iTeh Standards logo
EURUSD
Your shopping cart is empty.

2019/881 - Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (Text with EEA relevance)

Regulation (EU) 2019/881, known as the Cybersecurity Act, establishes the European Union Agency for Cybersecurity (ENISA) with an enhanced mandate to strengthen the EU's cybersecurity capabilities. It addresses increasing cyber threats amid growing digitisation, especially with the proliferation of Internet of Things devices. The regulation aims to improve resilience and security of network and information systems across public and private sectors by reinforcing cooperation among Member States, enhancing operational capabilities, and promoting cybersecurity best practices. ENISA is tasked with providing expertise, supporting national cybersecurity strategies, facilitating information sharing, and fostering the development of cybersecurity certification schemes to increase trust in digital products and services. It also supports capacity building through training and coordination of national teams, boosting preparedness for large-scale cross-border cyber incidents. The regulation underscores the importance of security-by-design and security-by-default principles for ICT products and services, promoting transparency and consumer awareness. ENISA’s role includes advising EU institutions, facilitating cooperation, and ensuring the stable functioning of critical internet infrastructure, thereby contributing to a safer and more secure digital single market.

Purpose

Regulation (EU) 2019/881, known as the Cybersecurity Act, aims to enhance cybersecurity across the European Union by strengthening the role and mandate of the European Union Agency for Cybersecurity (ENISA) and establishing a comprehensive framework for cybersecurity certification of information and communications technology (ICT) products, services, and processes. This Regulation intends to improve resilience and trust in the EU’s digital single market by addressing increasing cyber threats from an interconnected and digitized economy and society.

The Act recognizes that network and information systems underpin key societal sectors such as health, energy, finance, and transport. With the proliferation of connected IoT devices and digital products, the Regulation aims to build stronger security measures by design and default, reduce cybersecurity risks, and promote transparent information regarding cybersecurity features to users. It also seeks to promote cooperation between Member States, EU institutions, and stakeholders to foster a unified response to cross-border cyber incidents and strengthen cybersecurity capabilities.

Key Obligations

  • Strengthening ENISA:

    • Enhance ENISA’s mandate to act as a central EU authority for cybersecurity expertise, cooperation facilitation, policy advice, and coordination support.
    • Increase ENISA’s financial and human resources to support its expanded role.
    • Encourage collaboration between ENISA, Member States, private sector, academia, and research entities.
    • Ensure ENISA supports the operational capacity of Member States and the EU in handling incidents and crises.
    • Facilitate the sharing of cybersecurity information and best practices among stakeholders.

  • Certification Framework:

    • Establish an EU-wide cybersecurity certification framework for ICT products, services, and processes to provide transparency on their security assurance levels.
    • Promote voluntary and harmonized certification schemes that improve trust and provide common evaluation criteria across sectors and Member States.
    • Emphasize that certification does not guarantee absolute security but improves risk management and confidence for users.

  • Security by Design and Default:

    • Encourage manufacturers and providers to integrate security considerations from the earliest design stages (“security-by-design”) to anticipate and minimize cyberattack impacts.
    • Require that ICT products and services are delivered with their most secure settings enabled by default (“security-by-default”) to reduce configuration burdens on users.
    • Promote addressing cybersecurity risks arising from third-party dependencies integrated into ICT products and services.

  • Support for Member States:

    • Assist Member States in developing and enhancing national cybersecurity capabilities, including coordination of Computer Security Incident Response Teams (CSIRTs).
    • Support national and EU-level cybersecurity strategies, awareness-raising, and training activities.
    • Foster cooperation and information exchange across Member States, the EU institutions, and private sector.

  • Public Core Internet Security:

    • Support the security and stability of the public core of the open internet, such as DNS, BGP, IPv6, and root zone operations which are critical for internet functionality.

Affected Products and Actors

  • ICT Products, Services, and Processes:

    • Hardware and software components used across sectors.
    • Internet of Things (IoT) devices deployed across the EU.
    • Key digital services including cloud computing and online marketplaces.

