Akt EÚ o kybernetickej bezpečnosti

Nový mandát pre agentúru ENISA

Agentúra EÚ pre kybernetickú bezpečnosť ENISA je teraz silnejšia. Aktom EÚ o kybernetickej bezpečnosti sa agentúre udeľuje trvalý mandát a poskytuje sa jej viac zdrojov a nové úlohy.

Agentúra ENISA zohráva kľúčovú úlohu pri vytváraní a udržiavaní európskeho rámca certifikácie kybernetickej bezpečnosti tým, že pripravuje technické podmienky pre konkrétne systémy certifikácie. Je zodpovedná za informovanie verejnosti o certifikačných systémoch a vydaných certifikátoch prostredníctvom osobitnej webovej stránky. 

Agentúra ENISA je poverená zintenzívnením operačnej spolupráce na úrovni EÚ, poskytovaním pomoci členským štátom EÚ, ktoré o ňu chcú požiadať, pri riešení ich kybernetických incidentov, a podporou koordinácie EÚ v prípade rozsiahlych cezhraničných kybernetických útokov a kríz.

Táto úloha vychádza z úlohy agentúry ENISA ako sekretariátu vnútroštátnej siete jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT) zriadenej smernicou o bezpečnosti sietí a informačných systémov (smernica NIS).

V januári 2026 Komisia navrhla nový akt o kybernetickej bezpečnosti s cieľom ďalej posilniť odolnosť a spôsobilosti EÚ v oblasti kybernetickej bezpečnosti. Na základe návrhu bude agentúra ENISA ďalej podporovať spoločnosti a zainteresované strany pôsobiace v EÚ vydávaním včasných varovaní pred kybernetickými hrozbami a incidentmi. 

V spolupráci s Europolom a jednotkami pre riešenie počítačových bezpečnostných incidentov (CSIRT) bude podporovať spoločnosti pri reakcii na ransomvérové útoky a pri zotavovaní sa z nich.

Agentúra ENISA takisto vytvorí spoločnú kapacitu Únie v oblasti služieb riadenia zraniteľnosti a bude zainteresovaným stranám poskytovať služby riadenia zraniteľnosti. Bude prevádzkovať jednotné kontaktné miesto pre nahlasovanie incidentov navrhnuté v digitálnom súhrnnom nariadení.

Cieľom revidovaného aktu o kybernetickej bezpečnosti je takisto znížiť riziká v dodávateľskom reťazci IKT EÚ od dodávateľov z tretích krajín, ktorí majú obavy o kybernetickú bezpečnosť. Stanovuje sa v ňom dôveryhodný rámec bezpečnosti dodávateľského reťazca IKT s použitím harmonizovaného, primeraného a rizikovo orientovaného prístupu. Nedávne kybernetické incidenty poukázali na hlavné riziká zraniteľných miest v dodávateľských reťazcoch IKT, ktoré sú nevyhnutné pre kritické služby a infraštruktúru.

Európsky rámec certifikácie kybernetickej bezpečnosti

Aktom EÚ o kybernetickej bezpečnosti sa zavádza celoúnijný rámec certifikácie kybernetickej bezpečnosti produktov, služieb a procesov IKT. Spoločnosti, ktoré podnikajú v EÚ, budú mať prospech z toho, že budú musieť certifikovať svoje produkty, procesy a služby IKT len raz a ich certifikáty budú uznané v celej Európskej únii.

Vďaka návrhu revidovaného aktu o kybernetickej bezpečnosti prinesie obnovený európsky rámec certifikácie kybernetickej bezpečnosti jasnejšie a jednoduchšie postupy pre štandardne vyvíjané systémy do 12 mesiacov. 

Cielené zmeny

Komisia 18. apríla 2023 navrhla cielenú zmenu aktu EÚ o kybernetickej bezpečnosti. Táto cielená zmena bola prijatá 15. januára 2025 a jej cieľom je umožniť budúce prijatie európskych systémov certifikácie „riadených bezpečnostných služieb“ v oblastiach, ako je reakcia na incidenty, penetračné testovanie, bezpečnostné audity a poradenstvo. Certifikácia je kľúčom k zabezpečeniu vysokej úrovne kvality a spoľahlivosti týchto vysoko kritických a citlivých služieb kybernetickej bezpečnosti, ktoré pomáhajú spoločnostiam a organizáciám predchádzať incidentom, odhaľovať ich, reagovať na ne alebo zotaviť sa z nich.

Komisia 20. januára 2026 navrhla aj cielené zmeny smernice NIS2 s cieľom zvýšiť právnu zrozumiteľnosť. Zmenami sa zjednoduší dodržiavanie pravidiel EÚ v oblasti kybernetickej bezpečnosti a požiadaviek na riadenie rizík pre spoločnosti pôsobiace v EÚ. Uľahčia dodržiavanie predpisov pre 28 700 spoločností vrátane 6 200 mikropodnikov a malých podnikov.