Akt EU o kibernetski varnosti

Nov mandat Evropske agencije za varnost omrežij in informacij (ENISA)

Agencija EU za kibernetsko varnost ENISA je zdaj močnejša. Akt EU o kibernetski varnosti agenciji podeljuje stalna pooblastila ter ji daje več virov in nove naloge.

Agencija ENISA ima ključno vlogo pri vzpostavitvi in vzdrževanju evropskega certifikacijskega okvira za kibernetsko varnost, saj pripravlja tehnično podlago za posebne certifikacijske sheme. Odgovoren je za obveščanje javnosti o certifikacijskih shemah in izdanih certifikatih prek namenskega spletnega mesta. 

Agencija ENISA je pooblaščena, da okrepi operativno sodelovanje na ravni EU, pomaga državam članicam EU, ki želijo od nje zahtevati obvladovanje svojih kibernetskih incidentov, in podpira usklajevanje EU v primeru obsežnih čezmejnih kibernetskih napadov in kriz.

Ta naloga temelji na vlogi agencije ENISA kot sekretariata mreže nacionalnih skupin za odzivanje na incidente na področju računalniške varnosti (v nadaljnjem besedilu: skupine CSIRT), vzpostavljene z direktivo o varnosti omrežij in informacijskih sistemov (v nadaljnjem besedilu: direktiva o varnosti omrežij in informacij).

Komisija je januarja 2026 predlagala nov akt o kibernetski varnosti za nadaljnjo krepitev odpornosti in zmogljivosti EU na področju kibernetske varnosti. V skladu s predlogom bo agencija ENISA še naprej podpirala podjetja in deležnike, ki delujejo v EU, in sicer z zgodnjim opozarjanjem na kibernetske grožnje in incidente. 

V sodelovanju z Europolom in skupinami za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT) bo podpiral podjetja pri odzivanju na napade z izsiljevalskim programjem in okrevanju po njih.

Agencija ENISA bo razvila tudi skupno zmogljivost Unije za storitve obvladovanja ranljivosti in deležnikom zagotavljala storitve obvladovanja ranljivosti. Upravljala bo enotno vstopno točko za poročanje o incidentih, predlagano v digitalnem omnibusu.

Cilj revidiranega akta o kibernetski varnosti je tudi zmanjšati tveganja v dobavni verigi IKT v EU od dobaviteljev iz tretjih držav, ki imajo pomisleke glede kibernetske varnosti. Določa zaupanja vreden okvir za varnost dobavne verige IKT z uporabo usklajenega, sorazmernega in na tveganju temelječega pristopa. Nedavni kibernetski incidenti so izpostavili velika tveganja ranljivosti v dobavnih verigah IKT, ki so bistvene za kritične storitve in infrastrukturo.

Evropski certifikacijski okvir za kibernetsko varnost

Akt EU o kibernetski varnosti uvaja vseevropski certifikacijski okvir za kibernetsko varnost za izdelke, storitve in postopke IKT. Podjetja, ki poslujejo v EU, bodo morala svoje izdelke, postopke in storitve IKT certificirati samo enkrat, njihovi certifikati pa bodo priznani po vsej Evropski uniji.

S predlogom revidiranega akta o kibernetski varnosti bo prenovljeni evropski certifikacijski okvir za kibernetsko varnost prinesel več jasnosti in enostavnejše postopke za razvoj shem v privzetih 12 mesecih. 

Ciljno usmerjeni predlogi sprememb

Komisija je 18. aprila 2023 predlagala ciljno usmerjeno spremembo akta EU o kibernetski varnosti. Ta ciljno usmerjena sprememba je bila sprejeta 15. januarja 2025, njen cilj pa je omogočiti prihodnje sprejetje evropskih certifikacijskih shem za „upravljane varnostne storitve“, ki zajemajo področja, kot so odzivanje na incidente, penetracijsko testiranje, varnostne revizije in svetovanje. Certificiranje je ključno za zagotovitev visoke ravni kakovosti in zanesljivosti teh zelo kritičnih in občutljivih storitev kibernetske varnosti, ki podjetjem in organizacijam pomagajo pri preprečevanju in odkrivanju incidentov, odzivanju nanje ali okrevanju po njih.

Komisija je 20. januarja 2026 predlagala tudi ciljno usmerjene spremembe direktive VOIS 2, da bi povečala pravno jasnost. Spremembe bodo poenostavile skladnost s pravili EU o kibernetski varnosti in zahtevami glede obvladovanja tveganj za podjetja, ki poslujejo v EU. Olajšali bodo skladnost za 28.700 podjetij, vključno s 6.200 mikro in malimi podjetji.