Capitolul ii - Atribuţii - Regulamentul 881/17-apr-2019 privind ENISA (Agenţia Uniunii Europene pentru Securitate Cibernetică) şi privind certificarea securităţii cibernetice pentru tehnologia informaţiei şi comunicaţiilor şi de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)
Acte UE
Jurnalul Oficial 151L
În vigoare Versiune de la: 7 Iunie 2019
CAPITOLUL II:Atribuţii
Art. 5: Elaborarea şi punerea în aplicare a politicii şi a dreptului Uniunii
ENISA contribuie la elaborarea şi punerea în aplicare a politicii şi a dreptului Uniunii:
1.acordând asistenţă şi consiliere cu privire la elaborarea şi revizuirea politicii şi a dreptului Uniunii în domeniul securităţii cibernetice, precum şi cu privire la iniţiative politice şi legislative sectoriale în cazul în care sunt implicate aspecte legate de securitatea cibernetică, în special prin furnizarea de avize independente şi analize şi prin desfăşurarea de lucrări pregătitoare;
2.acordând asistenţă statelor membre pentru punerea în aplicare cu coerenţă a politicii şi dreptului Uniunii privind securitatea cibernetică, mai ales în ceea ce priveşte Directiva (UE) 2016/1148, inclusiv prin intermediul emiterii avizelor, orientărilor, consilierii şi bunelor practici referitoare la teme precum gestionarea riscurilor, raportarea incidentelor şi schimbul de informaţii, precum şi facilitând schimbul de bune practici între autorităţile competente în această privinţă;
3.acordând asistenţă statelor membre şi instituţiilor, organelor, oficiilor şi agenţiilor Uniunii la elaborarea şi promovarea unor politici în materie de securitate cibernetică legate de susţinerea disponibilităţii sau a integrităţii generale a nucleului public al internetului deschis;
4.contribuind la activitatea grupului de cooperare instituit în temeiul articolului 11 din Directiva (UE) 2016/1148, prin furnizarea de expertiză şi de asistenţă;
5.sprijinind:
(a)elaborarea şi punerea în aplicare a politicii Uniunii în domeniul identităţii electronice şi al serviciilor de încredere, în special furnizând consiliere şi orientări tehnice, precum şi prin facilitarea schimbului de bune practici între autorităţile competente;
(b)promovarea unui nivel sporit de securitate a comunicaţiilor electronice, inclusiv prin furnizarea de consiliere şi de expertiză, precum şi prin facilitarea schimbului de bune practici între autorităţile competente;
(c)statele membre în punerea în aplicare a aspectelor specifice legate de securitatea cibernetică cuprinse în politica şi dreptul Uniunii referitoare la protecţia datelor şi a vieţii private, inclusiv prin consilierea Comitetului european pentru protecţia datelor, la cerea acestuia.
6.sprijinind revizuirea periodică a activităţilor legate de politica Uniunii prin elaborarea unui raport anual privind stadiul punerii în aplicare a cadrului juridic aplicabil în ceea ce priveşte:
(a)informările privind notificările incidentelor transmise de statele membre prin punctele unice de contact grupului de cooperare în temeiul articolului 10 alineatul (3) din Directiva (UE) 2016/1148;
(b)rezumatul notificărilor privind încălcarea securităţii sau pierderea integrităţii primite de la prestatorii de servicii de încredere, transmise ENISA de organismele de supraveghere în temeiul articolului 19 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului (23);
(23)Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, p. 73).
(c)notificările privind incidentele de securitate transmise de furnizorii de reţele publice de comunicaţii electronice sau servicii de comunicaţii electronice destinate publicului, transmise ENISA de autorităţile competente în temeiul articolului 40 din Directiva (UE) 2018/1972.