  • Key Actors:

    • Manufacturers, developers, and providers of ICT products, services, and processes.
    • Member State authorities responsible for cybersecurity.
    • ENISA as the central EU agency for cybersecurity.
    • Operators of essential services and digital service providers.
    • Citizens, organizations, SMEs, and public administrations as end-users.

Implementation Timeline

  • The Regulation entered into force on 27 June 2019.
  • Member States and stakeholders were expected to begin adapting their cybersecurity strategies and frameworks shortly after.
  • ENISA’s enhanced mandate took effect upon the Regulation’s entry into force, with staged increases in its capabilities.
  • Development and adoption of EU cybersecurity certification schemes occur progressively, with voluntary schemes initially and potential mandatory schemes in the future assessing core ICT products and services.
  • Member States were required to align their national legislation and practices with the Regulation to support cooperation and certification frameworks.

This Regulation is a foundational legal instrument aimed at reinforcing the EU’s cybersecurity resilience, trust, and coordination at both national and Union levels in a rapidly evolving digital landscape.

The directive applies to information and communications technology (ICT) products, ICT services, and ICT processes used across the European Union by citizens, organizations, and businesses, including small and medium-sized enterprises (SMEs) and operators of critical infrastructure. It covers sectors vital to the economy and society such as health, energy, finance, transport, digital infrastructure, and key digital service providers like search engines, cloud computing services, and online marketplaces. The scope includes network and information systems, electronic communications networks and services, and connected digital devices, with an emphasis on increasing cybersecurity, trust, and resilience against cyber threats. Activities covered include cybersecurity certification, design and development of secure ICT products and services, implementation of security-by-design and security-by-default principles, and fostering cooperation among Member States and Union institutions. The directive also addresses cross-border cyber threats, incident response, awareness-raising, and capacity-building at both national and Union levels.

Die Verordnung (EU) 2019/881 stärkt die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) und etabliert ein Rahmenwerk für die Cybersicherheitszertifizierung von Informations- und Kommunikationstechnologien (IKT) innerhalb der EU. Angesichts zunehmender Cyberbedrohungen und der zentralen Bedeutung digitaler Systeme für Wirtschaft und Gesellschaft soll die Verordnung die Cybersicherheitsfähigkeiten der Mitgliedstaaten erweitern, die Zusammenarbeit auf EU-Ebene verbessern und das Vertrauen in digitale Produkte und Dienstleistungen fördern. Dies umfasst die Einführung von Sicherheitsanforderungen, die Förderung von „Security by Design“ und „Security by Default“ sowie die Einrichtung einheitlicher Zertifizierungsmechanismen. ENISA erhält ein erweitertes Mandat und Ressourcen, um als Beratungs- und Koordinierungsstelle zu fungieren, technische Expertise bereitzustellen, grenzüberschreitende Sicherheitsvorfälle zu bewältigen und den Austausch bewährter Verfahren zu fördern. Die Verordnung trägt dazu bei, die digitale Binnenmarktstrategie der EU zu stärken, die Cybersicherheitsbranche, insbesondere KMU, zu unterstützen und einen gemeinsamen europäischen Ansatz für Cybersicherheit zu gewährleisten.

Zweck

Die Verordnung (EU) 2019/881 stärkt die Cybersicherheit in der Europäischen Union (EU) durch die Reformierung der Agentur der Europäischen Union für Cybersicherheit (ENISA) sowie durch die Einführung eines Rahmens für die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnologie (IKT). Ziel ist es, das Vertrauen in digitale Produkte und Dienstleistungen zu erhöhen, die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken und die Zusammenarbeit auf EU-Ebene auszubauen. Die Verordnung reagiert auf die zunehmenden Risiken der Digitalisierung und Vernetzung sowie auf die Unzulänglichkeiten der bisherigen Sicherheitsmaßnahmen und Zertifizierungssysteme.

