Sudėtingai organizuotos kitų valstybių ir nusikalstamos grupuotės kasdien vykdo kibernetinius ir hibridinius išpuolius prieš Europos esmines paslaugas ir demokratines institucijas. Atsižvelgdama į šias vis didėjančias grėsmes, Europos Komisija pasiūlė naują kibernetinio saugumo teisės aktų rinkinį, kurio paskirtis – labiau padidinti ES kibernetinio saugumo sistemos atsparumą ir sustiprinti pajėgumus.
ES informacinių ir ryšių technologijų tiekimo grandinių saugumui padidinti į rinkinį įtrauktas persvarstyto Kibernetinio saugumo akto pasiūlymas. Juo užtikrinama, kad ES piliečiams pateikiamų gaminių apsauga nuo kibernetinių grėsmių būtų pasirūpinta nuo pat jų kūrimo pradžios taikant paprastesnį sertifikavimą. Juo taip pat sudaromos palankesnės sąlygos laikytis galiojančių ES kibernetinio saugumo taisyklių ir sustiprinamos Europos Sąjungos kibernetinio saugumo agentūros (ENISA) funkcijos padėti ES valstybėms narėms ir ES dorotis su kibernetinio saugumo grėsmėmis.
Už technologinį suverenumą, saugumą ir demokratiją atsakinga vykdomoji Europos Komisijos pirmininko pavaduotoja Henna Virkkunen sakė: „Kibernetinė grėsmė nėra vien techniniai iššūkiai. Ji – strateginis pavojus mūsų demokratijai, ekonomikai ir gyvensenai. Naujasis Kibernetinio saugumo teisės aktų rinkinys suteiks mums priemonių geriau apsaugoti mūsų informacinių ir ryšių technologijų tiekimo grandines ir ryžtingai atremti kibernetines atakas. Tai svarbus žingsnis siekiant apsaugoti mūsų Europos technologinį suverenumą ir visiems užtikrinti didesnį saugumą.“
Saugesnės informacinių ir ryšių technologijų tiekimo grandinės Europos Sąjungoje
Naujuoju Kibernetinio saugumo aktu siekiama sumažinti ES informacinių ir ryšių technologijų tiekimo grandinėje kylančią riziką, siejamą su abejonėmis dėl produktų iš trečiųjų šalių kibernetiniu saugumu. Aktu sukuriama patikimos informacinių ir ryšių technologijų tiekimo grandinės saugumo sistema, grindžiama suderintais, proporcingais ir įvertinus riziką nustatytais metodais. Taip ES ir valstybės narės, atsižvelgdamos, be kita ko, į ekonominį poveikį ir rinkos pasiūlą, galės drauge pastebėti ir mažinti riziką 18-oje Europos Sąjungos ypatingos svarbos sektorių.
Pastarojo meto kibernetinio saugumo incidentai aiškiai parodė, kokią pagrindinę riziką kelia informacinių ir ryšių technologijų tiekimo grandinių, be kurių neveiktų pagrindinės paslaugos ir infrastruktūra, pažeidžiamumas. Dabartinėmis geopolitinėmis aplinkybėmis tiekimo grandinės saugumui priskiriami ne vien gaminio arba paslaugos techninio saugumo klausimai, bet ir su tiekėjais siejama rizika, ypač priklausomybė ir kišimasis iš išorės.
Įgyvendinant Kibernetinio saugumo aktą bus sudarytos sąlygos, remiantis darbo, atlikto pagal 5G saugumo priemonių rinkinį, rezultatais, privalomai mažinti riziką, kurią Europos judriojo ryšio tinklams kelia didelės rizikos trečiųjų šalių tiekėjai.
Paprastesnė ir stipresnė Europos kibernetinio saugumo sertifikavimo sistema
Persvarstytas Kibernetinio saugumo aktas užtikrins, kad ES vartotojams tiekiamų gaminių ir paslaugų saugumo bandymai būtų naudingesni. Jie bus atliekami pagal atnaujintą Europos kibernetinio saugumo sertifikavimo sistemą (ECCF). ECCF suteiks daugiau aiškumo ir supaprastins procedūras, todėl sertifikavimo schemas bus galima parengti paprastai per 12 mėnesių. Pagal ją taip pat bus sukurtas lankstesnis ir skaidresnis valdymas, kad suinteresuotieji subjektai būtų geriau įtraukiami viešo informavimo ir konsultavimosi priemonėmis.
