Утре влиза в сила CSA, новият регламент за киберсигурност

На 27 юни 2019 г. влиза в сила Регламент 2019/881 относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността)

Новият регламент за киберсигурността на ЕС (CSA) предвижда ENISA да стане Агенция на Европейския съюз за киберсигурност с нов постоянен мандат.

Особено важен е член 2 от регламента, който дава определения на важните термини:

Член 2

Определения

За целите на настоящия регламент се прилагат следните определения:

1) „киберсигурност“ означава дейностите, необходими за защита от киберзаплахи на мрежите и информационните системи, на ползвателите на такива мрежи и системи и други лица, засегнати от киберзаплахи;

2) „мрежа и информационна система“ означава мрежа и информационна система съгласно определението в член 4, точка 1 от Директива (ЕС) 2016/1148;

3) „национална стратегия относно сигурността на мрежите и информационните системи“ означава национална стратегия относно сигурността на мрежите и информационните системи съгласно определението в член 4, точка 3 от Директива (ЕС) 2016/1148;

4) „оператор на основни услуги“ означава оператор на основни услуги съгласно определението в член 4, точка 4 от Директива (ЕС) 2016/1148;

5) „доставчик на цифрови услуги“ означава доставчик на цифрова услуга съгласно определението в член 4, точка 6 от Директива (ЕС) 2016/1148;

6) „инцидент“ означава инцидент съгласно определението в член 4, точка 7 от Директива (ЕС) 2016/1148;

7) „действия при инцидент“ означава действия при инцидент съгласно определението в член 4, точка 8 от Директива (ЕС) 2016/1148;

8) „киберзаплаха“ означава всяко потенциално обстоятелство, събитие или действие, което може да навреди, наруши или по друг начин да окаже неблагоприятно въздействие върху мрежите и информационните системи, ползвателите на такива мрежи и системи и други лица;

9) „европейска схема за сертифициране на киберсигурността“ означава определен на равнището на Съюза цялостен набор от правила, технически изисквания, стандарти и процедури, установени на равнище на Съюза и които се прилагат по отношение на сертифицирането или оценката на съответствието на специфични ИКТ продукти, ИКТ услуги или ИКТ процеси;

10) „национална схема за сертифициране на киберсигурността“ означава цялостен набор от правила, технически изисквания, стандарти и процедури, разработени и приети от национален публичен орган и които се прилагат по отношение на сертифицирането или оценката на съответствието на ИКТ продукти, ИКТ услуги и ИКТ процеси, попадащи в обхвата на конкретната схема;

11) „европейски сертификат за киберсигурност“ означава издаден от съответния орган документ, удостоверяващ, че за даден ИКТ продукт, ИКТ услуга или ИКТ процес е извършена оценка за съответствие спрямо специфичните изисквания за сигурност, определени в дадена европейска схема за сертифициране на киберсигурността;

12) „ИКТ продукт“ означава елемент или група елементи на мрежа или на информационна система;

13) „ИКТ услуга“ означава услуга, състояща се в изцяло или главно в предаване, съхранение, извличане или обработка на информация посредством мрежи и информационни системи;

14) „ИКТ процес“ означава набор от дейности, извършвани с цел проектиране, разработване, предоставяне или поддържане на ИКТ продукт или ИКТ услуга;

15) „акредитация“ означава акредитация съгласно определението в член 2, точка 10 от Регламент (ЕО) № 765/2008;

16) „национален орган по акредитация“ означава национален орган по акредитация съгласно определението в член 2, точка 11 от Регламент (ЕО) № 765/2008;

17) „оценяване на съответствието“ означава оценяване на съответствието съгласно определението в член 2, точка 12 от Регламент (ЕО) № 765/2008;

18) „орган за оценяване на съответствието“ означава орган за оценяване на съответствието съгласно определението в член 2, точка 13 от Регламент (ЕО) № 765/2008;

19) „стандарт“ означава стандарт съгласно определението в член 2, точка 1 от Регламент (ЕС) № 1025/2012;

20) „техническа спецификация“ означава документ, определящ техническите изисквания, които трябва да бъдат изпълнени от ИКТ продукт, ИКТ услуга или ИКТ процес, или процедурите за оценяване на съответствието, свързани с ИКТ продукт, ИКТ услуга или ИКТ процес;

21) „ниво на увереност“ означава основа за увереност, че даден ИКТ продукт, ИКТ услуга или ИКТ процес отговаря на изискванията за сигурност на конкретна европейска схема за сертифициране на киберсигурността, посочва на кое ниво ИКТ продуктът, ИКТ услугата или ИКТ процесът е оценен, но само по себе си не измерва сигурността на съответния ИКТ продукт, ИКТ услуга или ИКТ процес;

22) „самооценяване на съответствието“ означава действие, извършвано от производител или доставчик на ИКТ продукти, ИКТ услуги или ИКТ процеси, с което се оценява дали тези ИКТ продукти, ИКТ услуги или ИКТ процеси отговарят на изискванията на конкретна европейска схема за сертифициране на киберсигурността.

Акта за киберсигурността възлага на ENISA ключова роля в разработването на рамката на ЕС за сертифициране.

Можете да споделите: