Navigation path

Left navigation

Additional tools

Evropská komise - Otázky a odpovědi

Časté otázky – Kybernetická bezpečnost v EU

Brusel 26. června 2019

Co EU doposud pro posílení kybernetické bezpečnosti udělala?

EU má řadu nástrojů na ochranu sítí elektronických komunikací, včetně směrnice o bezpečnosti sítí a informačních systémů, aktu o kybernetické bezpečnosti a nových pravidel pro telekomunikace.

Směrnice zavádí nové mechanismy spolupráce na úrovni EU a opatření ke zvýšení vnitrostátních kapacit. Dále ukládá provozovatelům základních služeb a poskytovatelům digitálních služeb povinnost přijmout postupy řízení rizik a oznamovat významné bezpečnostní incidenty příslušnému vnitrostátnímu orgánu.

Akt o kybernetické bezpečnosti poprvé zavádí celounijní pravidla kyberneticko-bezpečnostní certifikace produktů, postupů a služeb. Kromě toho uděluje nový trvalý mandát Agentuře EU pro kybernetickou bezpečnost (ENISA), která tak k plnění stanovených cílů získá více zdrojů.

Podle nových pravidel pro telekomunikace (evropský kodex pro elektronické komunikace) musí členské státy zajistit zachování integrity a bezpečnosti veřejných komunikačních sítí a dále jsou povinny zajistit, že provozovatelé přijmou technická a organizační opatření umožňující odpovídajícím způsobem zvládat rizika ohrožující bezpečnost sítí a služeb. Kodex rovněž uděluje příslušným vnitrostátním regulačním orgánům určité pravomoci, např. vydávat závazné pokyny a dohlížet na jejich dodržování. Členské státy navíc mohou k obecnému oprávnění pro provozovatele připojit podmínky týkající se zabezpečení veřejných sítí proti neoprávněnému přístupu za účelem ochrany důvěrného charakteru sdělení.

V květnu 2019 Rada zavedla systém sankcí, který Unii umožňuje uvalit cílená restriktivní opatření v zájmu prevence kybernetických útoků či jako reakci na útoky, které představují vnější hrozbu pro EU nebo její členské státy. Tento nový systém sankcí je součástí souboru nástrojů kybernetické diplomacie EU, které tvoří rámec pro společnou diplomatickou reakci EU na nepřátelské kybernetické aktivity. Díky němu může EU při reakci na tyto aktivity plně využít opatření společné zahraniční a bezpečnostní politiky, jako jsou například prohlášení vysoké představitelky, diplomatické nóty, a případně uvalit restriktivní opatření.

Co je rámec EU pro certifikaci kybernetické bezpečnosti a jaké jsou jeho výhody?

Systém certifikace je ucelený soubor pravidel, technických požadavků, norem a procesů sjednaný na evropské úrovni, jímž se posuzují kyberneticko-bezpečnostní vlastnosti konkrétního produktu, služby či procesu.

Certifikace kybernetické bezpečnosti hraje důležitou úlohu při zvyšování důvěryhodnosti a bezpečnosti produktů, služeb a procesů, které mají zásadní význam pro hladké fungování jednotného digitálního trhu. Vzhledem k velké rozmanitosti produktů, služeb a procesů IKT a mnoha jejich využití umožňuje evropský rámec pro certifikaci kybernetické bezpečnosti vytvářet flexibilní systémy certifikace EU uzpůsobené potřebám a existujícím rizikům.

Každý evropský systém by měl zejména upřesnit: a) kategorie produktů a služeb IKT, b) kyberneticko-bezpečnostní požadavky, např. odkazy na normy a technické specifikace, c) druh posouzení (např. vlastní posouzení nebo posouzení třetí strany) a d) zamýšlenou úroveň zabezpečení (např. základní, podstatná nebo vysoká).

Certifikát vyjadřuje kyberneticko-bezpečnostní riziko stanovením úrovně zabezpečení (základní, podstatná, vysoká), která odpovídá úrovni rizika spojeného se zamýšleným použitím produktu, služby nebo procesu co do pravděpodobnosti a dopadu případného incidentu. Vysoká úroveň zabezpečení například znamená, že produkt úspěšně prošel nejpřísnější bezpečnostní kontrolou.