ENISA administruojamos sertifikavimo schemos taps praktišku savanorišku įrankiu įmonėms. Juo naudodamosi jos galės įrodyti atitiktį ES teisės aktams ir taip sumažinti savo administravimo naštą ir išlaidas. Įmonės ir organizacijos galės sertifikuoti ne tik informacinių ir ryšių technologijų produktus, paslaugas, procesus ir valdomas saugumo paslaugas, bet ir savo kibernetinio saugumo būklę, kad patenkintų rinkos poreikius. Svarbiausia, kad atnaujinta ECCF suteiks ES įmonėms konkurencinį pranašumą. Ši sistema ES piliečiams, įmonėms ir valdžios institucijoms užtikrins aukštą saugumo ir pasitikėjimo lygį sudėtingose informacinių ir ryšių technologijų tiekimo grandinėse.
Lengvesnis atitikties kibernetinio saugumo taisyklėms užtikrinimas
Teisės aktų rinkinyje nustatytos priemonės, kaip paprasčiau užtikrinti, kad ES veikiančios įmonės laikytųsi ES kibernetinio saugumo taisyklių ir rizikos valdymo reikalavimų, papildo Skaitmeninės srities bendrajame rinkinyje numatytą vieną bendrą prieigą pranešimams apie incidentus teikti. Tiksliniais Tinklų ir informacinių sistemų saugumo direktyvos pakeitimais siekiama didesnio teisinio aiškumo. Pakeitimai padės 28 700 įmonių (įskaitant 6 200 labai mažų ir mažųjų įmonių) lengviau laikytis reikalavimų. Juos padarius taip pat bus sukurta nauja mažų vidutinės kapitalizacijos įmonių kategorija, sumažinsianti reikalavimų laikymosi išlaidas 22 500 įmonių. Direktyvos pakeitimai supaprastins jurisdikcijos taisykles, optimizuos duomenų apie išpirkos reikalavimo išpuolius rinkimą, o sustiprinus ENISA koordinavimo funkcijas palengvins tarpvalstybinių subjektų priežiūrą.
ENISA įgalinimas stiprinti Europos kibernetinio saugumo sistemos atsparumą
Nuo 2019 m., kai buvo priimtas pirmas Kibernetinio saugumo aktas, ENISA tapo ES kibernetinio saugumo ekosistemos pagrindu. Pagal pristatytą persvarstytą Kibernetinio saugumo aktą ENISA galės padėti ES ir jos valstybėms narėms suprasti visuotines grėsmes. Be to, ES ir jos valstybėms narėms juo sudaromos sąlygos pasirengti kibernetiniams incidentams ir į juos reaguoti.
Agentūra toliau padės ES veikiančioms įmonėms ir suinteresuotiesiems subjektams, todėl iš anksto įspės apie kibernetinę grėsmę ir incidentus. Bendradarbiaudama su Europolu ir reagavimo į kompiuterių saugumo incidentus tarnybomis ji padės įmonėms reaguoti į išpirkos reikalavimo išpuolius ir šalinti jų padarinius. ENISA taip pat parengs Europos Sąjungos metodiką, kad galėtų suinteresuotiesiems subjektams teikti geresnes pažeidžiamumo valdymo paslaugas. Kaip pasiūlyta Skaitmeninės srities bendrajame rinkinyje, ji rūpinsis viena bendra prieiga pranešimams apie incidentus teikti.
ENISA ir toliau atliks svarbų vaidmenį ugdant kvalifikuotus kibernetinio saugumo specialistus Europoje. Tam ji įgyvendins bandomąjį Kibernetinio saugumo įgūdžių akademijos projektą ir sukurs kibernetinio saugumo įgūdžių patvirtinimo Europos Sąjungoje sistemas.
Tolesni veiksmai
Kibernetinio saugumo aktas bus pradėtas taikyti iš karto, kai bus patvirtintas Europos Parlamento ir Europos Sąjungos Tarybos. Drauge su juo bus pateikti tvirtinti Tinklų ir informacinių sistemų saugumo direktyvos pakeitimai. Priėmus pakeitimus, ES valstybės narės turės per vienus metus atnaujintas direktyvos nuostatas perkelti į nacionalinę teisę, o atitinkamus dokumentus perduoti Europos Komisijai.
Daugiau informacijos
Pranešimas spaudai (anglų k.)
Persvarstytas Kibernetinio saugumo aktas
Tinklų ir informacinių sistemų saugumo direktyvos pakeitimai
Išsamūs duomenys
- Paskelbimo data
- 2026 m. sausio 22 d.
- Autorius
- Atstovybė Lietuvoje