Zentrale Verpflichtungen

  • Stärkung der ENISA: Die Agentur erhält erweiterte Aufgaben und wird zum zentralen Bezugspunkt für Fachwissen, Beratung, operative Zusammenarbeit und Förderung bewährter Verfahren im Bereich Cybersicherheit. Sie unterstützt die EU-Institutionen und Mitgliedstaaten bei der Entwicklung und Umsetzung von Cybersicherheitsstrategien und bei der Bewältigung von grenzüberschreitenden Sicherheitsvorfällen.

  • Zertifizierung von IKT-Produkten, -Diensten und -Prozessen: Einführung eines einheitlichen, unionsweiten Zertifizierungsrahmens, der auf standardisierten Sicherheitsanforderungen basiert. Ziel ist es, Verbrauchern, Unternehmen und Behörden detaillierte und verlässliche Informationen über die Cybersicherheitsmerkmale von Produkten und Dienstleistungen zu bieten.

  • Förderung von Security by Design und Security by Default: Hersteller und Anbieter von IKT-Produkten und -Diensten müssen Cybersicherheit schon in der Konzeption (security by design) und durch voreingestellte, sichere Grundeinstellungen (security by default) gewährleisten, um Risiken durch Cyberangriffe zu minimieren.

  • Verbesserung der operativen Zusammenarbeit: Die Verordnung verpflichtet die Mitgliedstaaten zur intensiveren Zusammenarbeit bei der Prävention, Erkennung und Abwehr von Cyberbedrohungen sowie zur Unterstützung gemeinsamer Informations- und Krisenmanagementmaßnahmen auf EU-Ebene.

  • Sensibilisierung und Schulung: Förderung von „Cyberhygiene“-Praktiken bei allen Nutzern, um einfache, aber effektive Routinen zur Minimierung von Cyberrisiken zu etablieren.

Betroffene Produkte und Akteure

  • IKT-Produkte, -Dienste und -Prozesse: Alle digitalen Produkte und Dienstleistungen, die in der EU in Verkehr gebracht oder angeboten werden, insbesondere in den Bereichen Internet der Dinge, Kommunikationsnetzwerke, Cloud-Dienste und kritische Infrastrukturen.

  • Hersteller, Dienstanbieter und Entwickler: Verantwortung für die Berücksichtigung von Cybersicherheitsaspekten während der gesamten Entwicklung und des Lebenszyklus ihrer Produkte und Dienste.

  • Organisationen und Unternehmen: Von kleinen und mittleren Unternehmen (KMU) über Betreiber kritischer Infrastrukturen bis hin zu öffentlichen Stellen, die IKT nutzen oder bereitstellen.

  • ENDNUTZER: Bürgerinnen und Bürger, die IKT-Produkte und -Dienste konsumieren und auf deren Sicherheit vertrauen sollen.

  • Nationale Behörden und EU-Organe: Zuständig für die Umsetzung, Überwachung und Durchsetzung der Verordnung sowie für die Koordination und den Informationsaustausch im Bereich Cybersicherheit.

Umsetzungszeitplan

  • Inkrafttreten: Die Verordnung wurde am 17. April 2019 verabschiedet und trat gemäß den üblichen Verfahren der EU unmittelbar in Kraft.

  • Umsetzung durch Mitgliedstaaten: Die Mitgliedstaaten müssen ihre bestehenden nationalen Regelungen und Maßnahmen an die neuen Vorgaben anpassen, insbesondere im Hinblick auf die Zertifizierungsverfahren und die Zusammenarbeit mit der ENISA.

  • Aufbau der ENISA: Die Agentur erweitert ihre Kapazitäten und Aufgabenbereich fortlaufend, um den gestiegenen Anforderungen gerecht zu werden. Dazu gehört auch die Einrichtung technischer und personeller Ressourcen zur Unterstützung der EU-weiten Zertifizierungsprogramme und die operative Koordination im Krisenfall.

  • Entwicklung der Zertifizierungsframeworks: Die EU-Kommission erarbeitet in Zusammenarbeit mit der ENISA und den Mitgliedstaaten spezifische Zertifizierungsstandards, die schrittweise eingeführt und im Markt verpflichtend werden können.

