Komisia navrhla nové pravidlá, ktorými sa majú zriadiť spoločné opatrenia v oblasti kybernetickej a informačnej bezpečnosti vo všetkých inštitúciách, orgánoch, úradoch a agentúrach EÚ. Cieľom návrhu je posilniť ich odolnosť a schopnosť reagovať na kybernetické hrozby a incidenty a zabezpečiť odolnú a bezpečnú verejnú správu EÚ v kontexte množiacich sa škodlivých kybernetických činností v globálnom prostredí.
Komisár pre rozpočet a administratívu Johannes Hahn pri tejto príležitosti uviedol: „V prepojenom svete môže mať jeden kybernetický incident vplyv na celú organizáciu. Preto je nevyhnutné vybudovať silný ochranný štít proti kybernetickým hrozbám a incidentom, ktoré by mohli narušiť našu schopnosť konať. Nariadenia, ktoré dnes navrhujeme, sú míľnikom v oblasti kybernetickej a informačnej bezpečnosti v EÚ. Sú založené na lepšej spolupráci a vzájomnej podpore medzi inštitúciami, orgánmi, úradmi a agentúrami EÚ a na koordinovanej pripravenosti a reakcii. Ide o skutočné kolektívne úsilie EÚ.“
V súvislosti s pandémiou COVID-19 a rastúcimi geopolitickými výzvami je nevyhnutné, aby sme ku kybernetickej a informačnej bezpečnosti pristupovali spoločne. Preto Komisia navrhla nariadenie o kybernetickej bezpečnosti a nariadenie o informačnej bezpečnosti. Stanovením spoločných priorít a rámcov tieto pravidlá ešte viac prehĺbia medziinštitucionálnu spoluprácu, minimalizujú vystavenie riziku a posilnia bezpečnostnú kultúru EÚ.
Nariadenie o kybernetickej bezpečnosti
Navrhovaným nariadením o kybernetickej bezpečnosti sa vytvorí rámec správy, riadenia a kontroly rizík v oblasti kybernetickej bezpečnosti. Vytvorí sa nová medziinštitucionálna rada pre kybernetickú bezpečnosť, posilnia sa spôsobilosti v oblasti kybernetickej bezpečnosti a podporí sa pravidelné posudzovanie vyspelosti a lepšia kybernetická hygiena. Zároveň sa rozšíri mandát tímu reakcie na núdzové počítačové situácie v európskych inštitúciách, orgánoch, úradoch a agentúrach (CERT-EU), ktorý bude slúžiť ako centrum na výmenu spravodajských informácií o hrozbách, koordináciu reakcie na incidenty a ako ústredný poradný orgán a poskytovateľ služieb.
Kľúčové prvky návrhu nariadenia o kybernetickej bezpečnosti:
- posilniť mandát tímu CERT-EU a poskytnúť zdroje potrebné na jeho plnenie,
- požadovať od všetkých inštitúcií, orgánov, úradov a agentúr EÚ, aby:
- mali rámec správy, riadenia a kontroly rizík v oblasti kybernetickej bezpečnosti,
- vykonávali základné kybernetickobezpečnostné pravidlá na riešenie zistených rizík,
- realizovali pravidelné posúdenia vyspelosti,
- vytvorili plán na zlepšenie kybernetickej bezpečnosti schválený svojím vedením,
- bez zbytočného odkladu zdieľať s tímom CERT-EU informácie týkajúce sa incidentov,
- zriadiť novú medziinštitucionálnu radu pre kybernetickú bezpečnosť, ktorá bude riadiť a monitorovať vykonávanie nariadenia a usmerňovať CERT-EU,
- premenovať CERT-EU – „tím reakcie na núdzové počítačové situácie“ na „centrum kybernetickej bezpečnosti“ v súlade s vývojom v členských štátoch a na celom svete, ale z dôvodu rozpoznania názvu ponechať skratku „CERT-EU“.
Nariadenie o informačnej bezpečnosti
Navrhovaným nariadením o informačnej bezpečnosti sa vytvorí minimálny súbor pravidiel a noriem v oblasti informačnej bezpečnosti pre všetky inštitúcie, orgány, úrady a agentúry EÚ s cieľom lepšie a konzistentne chrániť informácie pred vyvíjajúcimi sa hrozbami. Tieto nové pravidlá poskytnú stabilný základ pre bezpečnú výmenu informácií medzi všetkými inštitúciami, orgánmi, úradmi a agentúrami EÚ a s členskými štátmi. Budú vychádzať zo štandardizovaných postupov a opatrení na ochranu informačných tokov.
Kľúčové prvky návrhu nariadenia o informačnej bezpečnosti:
- vytvoriť účinnú správu s cieľom podporiť spoluprácu vo všetkých inštitúciách, orgánoch, úradoch a agentúrach EÚ, konkrétne medziinštitucionálnu koordinačnú skupinu pre informačnú bezpečnosť,
- vypracovať spoločný prístup na kategorizáciu informácií na základe úrovne dôvernosti,
- modernizovať politiky v oblasti informačnej bezpečnosti vrátane digitálnej transformácie a práce na diaľku,
- zefektívniť súčasné postupy a dosiahnuť väčšiu kompatibilitu medzi príslušnými systémami a zariadeniami.
Súvislosti
Rada Európskej únie vo svojom uznesení z marca 2021 zdôraznila význam spoľahlivého a konzistentného bezpečnostného rámca na ochranu všetkých zamestnancov EÚ, údajov, komunikačných sietí, informačných systémov a rozhodovacích procesov. Toto všetko sa dá dosiahnuť len posilnením odolnosti a zlepšením bezpečnostnej kultúry inštitúcií, orgánov, úradov a agentúr EÚ.
Dnešné nariadenie o kybernetickej bezpečnosti, ktoré vychádza zo Stratégie EÚ pre bezpečnostnú úniu a stratégie kybernetickej bezpečnosti Európskej únie, zabezpečí súlad s existujúcimi politikami EÚ v oblasti kybernetickej bezpečnosti v plnej zhode s týmito platnými európskymi právnymi predpismi:
- smernica o sieťovej a informačnej bezpečnosti (smernica NIS) a budúca smernica o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii (NIS 2) navrhnuté Komisiou v decembri 2020,
- akt o kybernetickej bezpečnosti,
- odporúčanie Komisie o zriadení spoločnej kybernetickej jednotky,
- odporúčanie Komisie o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu.
Vzhľadom na neustále sa zvyšujúce množstvo citlivých neutajovaných skutočností a utajovaných skutočností EÚ, ktoré inštitúcie, orgány, úrady a agentúry EÚ spracúvajú, je cieľom navrhovaného nariadenia o informačnej bezpečnosti zvýšiť ochranu informácií zjednodušením rôznych právnych rámcov inštitúcií, orgánov, úradov a agentúr Únie v tejto oblasti. Návrh je v súlade:
- so Stratégiou EÚ pre bezpečnostnú úniu, ktorá zahŕňa komplexný záväzok EÚ podporovať úsilie členských štátov vo všetkých oblastiach bezpečnosti,
- s kľúčovým prvkom strategického programu na roky 2019 – 2024, ktorý prijala Európska rada v júni 2019, na ochranu našich spoločností pred neustále sa vyvíjajúcimi hrozbami zameranými na informácie, s ktorými sa manipuluje v inštitúciách, orgánoch a agentúrach EÚ,
- závermi Rady pre všeobecné záležitosti z decembra 2019, v ktorých sa inštitúcie, orgány a agentúry EÚ vyzývajú, aby s podporou členských štátov vypracovali a vykonávali komplexný súbor opatrení na zaistenie svojej bezpečnosti.