ENISA � Agent�ra Eur�pskej �nie pre kybernetick� bezpecnost
ENISA (Agent�ra Eur�pskej �nie pre kybernetick� bezpecnost) je centr�lny org�n E� pre odborn� znalosti a koordin�ciu v oblasti kybernetickej bezpecnosti. Podla Cyber Resilience Act sa ENISA st�va povinn�m bodom hl�senia zranitelnost� v pripojen�ch produktoch � v�robcovia musia ENISA ozn�mit akt�vne exploitovan� zranitelnost do 24 hod�n.
Kl�cov� fakty
| Detail | Inform�cia |
|---|---|
| Cel� n�zov | Agent�ra Eur�pskej �nie pre kybernetick� bezpecnost |
| Zalo�en� | 2004 |
| Trval� mand�t | Akt E� o kybernetickej bezpecnosti (Nariadenie 2019/881) |
| S�dlo | At�ny, Gr�cko (prev�dzkov� centrum v Heraklione, Kr�ta) |
| Kl�cov� rola podla CRA | Centr�lna platforma na hl�senie zranitelnost� (koordin�cia CSIRT) |
Rola ENISA v ekosyst�me CRA
Centrum hl�senia zranitelnost�
Podla CRA prev�dzkuje ENISA jednotn� platformu hl�sen� pre E�:
| Sp��tac | Lehota hl�senia | Po�adovan� inform�cie |
|---|---|---|
| Objaven� akt�vne exploitovan� zranitelnost | 24 hod�n � vcasn� varovanie ENISA | Ovplyvnen� produkt, povaha zranitelnosti, z�va�nost, stav exploit�cie |
| N�sledn� ozn�menie | 72 hod�n | Podrobn� technick� pos�denie, pl�novan� n�pravn� opatrenia |
| Z�verecn� spr�va | 14 dn� | Z�kladn� pr�cina, �pln� n�prava, ovplyvnen� verzie produktu, stav z�platy |
Kritick� pre v�robcov: Ak je v� produkt nasaden� po celej E� a pre jeden z komponentov v�ho SBOM je publikovan� CVE, mus�te ENISA ozn�mit do 24 hod�n, ak existuj� d�kazy o exploit�cii. To vy�aduje automatizovan� monitorovanie zranitelnost� � manu�lne sledovanie v tomto rozsahu nestac�.
Certifikacn� sch�my E�
ENISA vyv�ja celo�nijn� certifikacn� sch�my podla Aktu o kybernetickej bezpecnosti:
| Sch�ma | Stav | Rozsah |
|---|---|---|
| EUCC (EU Common Criteria) | Prijat� | IKT produkty hodnoten� podla Common Criteria |
| EUCS (EU Cloud Services) | V pr�prave | Poskytovatelia cloudov�ch slu�ieb |
| EU5G (5G Security) | V pr�prave | Zariadenia a komponenty 5G siet� |
| Certifik�cia CRA | Ocak�van� | Kritick� kateg�rie produktov podla CRA |
Koordin�cia a poradenstvo
| Funkcia | Popis |
|---|---|
| Siet CSIRT | Koordinuje n�rodn� t�my pre reakciu na bezpecnostn� incidenty (vr�tane SK-CERT) |
| EU-CyCLONe | Kr�zov� mana�ment pre rozsiahle kybernetick� incidenty |
| ENISA Threat Landscape | Rocn� spr�va o hrozb�ch � prim�rna publik�cia E� o kybernetick�ch hrozb�ch |
| Usmernenia | Publikuje pokyny na implement�ciu NIS2, CRA a noriem kybernetickej bezpecnosti |
ENISA a NIS2
K�m CRA pokr�va hl�senie zranitelnost� produktov ENISA, NIS2 pokr�va hl�senie organizacn�ch incidentov:
| Aspekt | CRA ? ENISA | NIS2 ? CSIRT |
|---|---|---|
| Kto hl�si | V�robcovia produktov | Z�kladn�/d�le�it� entity |
| Co sa hl�si | Zranitelnosti produktov | Kybernetick� incidenty ovplyvnuj�ce organiz�ciu |
| Lehota | 24 hod�n (vcasn� varovanie) | 24 hod�n (prv� ozn�menie) |
| Co sa stane potom | ENISA koordinuje celo�nijn� reakciu | N�rodn� CSIRT koordinuje lok�lnu reakciu |
Dopad na v�robcov hardv�ru
- Nastavte proces hl�senia ENISA � Vytvorte intern� postupy pre 24/72h/14d hl�senie zranitelnost�.
- Automatizujte monitorovanie � Pou��vajte monitorovanie SBOM na priebe�n� porovn�vanie komponentov s datab�zou CVE.
- Urcte PSIRT t�m � Product Security Incident Response Team je rozhranie v�robcu s ENISA.
- Testujte proces � Vykon�vajte simulacn� cvicenia zverejnenia zranitelnosti na overenie reakcnej doby.
Presne toto automatizuje na�a slu�ba SBOM monitorovania � priebe�n� CVE porovn�vanie s SBOM v�ho produktu s predform�tovan�mi spr�vami ENISA pripraven�mi na odoslanie.
S�visiace pojmy
- CRA � Nariadenie vy�aduj�ce 24-hodinov� hl�senie zranitelnost� ENISA.
- NIS2 � Smernica vy�aduj�ca organizacn� hl�senie incidentov, koordinovan� cez siet CSIRT ENISA.
- CVE � Identifik�tory zranitelnost�, ktor� sp��taj� povinnosti hl�senia ENISA.
- SBOM � Invent�r komponentov pou��van� na porovn�vanie produktov so zn�mymi zranitelnostami pre hl�senie ENISA.