Výsledný certifikát se bude uznávat ve všech členských státech, což podnikům usnadní přeshraniční obchod. Zájemci o koupi produktů a služeb a spotřebitelé lépe porozumí, jaké bezpečnostní vlastnosti produkt či služba mají. To umožňuje zajistit efektivní hospodářskou soutěž mezi poskytovateli na celém trhu EU a ve výsledku tak zaručit kvalitnější produkty a vyšší efektivnost nákladů.

Bezpečnost již od fáze návrhu: Organizace, výrobci nebo poskytovatelé, kteří jsou zapojeni do navrhování a vývoje produktů, služeb či procesů IKT, jsou motivováni k provádění bezpečnostních opatření, a to již v nejranějších fázích návrhu a vývoje. Cílem je zajistit bezpečnost těchto produktů, služeb a procesů v nejvyšší možné míře, a to tak, aby bylo možné předvídat výskyt kybernetických útoků a minimalizovat jejich dopad („bezpečnost již od fáze návrhu“).

Systémy navrhované v budoucím evropském rámci se budou v co nejvyšší míře opírat o mezinárodní standardy, aby se zabránilo vytváření obchodních překážek a zajistil se soulad s mezinárodními iniciativami.

Pro koho bude certifikační rámec přínosem a v jakém smyslu?

Schopnost stanovit, kdy produkt, systém nebo služba plní konkrétní požadavky, je nezbytná k zajištění důvěry v digitální systémy, na nichž závisíme. Uvedený rámec bude proto prospěšný pro:

  • Občany a koncové uživatele (např. provozovatele základních služeb), kteří budou schopni činit informovanější rozhodnutí při nákupu produktů a služeb, které používají ve svém běžném životě. Například občan, který zvažuje koupi chytrého televizoru a je si vědom kyberneticko-bezpečnostních rizik při připojení na internet, si bude moci vyhledat nezbytné informace na stránkách Evropské skupiny pro certifikaci kybernetické bezpečnosti, které spravuje Agentura EU pro kybernetickou bezpečnost. Na stránkách bude možné vyhledávat podle modelu výrobku, který byl certifikován a odpovídá příslušným kyberneticko-bezpečnostním požadavkům. Budou zde i informace od prodejce ohledně toho, jak televizor bezpečně nastavit, konfigurovat a používat, a také dobu, po kterou se prodejce zavazuje poskytnout v případě vzniku nových hrozeb kyberneticko-bezpečnostní řešení.
  • Prodejce a poskytovatele produktů a služeb (včetně malých a středních podniků (MSP) a nových podniků), kterým se sníží náklady a ušetří čas, jelikož budou muset o evropský certifikát žádat pouze jednou - certifikát je totiž platný ve všech členských státech. Tak se zajistí i efektivní konkurenceschopnost. Kromě toho budou prodejci produktů a služeb IKT jistě spotřebitele rádi upozorňovat na výhody produktů pomocí etikety navázané na certifikát.
  • Vlády, které budou mít stejně jako všichni jednotlivci i velkoobchodníci více informací, jež jim pomohou při výběru produktu či služby, které pořizují.

Další výhodou kyberneticko-bezpečnostní certifikace je, že výrobci nebo poskytovatelé certifikovaných produktů, služeb a procesů, včetně těch, u nichž bylo vydáno osvědčení EU o shodě, budou mít povinnost poskytovat dodatečné informace týkající se kybernetické bezpečnosti (např. pokyny a doporučení, jež mají zajistit bezpečnou konfiguraci, instalaci, používání a údržbu daného produktu či služby ze strany konečných uživatelů atp.).

Jakou bude mít tento rámec přidanou hodnotu pro malé a střední podniky a start-upy?