Art. 6: Consolidarea capacităţilor
(1)ENISA acordă asistenţă:
a)statelor membre, în eforturile lor de a îmbunătăţi prevenirea, detectarea şi analizarea ameninţărilor cibernetice şi a incidentelor şi capacitatea de răspuns la acestea, prin furnizarea cunoştinţelor şi a expertizei necesare;
b)statelor membre şi instituţiilor, organelor, oficiilor şi agenţiilor Uniunii la elaborarea şi punerea în aplicare a politicilor pentru divulgarea vulnerabilităţilor în mod voluntar;
c)instituţiilor, organelor, oficiilor şi agenţiilor Uniunii, în eforturile lor de a îmbunătăţi prevenirea, detectarea şi analiza ameninţărilor cibernetice şi a incidentelor şi de a îmbunătăţi capacităţile de răspuns la astfel de ameninţări cibernetice şi incidente, mai ales printr-un sprijin adecvat acordat CERT-UE;
d)statelor membre în ceea ce priveşte dezvoltarea echipelor CSIRT naţionale, la solicitarea acestora, în temeiul articolului 9 alineatul (5) din Directiva (UE) 2016/1148;
e)statelor membre în ceea ce priveşte elaborarea strategiilor naţionale privind securitatea reţelelor şi a sistemelor informatice, la solicitarea acestora în temeiul articolului 7 alineatul (2) din Directiva (UE) 2016/1148 şi promovează difuzarea acestor strategii în întreaga Uniune şi constată progresele înregistrate în punerea lor în aplicare, pentru a promova bunele practici;
f)instituţiilor Uniunii, în ceea ce priveşte elaborarea şi revizuirea strategiilor Uniunii referitoare la securitatea cibernetică, promovarea difuzării acestora, precum şi urmărirea progreselor înregistrate în punerea lor în aplicare;
g)echipelor CSIRT naţionale şi ale Uniunii, în ceea ce priveşte creşterea nivelului capacităţilor proprii, inclusiv prin promovarea dialogului şi a schimbului de informaţii, pentru a garanta că, având în vedere stadiul actual al tehnologiei, fiecare echipă CSIRT dispune de un set comun de capacităţi minime şi funcţionează în conformitate cu cele mai bune practici;
h)statelor membre, prin organizarea în mod regulat a exerciţiilor în materie de securitate cibernetică la nivelul Uniunii menţionate la articolul 7 alineatul (5) cel puţin o dată la doi ani şi prin formularea de recomandări de politici bazate pe procesul de evaluare a exerciţiilor şi pe învăţămintele desprinse în urma acestora;
i)organismelor publice relevante, prin oferirea de cursuri de formare privind securitatea cibernetică, în cooperare cu părţile interesate acolo unde este cazul;
j)grupului de cooperare, în ceea ce priveşte schimbul de bune practici, în special în ceea ce priveşte identificarea de către statele membre a operatorilor de servicii esenţiale, în temeiul articolului 11 alineatul (3) litera (l) din Directiva (UE) 2016/1148, inclusiv în legătură cu dependenţa transfrontalieră legată de riscuri şi incidente.
(2)ENISA sprijină schimbul de informaţii în cadrul sectoarelor şi între acestea, mai ales în sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, prin furnizarea de bune practici şi de orientări privind instrumentele disponibile, proceduri, precum şi privind modul de abordare a aspectelor de reglementare legate de schimbul de informaţii.
Art. 7: Cooperarea operaţională la nivelul Uniunii
(1)ENISA sprijină cooperarea operaţională între statele membre, instituţiile, organele, oficiile şi agenţiile Uniunii, precum şi între părţile interesate.
(2)ENISA cooperează la nivel operaţional şi stabileşte sinergii cu instituţiile, organele, oficiile şi agenţiile Uniunii, inclusiv cu CERT-UE, cu serviciile care au atribuţii de combatere a criminalităţii informatice şi cu autorităţile de supraveghere care au atribuţii de protecţie a vieţii private şi a datelor cu caracter personal, în vederea abordării problemelor de interes comun, inclusiv prin:
a)schimbul de know-how şi de bune practici;
b)furniz area de consiliere şi emiterea de orientări privind chestiunile relevante legate de securitatea cibernetică;
c)stabilirea modalităţilor practice pentru executarea unor atribuţii specifice, după consultarea Comisiei.
