ENISA — Agentúra Európskej únie pre kybernetickú bezpečnosť
ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) je centrálny orgán EÚ pre odborné znalosti a koordináciu v oblasti kybernetickej bezpečnosti. Podľa Cyber Resilience Act sa ENISA stáva povinným bodom hlásenia zraniteľností v pripojených produktoch — výrobcovia musia ENISA oznámiť aktívne exploitovanú zraniteľnosť do 24 hodín.
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Celý názov | Agentúra Európskej únie pre kybernetickú bezpečnosť |
| Založená | 2004 |
| Trvalý mandát | Akt EÚ o kybernetickej bezpečnosti (Nariadenie 2019/881) |
| Sídlo | Atény, Grécko (prevádzkové centrum v Heraklione, Kréta) |
| Kľúčová rola podľa CRA | Centrálna platforma na hlásenie zraniteľností (koordinácia CSIRT) |
Rola ENISA v ekosystéme CRA
Centrum hlásenia zraniteľností
Podľa CRA prevádzkuje ENISA jednotnú platformu hlásení pre EÚ:
| Spúšťač | Lehota hlásenia | Požadované informácie |
|---|---|---|
| Objavená aktívne exploitovaná zraniteľnosť | 24 hodín — včasné varovanie ENISA | Ovplyvnený produkt, povaha zraniteľnosti, závažnosť, stav exploitácie |
| Následné oznámenie | 72 hodín | Podrobné technické posúdenie, plánované nápravné opatrenia |
| Záverečná správa | 14 dní | Základná príčina, úplná náprava, ovplyvnené verzie produktu, stav záplaty |
Kritické pre výrobcov: Ak je váš produkt nasadený po celej EÚ a pre jeden z komponentov vášho SBOM je publikované CVE, musíte ENISA oznámiť do 24 hodín, ak existujú dôkazy o exploitácii. To vyžaduje automatizované monitorovanie zraniteľností — manuálne sledovanie v tomto rozsahu nestačí.
Certifikačné schémy EÚ
ENISA vyvíja celoúnijné certifikačné schémy podľa Aktu o kybernetickej bezpečnosti:
| Schéma | Stav | Rozsah |
|---|---|---|
| EUCC (EU Common Criteria) | Prijatá | IKT produkty hodnotené podľa Common Criteria |
| EUCS (EU Cloud Services) | V príprave | Poskytovatelia cloudových služieb |
| EU5G (5G Security) | V príprave | Zariadenia a komponenty 5G sietí |
| Certifikácia CRA | Očakávaná | Kritické kategórie produktov podľa CRA |
Koordinácia a poradenstvo
| Funkcia | Popis |
|---|---|
| Sieť CSIRT | Koordinuje národné tímy pre reakciu na bezpečnostné incidenty (vrátane SK-CERT) |
| EU-CyCLONe | Krízový manažment pre rozsiahle kybernetické incidenty |
| ENISA Threat Landscape | Ročná správa o hrozbách — primárna publikácia EÚ o kybernetických hrozbách |
| Usmernenia | Publikuje pokyny na implementáciu NIS2, CRA a noriem kybernetickej bezpečnosti |
ENISA a NIS2
Kým CRA pokrýva hlásenie zraniteľností produktov ENISA, NIS2 pokrýva hlásenie organizačných incidentov:
| Aspekt | CRA → ENISA | NIS2 → CSIRT |
|---|---|---|
| Kto hlási | Výrobcovia produktov | Základné/dôležité entity |
| Čo sa hlási | Zraniteľnosti produktov | Kybernetické incidenty ovplyvňujúce organizáciu |
| Lehota | 24 hodín (včasné varovanie) | 24 hodín (prvé oznámenie) |
| Čo sa stane potom | ENISA koordinuje celoúnijnú reakciu | Národný CSIRT koordinuje lokálnu reakciu |
Dopad na výrobcov hardvéru
- Nastavte proces hlásenia ENISA — Vytvorte interné postupy pre 24/72h/14d hlásenie zraniteľností.
- Automatizujte monitorovanie — Používajte monitorovanie SBOM na priebežné porovnávanie komponentov s databázou CVE.
- Určte PSIRT tím — Product Security Incident Response Team je rozhranie výrobcu s ENISA.
- Testujte proces — Vykonávajte simulačné cvičenia zverejnenia zraniteľnosti na overenie reakčnej doby.
Presne toto automatizuje naša služba SBOM monitorovania — priebežné CVE porovnávanie s SBOM vášho produktu s predformátovanými správami ENISA pripravenými na odoslanie.
Súvisiace pojmy
- CRA — Nariadenie vyžadujúce 24-hodinové hlásenie zraniteľností ENISA.
- NIS2 — Smernica vyžadujúca organizačné hlásenie incidentov, koordinované cez sieť CSIRT ENISA.
- CVE — Identifikátory zraniteľností, ktoré spúšťajú povinnosti hlásenia ENISA.
- SBOM — Inventár komponentov používaný na porovnávanie produktov so známymi zraniteľnosťami pre hlásenie ENISA.