošības aģentūra — tagad ir spēcīgāka. ES Kiberdrošības akts piešķir aģentūrai pastāvīgas pilnvaras un piešķir tai vairāk resursu un jaunus uzdevumus.

ENISA ir ieguvusi būtisku lomu Eiropas kiberdrošības sertifikācijas satvara izveidē un uzturēšanā, sagatavojot tehnisko pamatu konkrētām sertifikācijas shēmām. Tā atbild par sabiedrības informēšanu par sertifikācijas shēmām un izdotajiem sertifikātiem, izmantojot īpašu tīmekļa vietni. 

ENISA ir pilnvarota palielināt operatīvo sadarbību ES līmenī, palīdzot ES dalībvalstīm, kuras to vēlas, risināt savus kiberdrošības incidentus un atbalstot ES koordināciju liela mēroga pārrobežu kiberuzbrukumu un krīžu gadījumā.

Šā uzdevuma pamatā ir ENISA kā valstu datordrošības incidentu reaģēšanas vienību (CSIRT) tīkla, kas izveidots ar Tīklu un informācijas sistēmu drošības direktīvu (TID direktīva), sekretariāta loma.

2026. gada janvārī Komisija ierosināja jaunu Kiberdrošības aktu, lai vēl vairāk stiprinātu ES kiberdrošības noturību un spējas. Saskaņā ar priekšlikumu ENISA turpinās atbalstīt uzņēmumus un ieinteresētās personas, kas darbojas ES, izdodot agrīnus brīdinājumus par kiberdraudiem un incidentiem. 

Sadarbībā ar Eiropolu un datordrošības incidentu reaģēšanas vienībām (CSIRT) tā palīdzēs uzņēmumiem reaģēt uz izspiedējprogrammatūras uzbrukumiem un atgūties no tiem.

ENISA arī izstrādās kopīgu Savienības neaizsargātības pārvaldības pakalpojumu spēju un sniegs neaizsargātības pārvaldības pakalpojumus ieinteresētajām personām. Tas darbosies kā vienots kontaktpunkts ziņošanai par incidentiem, kā ierosināts Digitālajā kopotajā regulā.

Pārskatītā Kiberdrošības akta mērķis ir arī samazināt riskus ES IKT piegādes ķēdē, ko rada trešo valstu piegādātāji, kuriem ir bažas par kiberdrošību. Ar to izveido uzticamu IKT piegādes ķēdes drošības sistēmu, izmantojot saskaņotu, samērīgu un uz risku balstītu pieeju. Nesenie kiberdrošības incidenti ir izgaismojuši galvenos ievainojamības riskus IKT piegādes ķēdēs, kas ir būtiskas kritiski svarīgiem pakalpojumiem un infrastruktūrai.

Eiropas kiberdrošības sertifikācijas satvars

Ar ES Kiberdrošības aktu tiek ieviests ES mēroga kiberdrošības sertifikācijas satvars IKT produktiem, pakalpojumiem un procesiem. Uzņēmumi, kas veic uzņēmējdarbību ES, gūs labumu no tā, ka to IKT produkti, procesi un pakalpojumi būs jāsertificē tikai vienu reizi un to sertifikāti tiks atzīti visā Eiropas Savienībā.

Ar priekšlikumu par pārskatīto Kiberdrošības aktu atjaunotais Eiropas kiberdrošības sertifikācijas satvars nodrošinās lielāku skaidrību un vienkāršākas procedūras shēmu izstrādei 12 mēnešu laikā pēc noklusējuma. 

Mērķtiecīgi grozījumi

Komisija 2023. gada 18. aprīlī ierosināja mērķtiecīgu grozījumu ES Kiberdrošības aktā. Šis mērķtiecīgais grozījums tika pieņemts 2025. gada 15. janvārī, un tā mērķis ir ļaut nākotnē pieņemt Eiropas sertifikācijas shēmas “pārvaldītiem drošības pakalpojumiem”, kas aptver tādas jomas kā reaģēšana uz incidentiem, ielaušanās testēšana, drošības revīzijas un konsultācijas. Sertifikācija ir būtiska, lai nodrošinātu augstu kvalitātes un uzticamības līmeni šiem ļoti kritiski svarīgajiem un sensitīvajiem kiberdrošības pakalpojumiem, kas palīdz uzņēmumiem un organizācijām novērst, atklāt incidentus, reaģēt uz tiem vai atgūties no tiem.

2026. gada 20. janvārī Komisija arī ierosināja mērķtiecīgus grozījumus TID 2 direktīvā, lai palielinātu juridisko skaidrību. Grozījumi vienkāršos ES kiberdrošības noteikumu un riska pārvaldības prasību ievērošanu uzņēmumiem, kas darbojas ES. Tie atvieglos atbilstības nodrošināšanu 28 700 uzņēmumiem, tostarp 6200 mikrouzņēmumiem un mazajiem uzņēmumiem.