Certifikace kybernetické bezpečnosti pro produkty a služby

NÚKIB se stal vnitrostátním orgánem certifikace kybernetické bezpečnosti

Nyní si mohou dodavatelé nechat certifikovat produkty, služby i procesy na kybernetickou bezpečnost pokud jde o ochranu dostupnosti, důvěrnosti a integrity. Úřady zase mohou tyto certifikace po dodavatelích požadovat.

Certifikací se osvědčí, že konkrétní produkty, služby a procesy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, důvěrnosti a integrity. Cílem je zvýšení důvěry v produkty a služby v kyberprostoru. Certifikace bude dobrovolná.

— NÚKIB 

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) bude dohlížet na pravidla zahrnutá v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat.

NÚKIB bude také pomáhat dalším subjektům v ČR a řešit stížnosti podané v souvislosti s evropskými certifikáty kybernetické bezpečnosti. (Poznámka: NÚKIBu gratulujeme!)

 

Legislativa

V sobotu 5. srpna 2022 vyšla ve Sbírce zákonů novela zákona o kybernetické bezpečnosti. Zákon připravil Národní úřad pro kybernetickou a informační bezpečnost, a to s cílem adaptovat český právní řád na nařízení Evropského parlamentu a Rady EU se zkráceným názvem „akt o kybernetické bezpečnosti“.

Účinnosti nabyl zákon dnem následujícím po dni jeho vyhlášení. Nově zákon především stanovuje, že vnitrostátním orgánem certifikace kybernetické bezpečnosti je Národní úřad pro kybernetickou a informační bezpečnost.

Článek I 

§ 22b

Autorizace subjektů posuzování shody podle aktu o kybernetické bezpečnosti

(1) Stanoví-li přímo použitelný předpis Evropské unie vydaný na základě aktu o kybernetické bezpečnosti konkrétní nebo dodatečné požadavky na subjekty posuzování shody s cílem zajistit jejich technickou způsobilost k hodnocení požadavků na kybernetickou bezpečnost, Úřad v souladu s čl. 58 odst. 7 písm. e) aktu o kybernetické bezpečnosti17) rozhoduje o žádostech o autorizaci subjektu posuzování shody, a pokud autorizovaný subjekt posuzování shody porušuje požadavky aktu o kybernetické bezpečnosti17) nebo přímo použitelného předpisu Evropské unie vydaného na základě aktu o kybernetické bezpečnosti, o pozastavení vykonatelnosti, o změně nebo o zrušení rozhodnutí o autorizaci.

(2) Subjekt posuzování shody v žádosti o autorizaci podle odstavce 1 doloží plnění konkrétních nebo dodatečných požadavků stanovených přímo použitelným předpisem Evropské unie vydaným na základě aktu o kybernetické bezpečnosti.

(3) V rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci podle odstavce 1 stanoví Úřad lhůtu pro zjednání nápravy. Zjedná-li subjekt posuzování shody nápravu, sdělí tuto skutečnost bez zbytečného odkladu Úřadu. Shledá-li Úřad zjednání nápravy za dostačující, zruší rozhodnutí o pozastavení vykonatelnosti rozhodnutí o autorizaci. Jestliže autorizovaný subjekt posuzování shody ve stanovené lhůtě nezjedná nápravu, rozhodne Úřad o změně či zrušení rozhodnutí o autorizaci.

(4) Úřad rozhodne v řízení o žádosti o autorizaci podle odstavce 1 nejdéle do 120 dnů od zahájení řízení, v mimořádných případech do 180 dnů.“.

 

EU certifikace kybernetické bezpečnosti

Smyslem EU certifikace kybernetické bezpečnosti, která je upravena přímo nařízením Evropského Parlamentu a Rady (EU) 2019/881 („Akt o kybernetické bezpečnosti“), je zvyšování důvěry v produkty, služby a procesy v oblasti informačních a komunikačních technologií skrze jejich bezpečnost.

Certifikací se osvědčí, že produkty, služby a procesy splňují stanovené bezpečnostní požadavky, pokud jde o ochranu dostupnosti, důvěrnosti a integrity.

V rámci evropského rámce certifikace kybernetické bezpečnosti bude NÚKIB dohlížet na pravidla zahrnutá v evropských systémech certifikace kybernetické bezpečnosti a tato pravidla vymáhat, napomáhat Českému institutu pro akreditaci, o.p.s. při monitorování činnosti subjektů posuzování shody, v příslušných případech autorizovat subjekty posuzování shody, delegovat vydávání certifikátů na úrovni záruky vysoká a řešit stížnosti podané fyzickými nebo právnickými osobami v souvislosti s evropskými certifikáty kybernetické bezpečnosti.

V souvislosti s přijetím aktu o kybernetické bezpečnosti NÚKIB pořádá ve spolupráci s Českým institutem pro akreditaci, o.p.s. odborná setkání pro zainteresované strany.

V případě zájmu o zasílání informací k aktu o kybernetické bezpečnosti a navazujících EU systémů certifikace kybernetické bezpečnosti a zasílání pozvánek na další odborná setkání kontaktujte Markétu Šilhavou.

Kontaktní osoba:
Ing. Markéta Šilhavá
e-mail: m.silhava@nukib.cz
Telefon: +420 702 160 590

Zdroj:


Zaregistrujte se na bezplatnou virtuální konferenci k nové legislativě EU pro povinné zavedení kybernetické bezpečnosti EU – NIS 2.