  • Langfristige Ziele: Die Verordnung zielt auf eine nachhaltige Verbesserung der Cybersicherheitslandschaft über die kommenden Jahre ab. Dabei sollen technologische Entwicklungen und neue Bedrohungen kontinuierlich berücksichtigt werden.

Diese Verordnung schafft die Grundlage für ein sicheres digitales Umfeld in der EU, indem sie institutionelle Strukturen stärkt, einheitliche Standards setzt und die Kooperation auf allen Ebenen fördert. Dies ist ein wesentlicher Schritt zur Realisierung eines vertrauenswürdigen digitalen Binnenmarkts.

Die Verordnung (EU) 2019/881 erstreckt sich auf die Cybersicherheit von Informations- und Kommunikationstechnologie (IKT) Produkten, -Diensten und -Prozessen, die von Bürgern, Organisationen und Unternehmen in der Europäischen Union genutzt werden. Sie gilt für eine breite Palette von Sektoren, darunter Gesundheit, Energie, Finanzen, Verkehr und digitale Infrastrukturen sowie für Betreiber kritischer Infrastrukturen. Die Verordnung bezieht sich auf IKT-Produkte und -Systeme, die zunehmend vernetzt sind, einschließlich solcher im Internet der Dinge, und betont die Notwendigkeit von Cybersicherheitsanforderungen „security by design“ und „security by default“. Sie zielt darauf ab, das Vertrauen in digitale Produkte und Dienstleistungen zu stärken, indem unionsweit einheitliche Sicherheitszertifizierungen und -standards eingeführt werden, die auch KMU und Start-ups betreffen. Zudem sollen grenzüberschreitende Cyberbedrohungen durch koordinierte Maßnahmen und Krisenmanagement auf Unionsebene bekämpft werden.

Le règlement (UE) 2019/881 vise à renforcer la cybersécurité au sein de l'Union européenne en révisant le mandat de l'Agence de l'Union européenne pour la cybersécurité (ENISA) et en établissant un cadre pour la certification de cybersécurité des technologies de l'information et des communications (TIC). Reconnaissant l'importance croissante des réseaux, systèmes d'information et services électroniques dans la société et l'économie, il met l'accent sur la nécessité d'accroître la résilience, la protection et la confiance des utilisateurs face aux cybermenaces. L'ENISA est renforcée dans son rôle de soutien aux États membres, de conseil auprès des institutions européennes, de facilitation de la coopération et du partage de connaissances, et de référence dans la mise en œuvre des politiques de cybersécurité. Le règlement préconise aussi des mesures telles que la sécurité intégrée dès la conception des produits TIC, la certification harmonisée au niveau européen et la sensibilisation aux bonnes pratiques de cybersécurité. Il entend ainsi améliorer la coordination, la gestion des crises cybernétiques transfrontières et favoriser un marché numérique intérieur plus sûr et fiable.

Objet

Le règlement (UE) 2019/881 vise principalement à renforcer la cybersécurité au sein de l’Union européenne par la mise à jour du rôle de l’ENISA (Agence de l’Union européenne pour la cybersécurité) et par l’établissement d’un cadre pour la certification de cybersécurité des technologies de l’information et des communications (TIC). Ce texte remplace le règlement (UE) n° 526/2013 en adaptant les mesures aux enjeux actuels et futurs liés à la sécurité numérique dans un marché de plus en plus connecté et numérique.

L’objectif global est d’améliorer la protection des réseaux, des systèmes d’information, des produits, services et processus numériques utilisés par les citoyens, entreprises, administrations et infrastructures critiques, afin de renforcer la confiance dans les solutions numériques et le marché intérieur numérique. Cela inclut la promotion d’une culture de sécurité informatique, la coopération renforcée entre États membres, la gestion coordonnée des incidents de cybersécurité, ainsi que la mise en place d’une certification commune à l’échelle de l’Union.

Obligations clés

  • Renforcement du rôle de l’ENISA : l’agence doit fournir conseils, analyses, expertise, faciliter la coopération interétatique, soutenir la mise en œuvre des politiques européennes et sectorielles, et sensibiliser les parties prenantes. Elle doit également accroître ses capacités techniques et humaines.