(3)ENISA asigură secretariatul reţelei CSIRT în temeiul articolului 12 alineatul (2) din Directiva (UE) 2016/1148 şi, în această capacitate, sprijină activ schimbul de informaţii şi cooperarea între membrii acesteia.
(4)ENISA sprijină statele membre în cooperarea operaţională cu reţeaua CSIRT:
a)acordându-le consiliere cu privire la modul în care îşi pot îmbunătăţi capacităţile de a preveni, de a detecta incidentele şi de a răspunde la acestea, precum şi acordându-le consiliere, la cererea unuia sau mai multor state membre, în legătură cu o ameninţare cibernetică specifică;
b)acordându-le asistenţă, la cererea unuia sau mai multor state membre, la evaluarea incidentelor cu un impact semnificativ sau substanţial prin furnizarea de expertiză şi prin facilitarea administrării din punct de vedere tehnic a respectivelor incidente, mai ales susţinând schimbul voluntar de informaţii relevante şi de soluţii tehnice între statele membre;
c)analizând vulnerabilităţile şi incidentele pe baza informaţiilor disponibile public sau a informaţiilor furnizate în mod voluntar de statele membre în acest scop; şi
d)la cererea unuia sau mai multor state membre, oferind sprijin în legătură cu anchetele tehnice ex post privind incidentele cu un impact semnificativ sau substanţial în înţelesul Directivei (UE) 2016/1148.
În îndeplinirea acestor atribuţii, ENISA şi CERT-UE desfăşoară o cooperare structurată pentru a beneficia de sinergii şi pentru a evita dublarea activităţilor.
(5)ENISA organizează exerciţii periodice de securitate cibernetică la nivelul Uniunii şi sprijină statele membre şi instituţiile, organele, oficiile şi agenţiile Uniunii în ceea ce priveşte organizarea de exerciţii de securitate cibernetică, la cererea acestora. Aceste exerciţii de securitate cibernetică la nivelul Uniunii pot include elemente tehnice, operaţionale sau strategice. Din doi în doi ani, ENISA organizează un exerciţiu cuprinzător la scară largă.
După caz, ENISA contribuie, de asemenea, la exerciţiile sectoriale de securitate cibernetică şi sprijină organizarea acestora, împreună cu organizaţiile relevante care participă, de asemenea, la exerciţiile de securitate cibernetică desfăşurate la nivelul Uniunii.
(6)În strânsă cooperare cu statele membre, ENISA întocmeşte periodic un raport aprofundat asupra situaţiei tehnice în materie de securitate cibernetică la nivelul UE referitor la incidente şi ameninţări cibernetice, pe baza informaţiilor disponibile public, a propriei sale analize şi pe baza unor rapoarte transmise de echipele CSIRT ale statelor membre sau punctele unice de contact instituite prin Directiva (UE) 2016/1148, în ambele cazuri în mod voluntar, EC3 şi CERT- UE, printre altele.
(7)ENISA contribuie la pregătirea unui răspuns bazat pe cooperare, atât la nivelul Uniunii, cât şi la cel al statelor membre, la incidentele sau crizele transfrontaliere de mare amploare legate de securitatea cibernetică, în principal prin:
a)agregarea şi analizarea rapoartelor autorităţilor naţionale care fac parte din domeniul public sau sunt puse la dispoziţie în mod voluntar, cu scopul de a contribui la o conştientizare comună a situaţiei;
b)asigurarea unui flux eficient de informaţii şi furnizarea de mecanisme decizionale de activare între reţeaua CSIRT şi factorii de decizie la nivel politic şi tehnic ai Uniunii;
c)facilitarea, la cerere, a administrării din punct de vedere tehnic a acestor incidente sau crize, mai ales prin sprijinirea partajării voluntare a soluţiilor tehnice între statele membre;
d)sprijinirea instituţiilor, organelor, oficiilor şi agenţiilor Uniunii precum şi, la cererea acestora, a statelor membre, în ceea ce priveşte comunicarea publică referitoare la astfel de incidente sau crize;
e)testarea planurilor de cooperare menite să răspundă la aceste incidente sau crize la nivelul Uniunii şi, la cerere, sprijinirea statelor membre în ceea ce priveşte testarea respectivelor planuri la nivel naţional.