Start-upy a malé a střední podniky se zpravidla častěji setkávají s problémy při expanzi na nové trhy s odlišnými požadavky. Uvedený rámec by jim měl pomoci překážky pro vstup na trh snáze překonat, jelikož jim bude stačit si pořídit pouze jedinou certifikaci, která bude platná pro celou EU. Vzhledem k tomu, že se očekává celosvětový nárůst poptávky po bezpečnějších řešeních, získají navíc podniky, včetně malých a středních, jejichž produkty jsou certifikovány, konkurenční výhodu při zajišťování optimálních řešení. Kromě toho mají díky rámci možnost provádět vlastní testování souladu s požadavky na bezpečnost výrobků, procesů a služeb, které představují nízké riziko.

Představme si například malý podnik, který vyvíjí a prodává aplikace IKT větším společnostem, jež požadují určitou záruku, že dané aplikace jsou náležitě zabezpečené a že byly vyvinuty podle osvědčených postupů (bezpečné programování). Díky evropského osvědčení o kybernetické bezpečnosti může tento podnik prokázat jak bezpečnost svých produktů, tak bezpečnost vývojářských postupů. Tím splní požadavky svých klientů nejen v jednom členském státě, jak je tomu dnes, ale v celé EU.

Bude certifikace kybernetické bezpečnosti povinná?

Mechanismy stanovené v uvedeném rámci jsou dobrovolné. To znamená, že se prodejci mohou sami rozhodnout, zda své produkty nechají certifikovat. Akt o kybernetické bezpečnosti však stanoví, že Komise provede v budoucnu hodnocení účinnosti a využívání přijatých certifikačních postupů. Při tomto hodnocení se pak zaměří především na to, zda by se konkrétní evropský systém certifikace měl stát povinným prostřednictvím příslušných právních předpisů EU, aby se zajistila odpovídající úroveň kybernetické bezpečnosti produktů, služeb a postupů IKT a zlepšilo se fungování vnitřního trhu. Stávající mechanismy by navíc mohly být využity v rámci jiných legislativních nástrojů na vnitrostátní i celounijní úrovni, čímž by se snadno stanovily budoucí požadavky na produkty nebo systémy.

Jak byl posílen mandát Agentury EU pro kybernetickou bezpečnost?

Dosud měla Agentura EU pro kybernetickou bezpečnost pouze dočasný mandát, který byl naposledy obnoven v roce 2013 a jehož platnost měla skončit v roce 2020. Na základě aktu o kybernetické bezpečnosti získala agentura mandát trvalý, což umožňuje stabilnější situaci do budoucna.

Její současné úkoly, jako je například podpora rozvoje a provádění politiky nebo budování kybernetických kapacit, se zintenzívnily a změnily zaměření. Kromě toho byly přidány úkoly nové, především v oblasti kyberneticko-bezpečnostní certifikace.

Nový mandát zahrnuje další důležité úkoly, které již byly agentuře svěřeny směrnicí o bezpečnosti sítí a informací z roku 2016. Jde například o roli sekretariátu sítě skupin pro reakce na počítačové bezpečnostní incidenty (tzv. týmy typu CSIRT), která sdružuje vnitrostátní týmy CSIRT členských zemí. Aby mohla agentura tyto dodatečné úkoly plnit, bude třeba během dalších 5 let zvýšit počet jejích pracovníků až o 50 % a zdvojnásobit dostupné finanční zdroje z 11 na 23 milionů EUR.

Jaké jsou hlavní úkoly agentury EU pro kybernetickou bezpečnost v rámci nového mandátu?