  • Certification européenne de cybersécurité : mise en place d’un cadre commun de certification des produits, services et processus TIC garantissant un niveau d’assurance clair pour les utilisateurs, tout en précisant que la certification ne peut garantir une sécurité absolue. Cette démarche vise à uniformiser et renforcer la confiance dans les marchés nationaux.

  • Sécurité dès la conception et sécurité par défaut : encourager les fabricants, développeurs et fournisseurs à intégrer des exigences de cybersécurité dès les phases initiales de conception des produits TIC et à appliquer des configurations sécurisées par défaut, avec un minimum d'efforts requis de la part des utilisateurs.

  • Gestion des dépendances : recensement et documentation des composants tiers intégrés aux systèmes TIC, afin d’optimiser la gestion des risques liés aux vulnérabilités dans la chaîne d’approvisionnement numérique.

  • Coopération et partage d’informations : améliorer la coordination entre États membres, ainsi qu’avec les institutions et organes de l’Union, pour une gestion efficace des incidents et crises transfrontalières, notamment par la mise en commun d’expertises et le détachement volontaire d’experts nationaux auprès de l’ENISA.

  • Sensibilisation et promotion de l’hygiène informatique : encourager citoyens, organisations et entreprises à adopter des pratiques simples et régulières réduisant l’exposition aux cybermenaces.

Produits et acteurs concernés

  • Produits TIC : équipements, dispositifs numériques, modules logiciels, et tous composants liés aux technologies de l'information et des communications.

  • Services TIC : services informatiques, services cloud, moteurs de recherche, places de marché en ligne, et autres services numériques, notamment ceux qualifiés de « fournisseurs de services numériques fondamentaux ».

  • Processus TIC : opérations, procédures et cycles de vie des produits et services liés à la cybersécurité.

  • Acteurs : fabricants, fournisseurs, opérateurs d’infrastructures critiques, PME, start-ups, organismes publics, ainsi que utilisateurs finaux - particuliers, entreprises et organisations.

  • Autorités : administrations nationales compétentes en cybersécurité, autorités de supervision, organes d’application de la loi, institutions et agences européennes.

Calendrier de mise en œuvre

Le règlement est entré en vigueur le 27 juin 2019. Les États membres et l’ENISA disposent d’un délai pour organiser la mise en place des dispositifs opérationnels, notamment :

  • L’ENISA doit adapter ses ressources humaines et techniques et renforcer son mandat dès l’entrée en vigueur du règlement.

  • Le cadre européen de certification de cybersécurité sera progressivement déployé via des schémas de certification européens, développés en étroite collaboration avec les parties prenantes.

  • Les États membres doivent transposer les dispositions relatives à leurs obligations nationales et assurer la coopération conformément aux nouvelles exigences.

  • Des mécanismes de surveillance et d’évaluation régulière seront mis en place pour adapter les politiques et la législation à l’évolution des menaces et technologies.

Ainsi, le règlement crée un cadre structurant visant une meilleure résilience collective face aux cybermenaces à court, moyen et long terme au sein du marché numérique européen.

Le règlement (UE) 2019/881 s’applique aux technologies de l’information et des communications (TIC), incluant les produits, services et processus numériques utilisés par les citoyens, organisations et entreprises dans l’Union européenne. Il vise spécifiquement à renforcer la cybersécurité des réseaux, systèmes d’information et services de communication électronique, secteurs essentiels tels que la santé, l’énergie, la finance et les transports. Le texte concerne donc un large éventail d’activités liées à la conception, au développement, à la fourniture et à l’utilisation des produits TIC, notamment avec l’avènement de l’internet des objets (IdO). La directive s’adresse à tous les acteurs, des petites et moyennes entreprises aux opérateurs d’infrastructures critiques, en promouvant la certification et la sécurité dès la conception des produits et services numériques pour répondre aux menaces croissantes en matière de cybersécurité.