Art. 8: Piaţa, certificarea securităţii cibernetice şi standardizarea
(1)ENISA sprijină şi promovează elaborarea şi punerea în aplicare a politicii Uniunii privind certificarea securităţii cibernetice a produselor TIC, a serviciilor TIC şi a proceselor TIC, astfel cum se prevede în titlul III din prezentul regulament, prin:
a)monitorizarea permanentă a evoluţiilor din domenii conexe standardizării şi recomandarea unor specificaţii tehnice adecvate pentru a fi utilizate la dezvoltarea unor sisteme europene de certificare a securităţii cibernetice, în temeiul articolului 54 alineatul (1) litera (c), în cazurile în care standardele nu sunt disponibile;
b)pregătirea propunerilor de sisteme europene de certificare a securităţii cibernetice (denumite în continuare "propuneri de sisteme") pentru produsele TIC, serviciile TIC şi procesele TIC, în conformitate cu articolul 49;
c)evaluarea sistemelor europene de certificare a securităţii cibernetice adoptate, în conformitate cu articolul 49 alineatul (8);
d)participarea la evaluările inter pares în temeiul articolului 59 alineatul (4);
e)oferirea de asistenţă Comisiei în ceea ce priveşte asigurarea secretariatului ECCG, în temeiul articolului 62 alineatul (5).
(2)ENISA asigură secretariatului Grupului părţilor interesate pentru certificarea securităţii cibernetice, în temeiul articolului 22 alineatul (4).
(3)ENISA compilează şi publică orientări şi dezvoltă bune practici în ceea ce priveşte cerinţele în materie de securitate cibernetică pentru produsele TIC, serviciile TIC şi procesele TIC, în cooperare cu autorităţile naţionale de certificare de securitate şi cu industria, în cadrul unui proces oficial, standardizat şi transparent.
(4)ENISA contribuie la consolidarea capacităţilor în legătură cu procesele de evaluare şi certificare prin compilarea şi emiterea unor orientări, precum şi oferind sprijin statelor membre, la cererea lor.
(5)ENISA facilitează elaborarea şi adoptarea de standarde europene şi internaţionale pentru gestionarea riscurilor şi pentru securitatea produselor TIC, serviciilor TIC şi proceselor TIC.
(6)ENISA elaborează, în colaborare cu statele membre şi industria, avize şi orientări în ceea ce priveşte domeniile tehnice legate de cerinţele de securitate pentru operatorii de servicii esenţiale şi pentru furnizorii de servicii digitale, precum şi în ceea ce priveşte standardele deja existente, inclusiv standardele naţionale ale statelor membre, în temeiul articolului 19 alineatul (2) din Directiva (UE) 2016/1148.
(7)ENISA efectuează şi diseminează analize periodice privind principalele tendinţe de pe piaţa securităţii cibernetice, atât din punctul de vedere al cererii, cât şi al ofertei, în vederea stimulării pieţei securităţii cibernetice în cadrul Uniunii.
