V súvislosti s pandémiou COVID-19 a rastúcimi geopolitickými výzvami je nevyhnutné, aby sme ku kybernetickej a informačnej bezpečnosti pristupovali spoločne. Preto komisia navrhla nariadenie o kybernetickej bezpečnosti a nariadenie o informačnej bezpečnosti. Stanovením spoločných priorít a rámcov tieto pravidlá ešte viac prehĺbia medziinštitucionálnu spoluprácu, minimalizujú vystavenie riziku a posilnia bezpečnostnú kultúru EÚ.
Nariadenie o kybernetickej bezpečnosti
Navrhovaným nariadením o kybernetickej bezpečnosti sa vytvorí rámec správy, riadenia a kontroly rizík v oblasti kybernetickej bezpečnosti. Vytvorí sa nová medziinštitucionálna rada pre kybernetickú bezpečnosť, posilnia sa spôsobilosti v oblasti kybernetickej bezpečnosti a podporí sa pravidelné posudzovanie vyspelosti a lepšia kybernetická hygiena. Zároveň sa rozšíri mandát tímu reakcie na núdzové počítačové situácie v európskych inštitúciách, orgánoch, úradoch a agentúrach (CERT-EU), ktorý bude slúžiť ako centrum na výmenu spravodajských informácií o hrozbách, koordináciu reakcie na incidenty a ako ústredný poradný orgán a poskytovateľ služieb.
Kľúčové prvky návrhu nariadenia o kybernetickej bezpečnosti:
- Posilniť mandát tímu CERT-EU a poskytnúť zdroje potrebné na jeho plnenie.
- Požadovať od všetkých inštitúcií, orgánov, úradov a agentúr EÚ, aby:
- mali rámec správy, riadenia a kontroly rizík v oblasti kybernetickej bezpečnosti,
- vykonávali základné kybernetickobezpečnostné pravidlá na riešenie zistených rizík,
- realizovali pravidelné posúdenia vyspelosti,
- vytvorili plán na zlepšenie kybernetickej bezpečnosti schválený svojím vedením,
- bez zbytočného odkladu zdieľať s tímom CERT-EU informácie týkajúce sa incidentov.
- Zriadiť novú medziinštitucionálnu radu pre kybernetickú bezpečnosť, ktorá bude riadiť a monitorovať vykonávanie nariadenia a usmerňovať CERT-EU,
- Premenovať CERT-EU – „tím reakcie na núdzové počítačové situácie“ na „centrum kybernetickej bezpečnosti“ v súlade s vývojom v členských štátoch a na celom svete, ale z dôvodu rozpoznania názvu ponechať skratku „CERT-EU“.
Nariadenie o informačnej bezpečnosti
Navrhovaným nariadením o informačnej bezpečnosti sa vytvorí minimálny súbor pravidiel a noriem v oblasti informačnej bezpečnosti pre všetky inštitúcie, orgány, úrady a agentúry EÚ s cieľom lepšie a konzistentne chrániť informácie pred vyvíjajúcimi sa hrozbami. Tieto nové pravidlá poskytnú stabilný základ pre bezpečnú výmenu informácií medzi všetkými inštitúciami, orgánmi, úradmi a agentúrami EÚ a s členskými štátmi. Budú vychádzať zo štandardizovaných postupov a opatrení na ochranu informačných tokov.
Kľúčové prvky návrhu nariadenia o informačnej bezpečnosti:
- vytvoriť účinnú správu s cieľom podporiť spoluprácu vo všetkých inštitúciách, orgánoch, úradoch a agentúrach EÚ, konkrétne medziinštitucionálnu koordinačnú skupinu pre informačnú bezpečnosť,
- vypracovať spoločný prístup na kategorizáciu informácií na základe úrovne dôvernosti,
- modernizovať politiky v oblasti informačnej bezpečnosti vrátane digitálnej transformácie a práce na diaľku,
- zefektívniť súčasné postupy a dosiahnuť väčšiu kompatibilitu medzi príslušnými systémami a zariadeniami.