Direktiva (EU) 2019/881 ustanavlja Evropsko agencijo za kibernetsko varnost (ENISA) ter uvaja skupni okvir za certificiranje informacijsko-komunikacijskih tehnologij (IKT) na področju kibernetske varnosti. Namen direktive je okrepiti pripravljenost in zmogljivosti držav članic ter spodbuditi usklajeno sodelovanje pri zaščiti digitalnih omrežij in informacijskih sistemov pred naraščajočimi kibernetskimi grožnjami. ENISA ima ključno vlogo pri zagotavljanju strokovnega svetovanja, izmenjavi najboljših praks ter podpori operativnega sodelovanja med državami članicami. Direktiva poudarja pomen varnosti skozi celotno življenjsko dobo IKT proizvodov in storitev, vključno z vgrajeno varnostjo in privzeto varnostjo konfiguracij. Prav tako spodbuja ozaveščanje uporabnikov o kibernetski higieni in potrebi po krepitvi zaupanja v digitalne rešitve, kar je bistveno za funkcionalnost enotnega digitalnega trga. Direktiva nadgrajuje obstoječa pravila in prakse ter krepi vlogo agencije ENISA v spremenjenem kibernetskem okolju, s ciljem izboljšati odpornost in zaščito EU pred kibernetskimi incidenti.

Namen

Uredba (EU) 2019/881 določa nov mandat in pristojnosti Agencije Evropske unije za kibernetsko varnost (ENISA) ter vzpostavlja evropski okvir za certificiranje informacijsko-komunikacijske tehnologije (IKT) na področju kibernetske varnosti. Cilj je izboljšati stopnjo kibernetske varnosti v EU z zagotavljanjem višje odpornosti omrežij, informacijskih sistemov, digitalnih naprav in storitev. S tem se krepi zaupanje državljanov, podjetij in javnih organov v digitalni enotni trg ter se izboljšuje zaščita pred kibernetskimi grožnjami in incidenti.

Ključne obveznosti

  • Okrepljena vloga agencije ENISA: zagotavljanje strokovnega znanja, svetovanje institucijam EU in državam članicam, spodbujanje sodelovanja in izmenjave informacij, podpora nacionalnim zmogljivostim za odzivanje na kibernetske grožnje, ter koordinacija operativnega sodelovanja med državami članicami.
  • Vzpostavitev evropskega sistema certificiranja kibernetske varnosti: razvoj skupnih meril in standardov za ocenjevanje kibernetske varnosti proizvodov, storitev in postopkov IKT na enotnem trgu – s čimer se zagotavlja transparentnost in primerljivost za potrošnike, organizacije in podjetja.
  • Spodbujanje vgrajene varnosti in privzete varnosti: proizvajalce in razvijalce se spodbuja, naj že v zgodnjih fazah razvoja in zasnove upoštevajo odgovorne kibernetske prakse za zmanjšanje tveganj, zagotovijo najvarnejše privzete nastavitve ter omogočijo uporabnikom lažje upravljanje varnostnih nastavitev.
  • Podpora za skupine CSIRT: krepitev nacionalnih in evropskih skupin za odziv na računalniške incidente (CSIRT) z namenom učinkovitejšega preprečevanja, odkrivanja in obvladovanja kibernetskih incidentov.
  • Ozaveščanje in izobraževanje: spodbujanje izobraževanja, mreženja in ozaveščanja o pomenih kibernetske varnosti med državljani, podjetji in javnimi organi, vključno z oblikovanjem mreže nacionalnih kontaktnih točk in platform za usposabljanje na področju kibernetske varnosti.

