Cybersecurity Act - 32019R0881
Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
Þýðing EES-gerðar birtist hér á íslensku við upptöku í EES-samninginn og birtingu í EES-viðbæti.
Gerð ekki til á íslensku
-
Tillaga sem gæti verið EES-tæk
-
Gerð í skoðun hjá EES-EFTA ríkjunum
-
Drög að ákvörðun sameiginlegu nefndarinnar í skoðun
-
Ákvörðun sameiginlegu nefndarinnar samþykkt en hefur ekki öðlast gildi
-
Tekin upp í EES-samninginn og í gildi
-
Tekin upp í EES-samninginn en ekki lengur í gildi
Staða og svið tillögu/gerðar
| Staða tillögu/gerðar | ESB gerð hefur ekki öðlast gildi þar sem beðið er afléttingar stjórnskipulegs fyrirvara |
|---|---|
| Svið (EES-samningur, viðauki) | 11 Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið, 11.01 Fjarskiptaþjónusta |
| Ákvörðun sameiginlegu nefndarinnar (JCD) | 022/2023 |
Almennar upplýsingar
Útdráttur
Ný reglugerð um Netöryggisstofnun Evrópu (ENISA), útvíkkun verkefna/hlutverks hennar og um samræmt vottunarkerfi fyrir nettengda hluti.
Nánari efnisumfjöllun
Reglugerð (ESB) nr. 2019/881 er afrakstur heildarendurskoðunar Evrópusambandsins á eldri reglugerð sama efnis (ESB) nr. 526/2013 og er hluti af heildarstefnumótun sambandsins í netöryggismálum. Síðastnefnd reglugerð var innleidd hér á landi með reglugerð nr. 1265/2014, um Net- og upplýsingaöryggisstofnun Evrópu (ENISA, the European Union Agency for Network and Information Security).
Nýja reglugerðin hefur þegar tekið gildi innan ESB og felur í sér ýmsar breytingar er varða starfsemi ENISA. Eldri reglugerð (ESB) nr. 526/2013 kvað á um starfstíma ENISA til sjö ára, en með hinni nýju er ENISA gerð að varanlegri stofnun innan ESB og nafni hennar breytt. Við endurskoðun netöryggisstefnu sambandsins fór fram greining og endurmat á starfsemi ENISA, með það markmið að leiðarljósi að efla viðbragðsgetu stofnunarinnar sem stuðningsaðila við aðrar stofnanir ESB og aðildarríki innan EES-svæðisins. Endurskoðunar á starfsemi ENISA var jafnframt þörf samhliða samþykkt og gildistöku netöryggistilskipunar ESB (NIS tilskipunin nr. 2016/1148), er kvað á um ýmis ný verkefni hennar.
Á meðal mikilvægra nýmæla reglugerðarinnar eru ákvæði sem lúta að þætti ENISA í að stuðla að hærra viðbúnaðarstigi með framkvæmd reglubundinna æfinga vegna netógna. Þá fela ákvæði hennar í sér nánari útfærslu á viðfangsefnum skv. netöryggistilskipuninni, s.s. móttöku tilkynninga frá aðildarríkjum um öryggisatvik, hýsingu samráðsvettvangs landstengiliða netöryggissveita, umsjón með samstarfinu, ráðgjöf og útgáfu leiðbeininga í því samhengi. ENISA er enn fremur falið skýrara hlutverk er varðar aðkomu að þróun samevrópskrar löggjafar á sviði netöryggismála. Aðildarríki geta óskað aðstoðar ENISA við uppbyggingu á viðbragðsgetu til að bregðast við netárásum. Loks má nefna að reglugerðin gerir ráð fyrir að ENISA verði þekkingarmiðstöð um netöryggismál, beiti sér fyrir almennri fræðslu á því sviði og aðstoði aðildarríki við að hrinda í framkvæmd fræðsluherferðum er stuðli að vitund borgara um netöryggi.
Hin nýja reglugerð tekur einnig til netöryggisvottunarkerfis. Um er að ræða samræmt vottunarkerfi fyrir upplýsinga- og samskiptatæki. Því er m.a. ætlað að stuðla að viðeigandi prófunum á nettengdum hlutum sem fyrirhugað er að markaðssetja í Evrópu. Ferli verði komið á laggir er geri kleift að staðfesta að slík tæki uppfylli gildandi staðla og skilyrði á hverjum tíma. Reglugerðin gerir ráð fyrir að vottunarkerfið verði valkvætt, en ákvæði hennar verða endurskoðuð fyrir 31. desember 2023 og m.a. endurmetið hvort það að undirgangast slíka vottun verði gert að skyldu.
Nýja reglugerðin hefur þegar tekið gildi innan ESB og felur í sér ýmsar breytingar er varða starfsemi ENISA. Eldri reglugerð (ESB) nr. 526/2013 kvað á um starfstíma ENISA til sjö ára, en með hinni nýju er ENISA gerð að varanlegri stofnun innan ESB og nafni hennar breytt. Við endurskoðun netöryggisstefnu sambandsins fór fram greining og endurmat á starfsemi ENISA, með það markmið að leiðarljósi að efla viðbragðsgetu stofnunarinnar sem stuðningsaðila við aðrar stofnanir ESB og aðildarríki innan EES-svæðisins. Endurskoðunar á starfsemi ENISA var jafnframt þörf samhliða samþykkt og gildistöku netöryggistilskipunar ESB (NIS tilskipunin nr. 2016/1148), er kvað á um ýmis ný verkefni hennar.
Á meðal mikilvægra nýmæla reglugerðarinnar eru ákvæði sem lúta að þætti ENISA í að stuðla að hærra viðbúnaðarstigi með framkvæmd reglubundinna æfinga vegna netógna. Þá fela ákvæði hennar í sér nánari útfærslu á viðfangsefnum skv. netöryggistilskipuninni, s.s. móttöku tilkynninga frá aðildarríkjum um öryggisatvik, hýsingu samráðsvettvangs landstengiliða netöryggissveita, umsjón með samstarfinu, ráðgjöf og útgáfu leiðbeininga í því samhengi. ENISA er enn fremur falið skýrara hlutverk er varðar aðkomu að þróun samevrópskrar löggjafar á sviði netöryggismála. Aðildarríki geta óskað aðstoðar ENISA við uppbyggingu á viðbragðsgetu til að bregðast við netárásum. Loks má nefna að reglugerðin gerir ráð fyrir að ENISA verði þekkingarmiðstöð um netöryggismál, beiti sér fyrir almennri fræðslu á því sviði og aðstoði aðildarríki við að hrinda í framkvæmd fræðsluherferðum er stuðli að vitund borgara um netöryggi.
Hin nýja reglugerð tekur einnig til netöryggisvottunarkerfis. Um er að ræða samræmt vottunarkerfi fyrir upplýsinga- og samskiptatæki. Því er m.a. ætlað að stuðla að viðeigandi prófunum á nettengdum hlutum sem fyrirhugað er að markaðssetja í Evrópu. Ferli verði komið á laggir er geri kleift að staðfesta að slík tæki uppfylli gildandi staðla og skilyrði á hverjum tíma. Reglugerðin gerir ráð fyrir að vottunarkerfið verði valkvætt, en ákvæði hennar verða endurskoðuð fyrir 31. desember 2023 og m.a. endurmetið hvort það að undirgangast slíka vottun verði gert að skyldu.
Staða innan stjórnsýslunnar
| Stofnun hefur lokið yfirferð | Já |
|---|---|
| Þörf á aðlögun í ákvörðun sameiginlegu nefndarinnar | Efnislegri aðlögun |
| Fagráðuneyti hefur lokið vinnu við upplýsingablað og samþykkir drög að ákvörðun sameiginlegu nefndarinnar | Já |
| Utanríkisráðuneyti hefur veitt samþykki fyrir því að drög að ákvörðun sameiginlegu nefndarinnar séu send til ESB | Já |
Innleiðing
| Innleiðing | Lagasetning/lagabreyting |
|---|---|
| Tilgreinið hvaða lög eða reglugerð þarf að setja eða breyta | Reglugerð, lagastoð í lögum nr. 75/2021 um Fjarskiptastofu (30. gr.) |
| Staða innleiðingarvinnu | Innleiðing ekki hafin |
Áhrif
| Áætlaður kostnaður hins opinbera | Ekki vitað |
|---|
Ábyrgðaraðilar
| Ábyrgt ráðuneyti | Háskóla-, iðnaðar- og nýsköpunarráðuneytið |
|---|---|
| Ábyrg stofnun | Fjarskiptastofa |
Samþykktar gerðir birtar í Stjórnartíðindum ESB
| CELEX-númer | 32019R0881 |
|---|---|
| Þennan dag skulu skilyrði uppfyllt í ESB | |
| Samþykkt tilvísun í Stjórnartíðindi ESB | OJ L 151, 7.6.2019, p. 15 |
| Þennan dag skulu skilyrði uppfyllt í ESB |
Vinnslustig (pipeline stage)
| COM numer | COM(2017) 477 |
|---|---|
| Dagsetning tillögu ESB | |
| Dagsetning tillögu | |
| Samþykktardagur i ESB |
Drög að ákvörðun sameiginlegu nefndarinnar
| Stjórnskipulegum fyrirvara aflétt (Liechtenstein) |
|---|
Ákvörðun sameiginlegu nefndarinnar
| Sendingardagur EFTA á drögum að ákvörðun sameiginlegu nefndarinnar til framkvæmdastjórnarinnar | |
|---|---|
| Tilvísun í EES-viðbæti | EEA Supplement No 75, 19.10.2023, p. 34 |
| Tilvísun í stjórnartíðindi ESB | OJ L, 2023/2306, 19.10.2023 |