Art. 9: Cunoştinţe şi informare
ENISA:
(a)efectuează analize ale tehnologiilor emergente şi furnizează evaluări tematice privind impactul preconizat din punct de vedere societal, juridic, economic şi de reglementare al inovaţiilor tehnologice în materie de securitate cibernetică;
(b)efectuează analize strategice pe termen lung ale ameninţărilor cibernetice şi incidentelor, pentru a identifica tendinţele emergente şi a contribui la prevenirea incidentelor;
(c)în cooperare cu experţi ai autorităţilor statelor membre şi cu părţile interesate relevante, furnizează consiliere, orientări şi bune practici pentru securitatea reţelelor şi a sistemelor informatice, în special pentru securitatea infrastructurilor care sprijină sectoarele enumerate în anexa II la Directiva (UE) 2016/1148, precum şi a celor utilizate de furnizorii de servicii digitale enumeraţi în anexa III la respectiva directivă;
(d)culege, organizează şi pune la dispoziţia publicului, prin intermediul unui portal dedicat, informaţii privind securitatea cibernetică furnizate de instituţiile, organele, oficiile şi agenţiile Uniunii şi informaţii privind securitatea cibernetică furnizate, în mod voluntar, de statele membre şi de părţile interesate private şi publice;
(e)culege şi analizează informaţiile disponibile public cu privire la incidentele semnificative şi compilează rapoarte, cu scopul de a oferi orientări pentru cetăţenii, organizaţiile şi întreprinderile din întreaga Uniune.
Art. 10: Sensibilizare şi educare
ENISA:
(a)sensibilizează publicul în legătură cu riscurile pentru securitatea cibernetică şi oferă orientări cu privire la bune practici pentru utilizatorii individuali, inclusiv cu privire la igiena cibernetică şi alfabetizarea cibernetică, destinate cetăţenilor, organizaţiilor şi întreprinderilor;
(b)în cooperare cu statele membre şi cu instituţiile, organele, oficiile şi agenţiile Uniunii, precum şi cu industria, organizează campanii periodice de informare pentru sporirea securităţii cibernetice şi a vizibilităţii acesteia în Uniune şi stimulează o amplă dezbatere publică;
(c)oferă asistenţă statelor membre în eforturile acestora de a sensibiliza publicul în legătură cu securitatea cibernetică şi de a promova educarea în privinţa securităţii cibernetice;
(d)susţine coordonarea mai strânsă şi schimbul de bune practici între statele membre privind sensibilizarea şi educarea în domeniul securităţii cibernetice.
Art. 11: Cercetare şi inovare
În ceea ce priveşte cercetarea şi inovarea, ENISA:
(a)consiliază instituţiile, organele, oficiile şi agenţiile Uniunii şi statele membre cu privire la necesităţile şi priorităţile în materie de cercetare în domeniul securităţii cibernetice pentru a face posibile răspunsuri eficace la riscurile şi ameninţările cibernetice actuale şi emergente, inclusiv în privinţa tehnologiilor informaţiei şi comunicaţiilor noi şi emergente, şi pentru o folosire eficace a tehnologiilor de prevenire a riscurilor;
(b)participă, în cazul în care Comisia i-a conferit competenţele relevante, la etapa de punere în aplicare a programelor de finanţare a cercetării şi inovării sau în calitate de beneficiar al acestora.
(c)contribuie la agenda strategică în privinţa cercetării şi inovării în domeniul securităţii cibernetice la nivelul Uniunii.
Art. 12: Cooperarea internaţională
ENISA contribuie la eforturile Uniunii de cooperare cu ţări terţe şi cu organizaţii internaţionale, precum şi în cadrele internaţionale de cooperare relevante, pentru a promova cooperarea internaţională privind aspecte legate de securitatea cibernetică prin:
(a)participarea ca observator la organizarea de exerciţii internaţionale şi realizarea de analize şi de rapoarte destinate consiliului de administraţie privind rezultatele acestor exerciţii, după caz;
(b)facilitarea, la solicitarea Comisiei, a schimbului de bune practici;
(c)furnizarea de expertiză Comisiei, la cererea acesteia;
(d)consilierea şi sprijinirea Comisiei în legătură cu chestiuni privind acorduri cu ţări terţe pentru recunoaşterea reciprocă a certificatelor de securitate cibernetică, în colaborare cu ECCG instituit în temeiul articolului 62.