V platnost vstoupí nová pravidla na podporu kybernetické bezpečnosti orgánů EU

Nová pravidla na podporu kybernetické bezpečnosti orgánů EU

Včera 7. ledna 2024 vstoupilo v platnost nové nařízení o kybernetické bezpečnosti, kterým se stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech Unie.

Nařízení stanoví opatření pro vytvoření vnitřního rámce pro řízení, správu a kontrolu kybernetických bezpečnostních rizik pro každý subjekt Unie a zřizuje nový interinstitucionální výbor pro kybernetickou bezpečnost (IICB), jehož úkolem je monitorovat a podporovat jeho provádění subjekty Unie. Poskytuje rozšířený mandát skupiny pro reakci na počítačové hrozby pro orgány, instituce a jiné subjekty EU (CERT-EU) jakožto zpravodajské služby, výměnu informací a koordinaci reakce na incidenty, ústřední poradní orgán a poskytovatele služeb. V souladu se svým mandátem je centrum CERT-EU přejmenováno na službu kybernetické bezpečnosti pro orgány, instituce a jiné subjekty Unie, ale zachovává zkrácený název „CERT-EU“.

Další kroky

V souladu s harmonogramem stanoveným v nařízení zavedou subjekty Unie vnitřní procesy správy kybernetické bezpečnosti a postupně zavedou konkrétní opatření k řízení kybernetických bezpečnostních rizik stanovená v nařízení. Výbor IICB bude zřízen a začne fungovat co nejdříve s cílem zajistit strategické řízení centra CERT-EU v rámci jeho rozšířeného mandátu, poskytovat pokyny a podporu subjektům Unie a sledovat provádění nařízení.

Pozadí

Rada Evropské unie ve svém usnesení z března 2021 zdůraznila význam pevného a soudržného bezpečnostního rámce v zájmu ochrany všech zaměstnanců orgánů a institucí EU, jejich údajů, komunikačních sítí, informačních systémů a rozhodovacích procesů. V této souvislosti Komise v březnu 2022 oznámila návrh nařízení o kybernetické bezpečnosti a v červnu 2023 dosáhly Evropský parlament a Rada politické dohody.

Toto nařízení je v souladu s cíli politiky Komise stanovenými ve strategii bezpečnostní unie EU a ve strategii kybernetické bezpečnosti EU a zajišťuje soulad s dalšími legislativními iniciativami v této oblasti:

Směrnici o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii (dále jen „směrnice NIS 2“), s níž jsou tyto právní předpisy sladěny, pokud jde o zásady a úroveň ambicí, při současném respektování specifik subjektů Unie;
Akt o kybernetické bezpečnosti;
Doporučením Komise o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize.

Nařízení o kybernetické bezpečnosti bylo předloženo společně s návrhem nařízení o bezpečnosti informací, které stanoví minimální pravidla a normy pro bezpečnost informací pro všechny orgány, instituce a jiné subjekty EU. Cílem tohoto návrhu je bezpečná výměna informací mezi orgány, institucemi a jinými subjekty EU a s členskými státy na základě standardizovaných postupů a opatření na ochranu toků informací. Jednání mezi spolunormotvůrci o tomto návrhu dosud nezačala.

Quote

Vzhledem k tomu, že kybernetické hrozby jsou stále všudypřítomnější a pachatelé kybernetických útoků jsou sofistikovanější, má dosažení vysoké společné úrovně kybernetické bezpečnosti ve všech subjektech Unie zásadní význam pro zajištění otevřené, účinné, bezpečné a odolné veřejné správy EU. Nařízení posiluje kybernetickou bezpečnost subjektů Unie a uvádí správu EU do souladu se standardy uloženými členským státům, jako je směrnice o vysoké společné úrovni kybernetické bezpečnosti v celé Unii, známá také jako NIS 2. Rychlé přijetí nařízení je důkazem odhodlání EU k plnění těchto cílů. Nyní vyzývám spolunormotvůrce, aby se urychleně zapojili do jednání o souběžném nařízení o bezpečnosti informací.

Johannes Hahn, komisař pro rozpočet a správu 2024-01-07