  • Podporovat provádění politiky v oblasti kybernetické bezpečnosti, především směrnice o bezpečnosti sítí a informací, a dále ostatních politických iniciativ s prvky kybernetické bezpečnosti v různých odvětvích (např. energetika, doprava, finančnictví). Agentura EU pro kybernetickou bezpečnost bude rovněž pomáhat členským zemím při provádění konkrétních kyberneticko-bezpečnostních aspektů politiky a právních předpisů Unie v oblasti ochrany údajů a soukromí.
  • Budování kapacit v oblasti kybernetické bezpečnosti, například prostřednictvím školení, jejichž cílem je zvyšovat kapacity a prohlubovat odborné znalosti pracovníků vnitrostátních veřejných orgánů v oblasti reakce na incidenty a dohledu nad regulačními opatřeními v této oblasti.
  • Úkoly související s trhem (normalizace, certifikace kybernetické bezpečnosti), např. provádění analýzy relevantních trendů na trhu kybernetické bezpečnosti v zájmu zajištění vyrovnané nabídky a poptávky, dále podpora rozvoje politiky EU v oblasti normalizace IKT a certifikace kybernetické bezpečnosti produktů a služeb IKT.
  • Operační spolupráce a řešení krizí s cílem posílit stávající preventivní operační kapacity a podpořit operační spolupráci v roli sekretariátu sítě týmů CSIRT. Agentura bude rovněž na základě vyžádání poskytovat pomoc členským státům při řešení incidentů a bude hrát roli v koordinované reakci EU na rozsáhlé přeshraniční kyberneticko-bezpečnostní incidenty a krize.
  • Koordinované odhalování slabých míst: Agentura bude členským státům a orgánům, institucím a jiným subjektům Unie pomáhat při dobrovolném vytváření a provádění strategií odhalování slabých míst. Kromě toho přispěje ke zlepšení spolupráce mezi organizacemi, výrobci a poskytovateli produktů a služeb, u nichž byla slabá místa odhalena, a členy kyberneticko-bezpečnostní výzkumné komunity, kteří tato místa identifikovali.

Jaký společný přístup EU doporučuje Evropská komise k zajištění bezpečnosti sítí 5G?

Sítě páté generace (5G) budou tvořit páteř naší společnosti a ekonomiky, a to v odvětvích zásadního významu, jako jsou energetika, doprava, bankovnictví a zdravotnictví. Je tedy zapotřebí odstranit jakákoli slabá místa ohrožující bezpečnost a důvěru. V březnu 2019 Evropská komise navrhla soubor operativních kroků a opatření pro zajištění vysoké úrovně kybernetické bezpečnosti sítí 5G v celé EU. Členským státům především doporučila, aby dokončily celounijní hodnocení rizik do října 2019 a do prosince téhož roku pak identifikovaly možná zmírňující opatření. Více informací o uvedeném doporučení, včetně následných kroků, najdete v této tiskové zprávě a souvisejících otázkách a odpovědích.

Co bude následovat?

Komise navrhla zvýšit zásadním způsobem v příštím rozpočtu Unie investice do kybernetické bezpečnosti a moderních digitálních technologií v EU, a to zejména prostřednictvím svého návrhu programu Digitální Evropa. Zároveň doporučila zřídit nové Evropské centrum kompetencí pro kybernetickou bezpečnost a příslušnou síť, díky nimž by se soustředily zdroje, zajistila se koordinace priorit s členskými zeměmi a realizovaly relevantní projekty v oblasti kybernetické bezpečnosti. Součástí návrhu je rovněž zřízení sítě národních koordinačních center a komunity kompetencí pro kybernetickou bezpečnost, jež by zajišťovaly lepší spolupráci a synergie mezi stávajícími odborníky a specializovanými institucemi členských zemí.  To jde ruku v ruce s klíčovým cílem zvýšit konkurenceschopnost odvětví kybernetické bezpečnosti v Unii a udělat z něho konkurenční výhodu pro další evropská odvětví.

Další informace

Brožura – Jak zajistit vysokou úroveň kybernetické bezpečnosti v Evropě

Infopřehled – Odolnost, odrazování a obrana: Zajištění vysoké úrovně kybernetické bezpečnosti v Evropě

Návrh na zřízení Evropského centra kompetencí pro kybernetickou bezpečnost a příslušnou síť

Bezpečnostní unie: dosud bylo dosaženo dohody u 15 z 22 legislativních iniciativ

Tisková zpráva – Zástupci EU se dohodli na posílení evropské kybernetické bezpečnosti

Tisková zpráva – Evropská komise doporučuje společný přístup EU k bezpečnosti sítí 5G

QANDA/19/3369

Kontaktní osoby:

Pro veřejnost: služba Europe Direct , tel 00 800 67 89 10 11 nebo e-mail


Side Bar