Zadevači proizvodi in deležniki

  • Proizvodi, storitve in postopki IKT: vse digitalne tehnologije, omrežja, aplikacije in rešitve, ki vključujejo informacijske in komunikacijske tehnologije s pomembnim vplivom na kibernetsko varnost.
  • Proizvajalci, razvijalci in ponudniki IKT: odgovorni za vključevanje varnostnih ukrepov v procese razvoja in proizvodnje ter za certificiranje njihovih proizvodov in storitev.
  • Države članice EU: odgovorne za implementacijo sistema certificiranja, okrepitev svojih organov za kibernetsko varnost ter sodelovanje z ENISA.
  • Malih in srednjih podjetij (MSP) ter javni sektor: upravičeni prejemniki podpornih ukrepov in svetovanj za kibernetsko varnost.
  • Končni uporabniki: državljani in poslovni uporabniki, ki bodo imeli koristi od večje preglednosti in zanesljivosti glede varnosti IKT proizvodov in storitev.

Časovni okvir implementacije

  • Uredba začne veljati 27. junija 2019.
  • Agencija ENISA prevzame nove pristojnosti in začne delovati v skladu z novim mandatom z dnem uveljavitve uredbe.
  • Evropski okvir za certificiranje kibernetske varnosti se postopoma vzpostavlja, pri čemer se razvijajo skupna merila in standardi, ki jih morajo države članice in poslovni subjekt upoštevati.
  • Države članice morajo vzpostaviti in okrepiti svoje nacionalne zmogljivosti, vključno z ustanovitvijo oziroma okrepitvijo CSIRT skupin, ter zagotoviti podporo operativnemu sodelovanju in izmenjavi informacij.
  • ENISA naj do določene obdobne faze vzpostavi tudi mrežo nacionalnih kontaktnih točk na področju ozaveščanja in usposabljanja za kibernetsko varnost.

Ta uredba predstavlja temeljni steber krepitve kibernetske odpornosti EU in celovit pristop do zaščite digitalnih tehnologij v času hitre rasti digitalizacije in obnovljenih groženj kibernetski varnosti. Implementacija sistematičnega certificiranja in okrepljena sodelovanja med deležniki naj bi prispevala k bolj varnemu in zaupanja vrednemu digitalnemu okolju v okviru enotnega digitalnega trga.

Direktiva 2019/881 se uporablja na področju informacijske in komunikacijske tehnologije (IKT) z namenom izboljšanja kibernetske varnosti v Evropski uniji. Njena uporaba zajema proizvode, storitve in postopke IKT, ki se uporabljajo v ključnih sektorjih gospodarstva in družbe, kot so zdravstvo, energetika, finance, promet ter digitalne infrastrukture in storitve. Posebej pomembna je na področju interneta stvari (IoT), kjer se pričakuje velik porast povezanih digitalnih naprav, katerih varnost in odpornost morata biti izboljšani. Direktiva vključuje male in srednje podjetja, ponudnike ključnih digitalnih storitev, upravljavce kritične infrastrukture ter državljane in organizacije, ki uporabljajo digitalne tehnologije. Cilj je povečati zaupanje v digitalne produkte in storitve preko uvedbe skupnih zahtev in meril za certificiranje kibernetske varnosti na ravni Unije ter okrepiti odpornost omrežij in informacijskih sistemov z različnimi preventivnimi in operativnimi ukrepi.

General Information

Type
Regulation
Category
Main
Force Date
26-Jun-2019
Issue Date
06-Jun-2019
Official Journal Reference
L 151/15
Official Journal Date
06-Jun-2019
CELEX Number
32019R0881
ELI URI
http://data.europa.eu/eli/reg/2019/881/oj
In Force
No
Entry into Force
28-Jun-2021
Standardization Organization
ICS
Technical Committee
Mandate
50
50

Frequently Asked Questions

An EU Regulation is a binding legislative act that must be applied in its entirety across the European Union. Unlike directives, regulations do not need to be transposed into national law and are directly applicable in all member states. Regulations are used when uniform application across all EU countries is essential.

Regulation 2019/881 covers "Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (Text with EEA relevance)". There are 8 standards associated with this regulation.

Harmonized standards under 2019/881 are European standards (ENs) developed by CEN, CENELEC, or ETSI in response to a mandate from the European Commission. When these standards are cited in the Official Journal of the European Union, products manufactured in conformity with them benefit from a presumption of conformity with the essential requirements of 2019/881, facilitating CE marking and free movement within the European Economic Area.